Меню

Настройка active directory certificate services 2012



Установка и настройка ADRMS на Windows Server 2012 R2

В этой статье мы покажем как развернуть и задействовать для защиты контента службу Active Directory Right Management Services (ADRMS) на базе Windows Server 2012 R2 в организация масштаба small и middle-size.

В первую очередь кратко напомним о том, что такое служба AD RMS и зачем она нужна. Служба Active Directory Right Management Services – одна из стандартных ролей Windows Server, позволяющая организовать защиту пользовательских данных от несанкционированного использования. Защита информации реализуется за счет шифрования и подписывания документов, причем владелец документа или файла может сам определить, каким пользователям можно открывать, редактировать, распечатывать, пересылать и выполнять другие операции с защищенной информацией. Нужно понимать, что защита документов с помощью ADRMS возможно только в приложениях, разработанных с учетом этой службы (AD RMS-enabled applications). Благодаря AD RMS можно обеспечить защиту конфиденциальных данных как внутри, так и за пределами корпоративной сети.

Несколько важных требования, которые нужно учесть при планировании и развертывании решения AD RMS:

  • Желательно использовать выделенный сервер AD RMS. Не рекомендуется совмещать роль AD RMS с ролью контроллера домена, сервера Exchange, SharePoint Server или центра сертификации (CA)
  • У пользователей AD должен быть заполнен атрибут email
  • На компьютерах пользователей RMS сервер должен быть добавлен в зону доверенных сайтов IE (Trusted Sites). Проще всего это сделать с помощью групповой политики.

Прежде чем приступить непосредственно к развертыванию ADRMS, нужно выполнить ряд подготовительных шагов. В первую очередь необходимо создать в Active Directory отдельную сервисную запись для ADRMS с бессрочным паролем, например с именем svc-adrms (для службы ADRMS можно создать и особую управляемую учетную запись AD — типа gMSA).

В DNS-зоне создадим отдельную ресурсную запись, указывающую на AD RMS сервер. Допустим его имя будет – adrms.

Приступим к установке роли ADRMS на сервере с Windows Server 2012 R2. Откройте консоль Serve Manager и установите роль Active Directory Rights Management Service (здесь все просто – просто соглашайтесь с настройками и зависимостями по-умолчанию).

После того, как установка роли ADRMS и сопутствующих ей ролей и функций закончится, чтобы перейти в режим настройки роли ADRMS, щелкните по ссылке Perform additional configuration.

В мастере настройки выберем, что мы создаем новый корневой кластер AD RMS (Create a new AD RMS root cluster).

В качестве базы данных RMS будем использовать внутреннюю базу данных Windows (Use Windows Internal Database on this server).

Затем укажем созданную ранее сервисную учетную запись (svc-adrms), используемый криптографический алгоритм, метод хранения ключа кластера RMS и его пароль.

Осталось задать веб-адрес кластера AD RMS, к которому будут обращаться RMS-клиенты (рекомендуется использовать защищенное SSL соединение).

Не закрывайте мастер настройки AD RMS!

Следующий этап – установка SSL-сертификата на сайт IIS. Сертификат может быть самоподписаным (в дальнейшем его нужно будет добавить в доверенные на всех клиентах), или выданным корпоративным/внешним центром сертификации (CA). Сформируем сертификат с помощью уже имеющегося корпоративного CA. Для этого откройте консоль IIS Manager (inetmgr) и перейдите в раздел Server Certificates. В правом столбце щелкните по ссылке Create Domain Certificate (создать сертификат домена).

Сгенерируйте новый сертификат с помощью мастера и привяжите его к серверу IIS.

Вернитесь в окно настройки роли AD RMS и выберите сертификат, который планируется использовать для шифрования трафика AD RMS.

Отметьте, что точку SCP нужно зарегистрировать в AD немедленно (Register the SCP now).

На этом процесс установки роли AD RMS закончен. Завершите текущий сеанс (logoff), и перезалогиньтесь на сервер.

Запустите консоль ADRMS.

Для примера создадим новый шаблон политики RMS. Предположим мы хотим создать шаблон RMS, позволяющий владельцу документа разрешить всем просмотр защищенных этим шаблоном писем без прав редактирования/пересылки. Для этого перейдем в раздел Rights Policy Templates и щелкнем по кнопке Create Distributed Rights Policy Template.

Нажав кнопку Add, добавим языки, поддерживаемые этим шаблоном и имя политики для каждого из языков.

Далее укажем, что все (Anyone) могут просматривать (View) содержимое защищенного автором документа.

Далее укажем, что срок окончания действия политики защиты не ограничен (Never expires).

На следующем шаге укажем, что защищенное содержимое можно просматривать в браузере с помощью расширений IE (Enable users to view protected content using a browser add-on).

Протестируем созданный шаблон RMS в Outlook Web App, для чего создадим новое пустое письмо, в свойствах которого нужно щелкнуть по кнопке Set Permissions. В выпадающем меню выберите имя шаблона (Email-View-Onl-For-Anyone).

Отправим письмо, защищенное RMS, другому пользователю.

Теперь посмотрим как выглядит защищенное письмо в ящике получателя.

Как мы видим, кнопки Ответить и Переслать недоступны, а в информационной панели указан используемый шаблон защиты документа и его владелец.

Итак, в этой статье мы описали, как быстро развернуть и задействовать службу AD RMS в рамках небольшой организации. Отметим, что к планированию развертыванию RMS в компаниях среднего и крупного размера нужно подойти более тщательно, т.к. непродуманная структура этой системы может в будущем вызвать ряд неразрешимых проблем.

Источник

Настройка веб-службы регистрации сертификатов для продления на основе ключей сертификата через настраиваемый порт Configuring Certificate Enrollment Web Service for certificate key-based renewal on a custom port

Авторы: Житеш сакур, мира Мохидин, технические рекомендации с группой Windows. Authors: Jitesh Thakur, Meera Mohideen, Technical Advisors with the Windows Group. Инженер службы поддержки Анкит тяги с группой Windows Ankit Tyagi Support Engineer with the Windows Group

Сводка Summary

В этой статье приводятся пошаговые инструкции по реализации веб-служба политик регистрации сертификатов (CEP) и веб-служба регистрации сертификатов (CES) на настраиваемом порту, отличном от 443, для продления на основе ключа сертификата, чтобы воспользоваться функцией автоматического продления CEP и CES. This article provides step-by-step instructions to implement the Certificate Enrollment Policy Web Service (CEP) and Certificate Enrollment Web Service (CES) on a custom port other than 443 for certificate key-based renewal to take advantage of the automatic renewal feature of CEP and CES.

В этой статье также объясняется, как работают методы CEP и CES и предоставляются рекомендации по установке. This article also explains how CEP and CES works and provides setup guidelines.

Рабочий процесс, который входит в эту статью, относится к конкретному сценарию. The workflow that’s included in this article applies to a specific scenario. Один и тот же рабочий процесс может не работать в другой ситуации. The same workflow may not work for a different situation. Однако принципы останутся прежними. However, the principles remain the same.

Заявление об отказе: Эта настройка создается для конкретного требования, при котором не требуется использовать порт 443 для HTTPS-соединений по умолчанию для серверов CEP и CES. Disclaimer: This setup is created for a specific requirement in which you do not want to use port 443 for the default HTTPS communication for CEP and CES servers. Хотя такая настройка возможна, она имеет ограниченную поддержку. Although this setup is possible, it has limited supportability. Службы и поддержка для пользователей помогут вам в том, чтобы при соблюдении этого руководством тщательно использовать минимальное отклонение от предоставленной конфигурации веб-сервера. Customer Services and Support can best assist you if you follow this guide carefully using minimal deviation from the provided web server configuration.

Читайте также:  Расширенные настройки внешности в скайрим

Сценарий Scenario

В этом примере инструкции основаны на среде, использующей следующую конфигурацию: For this example, the instructions are based on an environment that uses the following configuration:

Лес Contoso.com, в котором есть инфраструктура открытых ключей (PKI) служб Active Directory Certificate Services (AD CS). A Contoso.com forest that has an Active Directory Certificate Services (AD CS) public key infrastructure (PKI).

Два экземпляра CEP/CES, настроенные на одном сервере, работающем под учетной записью службы. Two CEP/CES instances that are configured on one server that’s running under a service account. Один экземпляр использует имя пользователя и пароль для первоначальной регистрации. One instance uses username and password for initial enrollment. Другой использует проверку подлинности на основе сертификатов для продления на основе ключей в режиме только возобновления. The other uses certificate-based authentication for key-based renewal in renewal only mode.

Пользователь имеет компьютер с Рабочей группой или не присоединенным к домену, для которого он будет регистрировать сертификат компьютера, используя учетные данные пользователя и пароль. A user has a workgroup or non-domain-joined computer for which he will be enrolling the computer certificate by using username and password credentials.

Подключение пользователя к CEP и CES по протоколу HTTPS происходит через пользовательский порт, например 49999. The connection from the user to CEP and CES over HTTPS occurs on a custom port such as 49999. (Этот порт выбирается из динамического диапазона портов и не используется в качестве статического порта любой другой службой.) (This port is selected from a dynamic port range and is not used as a static port by any other service.)

Когда время существования сертификата приближается к концу, компьютер использует обновление на основе ключей CES для продления сертификата по тому же каналу. When the certificate lifetime is nearing its end, the computer uses certificate-based CES key-based renewal to renew the certificate over the same channel.

Инструкции по настройке Configuration instructions

Обзор Overview

Настройте шаблон для обновления на основе ключей. Configure the template for key-based renewal.

В качестве необходимого компонента настройте сервер CEP и CES для проверки подлинности имени пользователя и пароля. As a prerequisite, configure a CEP and CES server for username and password authentication. В этой среде мы будем называть экземпляр «CEPCES01». In this environment, we refer to the instance as «CEPCES01».

Настройте другой экземпляр CEP и CES с помощью PowerShell для проверки подлинности на основе сертификата на том же сервере. Configure another CEP and CES instance by using PowerShell for certificate-based authentication on the same server. Экземпляр CES будет использовать учетную запись службы. The CES instance will use a service account.

В этой среде мы будем называть экземпляр «CEPCES02». In this environment, we refer to the instance as “CEPCES02”. Используемая учетная запись службы — «цепцессвк». The service account that’s used is ”cepcessvc”.

Настройте параметры на стороне клиента. Configure client-side settings.

Конфигурация Configuration

В этом разделе описаны шаги по настройке первоначальной регистрации. This section provides the steps to configure the initial enrollment.

Для работы CES можно также настроить любую учетную запись службы пользователя, MSA или GMSA. You can also configure any user service account, MSA, or GMSA for CES to work.

В качестве необходимого компонента необходимо настроить CEP и CES на сервере, используя проверку имени пользователя и пароля. As a prerequisite, you must configure CEP and CES on a server by using username and password authentication.

Настройка шаблона для продления на основе ключей Configure the template for key-based renewal

Можно создать дубликат существующего шаблона компьютера и настроить следующие параметры шаблона: You can duplicate an existing computer template, and configure the following settings of the template:

На вкладке Имя субъекта шаблона сертификата убедитесь, что выбрано предложение в запросе и использование сведений о субъекте из существующих сертификатов для параметров запросов на продление автоматической регистрации . On the Subject Name tab of the certificate template, make sure that the Supply in the Request and Use subject information from existing certificates for autoenrollment renewal requests options are selected.

Перейдите на вкладку » требования к выдаче » и установите флажок » утверждение диспетчером сертификатов ЦС «. Switch to the Issuance Requirements tab, and then select the CA certificate manager approval check box.

Назначьте разрешение Чтение и Регистрация учетной записи службы цепцессвк для этого шаблона. Assign the Read and Enroll permission to the cepcessvc service account for this template.

Опубликуйте новый шаблон в центре сертификации. Publish the new template on the CA.

Убедитесь, что для параметров совместимости в шаблоне задано значение Windows Server 2012 R2 , так как существует известная ошибка, при которой шаблоны не отображаются, если установлена совместимость с Windows Server 2016 или более поздней версии. Make sure the compatibility settings on the template is set to Windows Server 2012 R2 as there is a known issue in which the templates are not visible if the compatibility is set to Windows Server 2016 or later version. Дополнительные информацию см. в разделе не удалось выбрать шаблоны сертификатов, совместимые с центром сертификации Windows server 2016, из центра сертификации Windows server 2016 или более поздней версии или серверов CEP . For more informaiton, see Cannot select Windows Server 2016 CA-compatible certificate templates from Windows Server 2016 or later-based CAs or CEP servers .

Настройка экземпляра CEPCES01 Configure the CEPCES01 instance

Шаг 1. Установка экземпляра Step 1: Install the instance

Чтобы установить экземпляр CEPCES01, используйте один из следующих методов. To install the CEPCES01 instance, use either of the following methods.

Метод 1 Method 1

Пошаговые инструкции по включению CEP и CES для проверки подлинности имени пользователя и пароля см. в следующих статьях. See the following articles for step-by-step guidance to enable CEP and CES for username and password authentication:

Убедитесь, что не установлен флажок «включить обновление на основе ключей», если вы настроили экземпляры CEP и CES с проверкой подлинности имени пользователя и пароля. Make sure that you do not select the “Enable Key-Based Renewal” option if you configure both CEP and CES instances of username and password authentication.

Метод 2. Method 2

Для установки экземпляров CEP и CES можно использовать следующие командлеты PowerShell: You can use the following PowerShell cmdlets to install the CEP and CES instances:

Эта команда устанавливает веб-служба политик регистрации сертификатов (CEP), указывая, что для проверки подлинности используется имя пользователя и пароль. This command installs the Certificate Enrollment Policy Web Service (CEP) by specifying that a username and password is used for authentication.

В этой команде — это отпечаток сертификата, который будет использоваться для привязки служб IIS. In this command, is the thumbprint of the certificate that will be used to bind IIS.

Эта команда устанавливает веб-служба регистрации сертификатов (CES), чтобы использовать центр сертификации для имени компьютера CA1.contoso.com и общего имени ЦС contoso-CA1-CA. This command installs the Certificate Enrollment Web Service (CES) to use the certification authority for a computer name of CA1.contoso.com and a CA common name of contoso-CA1-CA. Удостоверение CES указывается в качестве удостоверения пула приложений по умолчанию. The identity of the CES is specified as the default application pool identity. Тип проверки подлинности — username. The authentication type is username. Сслцертсумбпринт — это отпечаток сертификата, который будет использоваться для привязки служб IIS. SSLCertThumbPrint is the thumbprint of the certificate that will be used to bind IIS.

Читайте также:  Настройка ресивера скайбокс ф3
Шаг 2. Проверка консоли диспетчера службы IIS (IIS) Step 2 Check the Internet Information Services (IIS) Manager console

После успешной установки вы увидите, что в консоли диспетчера службы IIS (IIS) отображается следующее. After a successful installation, you expect to see the following display in the Internet Information Services (IIS) Manager console.

В разделе веб-сайт по умолчаниювыберите ADPolicyProvider_CEP_UsernamePassword, а затем откройте Параметры приложения. Under Default Web Site, select ADPolicyProvider_CEP_UsernamePassword, and then open Application Settings. Запишите идентификатор и URI. Note the ID and the URI.

Можно добавить понятное имя для управления. You can add a Friendly Name for management.

Настройка экземпляра CEPCES02 Configure the CEPCES02 instance

Шаг 1. Установите CEP и CES для продления на том же сервере. Step 1: Install the CEP and CES for key-based renewal on the same server.

Выполните следующую команду в PowerShell: Run the following command in PowerShell:

Эта команда устанавливает веб-служба политик регистрации сертификатов (CEP) и указывает, что для проверки подлинности используется сертификат. This command installs the Certificate Enrollment Policy Web Service (CEP) and specifies that a certificate is used for authentication.

В этой команде — это отпечаток сертификата, который будет использоваться для привязки служб IIS. In this command, is the thumbprint of the certificate that will be used to bind IIS.

Продление на основе ключей позволяет клиентам сертификатов обновлять свои сертификаты, используя ключ существующего сертификата для проверки подлинности. Key-based renewal lets certificate clients renew their certificates by using the key of their existing certificate for authentication. При использовании режима обновления на основе ключей служба возвращает только шаблоны сертификатов, настроенные для продления на основе ключей. When in key-based renewal mode, the service will return only certificate templates that are set for key-based renewal.

Эта команда устанавливает веб-служба регистрации сертификатов (CES), чтобы использовать центр сертификации для имени компьютера CA1.contoso.com и общего имени ЦС contoso-CA1-CA. This command installs the Certificate Enrollment Web Service (CES) to use the certification authority for a computer name of CA1.contoso.com and a CA common name of contoso-CA1-CA.

В этой команде удостоверение веб-служба регистрации сертификатов указывается в качестве учетной записи службы цепцессвк . In this command, the identity of the Certificate Enrollment Web Service is specified as the cepcessvc service account. Тип проверки подлинности — Certificate. The authentication type is certificate. Сслцертсумбпринт — это отпечаток сертификата, который будет использоваться для привязки служб IIS. SSLCertThumbPrint is the thumbprint of the certificate that will be used to bind IIS.

Командлет реневалонли позволяет выполнить команду CES в режиме только обновления. The RenewalOnly cmdlet lets CES run in renewal only mode. Командлет алловкэйбаседреневал также указывает, что CES будет принимать запросы продления на основе ключей для сервера регистрации. The AllowKeyBasedRenewal cmdlet also specifies that the CES will accept key based renewal requests for the enrollment server. Это допустимые сертификаты клиента для проверки подлинности, которые не сопоставлены с субъектом безопасности напрямую. These are valid client certificates for authentication that do not directly map to a security principal.

Учетная запись службы должна входить в группу иисусерс на сервере. The service account must be part of IISUsers group on the server.

Шаг 2. Проверка консоли диспетчера IIS Step 2 Check the IIS Manager console

После успешной установки вы увидите, что в консоли диспетчера IIS отображается следующее. After a successful installation, you expect to see the following display in the IIS Manager console.

Выберите KeyBasedRenewal_ADPolicyProvider_CEP_Certificate в разделе веб-сайт по умолчанию и откройте Параметры приложения. Select KeyBasedRenewal_ADPolicyProvider_CEP_Certificate under Default Web Site and open Application Settings. Запишите идентификатор и URI. Take a note of the ID and the URI. Можно добавить понятное имя для управления. You can add a Friendly Name for management.

Если экземпляр установлен на новом сервере, проверьте его идентификатор, чтобы убедиться, что он совпадает с ИДЕНТИФИКАТОРом, созданным в экземпляре CEPCES01. If the instance is installed on a new server double check the ID to make sure that the ID is the same one that was generated in the CEPCES01 instance. Можно скопировать и вставить значение напрямую, если оно отличается. You can copy and paste the value directly if it is different.

Завершение настройки веб-служб регистрации сертификатов Complete Certificate Enrollment Web Services configuration

Чтобы иметь возможность зарегистрировать сертификат от имени функций CEP и CES, необходимо настроить учетную запись компьютера рабочей группы в Active Directory а затем настроить ограниченное делегирование для учетной записи службы. To be able to enroll the certificate on behalf of the functionality of CEP and CES, you have to configure the workgroup’s computer account in Active Directory and then configure constrained delegation on the service account.

Шаг 1. Создание учетной записи компьютера рабочей группы в Active Directory Step 1: Create a computer account of the workgroup computer in Active Directory

Эта учетная запись будет использоваться для проверки подлинности при обновлении на основе ключа и параметра «опубликовать в Active Directory» в шаблоне сертификата. This account will be used for authentication towards key-based renewal and the “Publish to Active Directory” option on the certificate template.

Не нужно присоединяться к домену на клиентском компьютере. You do not have to domain join the client machine. Эта учетная запись поступает в изображение при выполнении проверки подлинности на основе сертификатов в КБР для службы дсмаппер. This account comes into picture while doing certificate based authentication in KBR for dsmapper service.

Шаг 2. Настройка учетной записи службы для ограниченного делегирования (S4U2Self) Step 2: Configure the service account for Constrained Delegation (S4U2Self)

Выполните следующую команду PowerShell, чтобы включить ограниченное делегирование (S4U2Self или любой протокол проверки подлинности): Run the following PowerShell command to enable constrained delegation (S4U2Self or any authentication protocol):

В этой команде используется учетная запись службы, а является центром сертификации. In this command, is the service account, and is the Certification Authority.

В этой конфигурации не включен флаг РЕНЕВАЛОНБЕХАЛОФ в ЦС, так как мы используем ограниченное делегирование для того же задания. We are not enabling the RENEWALONBEHALOF flag on the CA in this configuration because we are using constrained delegation to do the same job for us. Это позволяет избежать добавления разрешения для учетной записи службы в систему безопасности ЦС. This lets us to avoid adding the permission for the service account to the CA’s security.

Шаг 3. Настройка пользовательского порта на веб-сервере IIS Step 3: Configure a custom port on the IIS web server

В консоли диспетчера IIS выберите веб-сайт по умолчанию. In the IIS Manager console, select Default Web Site.

В области Действие выберите Изменить привязку сайта. In the action pane, select Edit Site Binding.

Измените значение параметра порта по умолчанию с 443 на пользовательский порт. Change the default port setting from 443 to your custom port. На снимке экрана примера показан параметр порта 49999. The example screenshot shows a port setting of 49999.

Читайте также:  Бензопила stihl регулировка настройка
Шаг 4. изменение объекта служб регистрации ЦС на Active Directory Step 4: Edit the CA enrollment services Object on Active Directory

На контроллере домена откройте ADSIEdit. msc. On a domain controller, open adsiedit.msc.

Подключитесь к разделу конфигурациии перейдите к объекту службы регистрации ЦС: Connect to the Configuration partition, and navigate to your CA enrollment services object:

CN = ЕНТКА, CN = службы регистрации, CN = открытые ключи Services, CN = Services, CN = Configuration, DC = contoso, DC = com CN=ENTCA,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=com

Щелкните правой кнопкой мыши и измените объект CA. Right click and edit the CA Object. Измените атрибут мспки-регистрации-Servers , используя пользовательский порт с URI сервера CEP и CES, которые были найдены в параметрах приложения. Change the msPKI-Enrollment-Servers attribute by using the custom port with your CEP and CES server URIs that were found in the application settings. Например: For example:

Настройте клиентский компьютер. Configure the client computer

На клиентском компьютере настройте политики регистрации и политику автоматической регистрации. On the client computer, set up the Enrollment policies and Auto-Enrollment policy. Для этого выполните следующие действия: To do this, follow these steps:

Выберите Пуск > выполнитьи введите gpedit. msc. Select Start > Run, and then enter gpedit.msc.

Последовательно выберите Конфигурация компьютеранастройки > Windowsпараметры > безопасности, а затем политики открытого ключа. Go to Computer Configuration > Windows Settings > Security Settings, and then click Public Key Policies.

Включите политику автоматической регистрации клиента служб сертификатов для соответствия параметрам на следующем снимке экрана. Enable the Certificate Services Client — Auto-Enrollment policy to match the settings in the following screenshot.

Включите политику регистрации сертификатов клиента служб сертификатов. Enable Certificate Services Client — Certificate Enrollment Policy.

а. a. Нажмите кнопку Добавить , чтобы добавить политику регистрации и ввести идентификатор URI CEP с UserNamePassword , который мы редактировали в ADSI. Click Add to add enrollment policy and enter the CEP URI with UsernamePassword that we edited in ADSI.

b. b. В качестве типа проверки подлинностивыберите имя пользователя и пароль. For Authentication type, select Username/password.

c. c. Задайте приоритет 10, а затем проверьте сервер политики. Set a priority of 10, and then validate the policy server.

Убедитесь, что номер порта добавлен в URI и разрешен в брандмауэре. Make sure that the port number is added to the URI and is allowed on the firewall.

Зарегистрируйте первый сертификат для компьютера с помощью certlm. msc. Enroll the first certificate for the computer through certlm.msc.

Выберите шаблон КБР и зарегистрируйте сертификат. Select the KBR template and enroll the certificate.

Снова откройте gpedit. msc . Open gpedit.msc again. Измените политику регистрации сертификатов клиента служб сертификатов, а затем добавьте политику регистрации продления на основе ключей. Edit the Certificate Services Client – Certificate Enrollment Policy, and then add the key-based renewal enrollment policy:

а. a. Нажмите кнопку Добавить, введите URI CEP с сертификатом , измененным в ADSI. Click Add, enter the CEP URI with Certificate that we edited in ADSI.

b. b. Задайте приоритет 1, а затем проверьте сервер политики. Set a priority of 1, and then validate the policy server. Вам будет предложено выполнить аутентификацию и выбрать сертификат, который был зарегистрирован изначально. You will be prompted to authenticate and choose the certificate we enrolled initially.

Убедитесь, что значение приоритета политики регистрации продления на основе ключей ниже приоритета политики регистрации паролей для имени пользователя. Make sure that the priority value of the key-based renewal enrollment policy is lower than the priority of the Username Password enrollment policy priority. Первая предпочтение присваивается наименьшему приоритету. The first preference is given to the lowest priority.

Тестирование установки Testing the setup

Чтобы обеспечить работоспособность автоматического продления, убедитесь, что обновление вручную выполняется путем продления сертификата с тем же ключом с помощью MMC. To make sure that Auto-Renewal is working, verify that manual renewal works by renewing the certificate with the same key using mmc. Кроме того, во время обновления вам будет предложено выбрать сертификат. Also, you should be prompted to select a certificate while renewing. Вы можете выбрать сертификат, который мы зарегистрировали ранее. You can choose the certificate we enrolled earlier. Ожидается запрос. The prompt is expected.

Откройте личное хранилище сертификатов компьютера и добавьте представление «архивные сертификаты». Open the computer personal certificate store, and add the “archived certificates” view. Для этого добавьте оснастку учетной записи локального компьютера в mmc.exe, выделите Сертификаты (локальный компьютер) , щелкнув его, щелкните Просмотр на вкладке действие справа или в верхней части консоли MMC, щелкните Просмотр параметров, выберите архивные сертификаты, а затем нажмите кнопку ОК. To do this, add the local computer account snap-in to mmc.exe, highlight Certificates (Local Computer) by clicking on it, click view from the action tab at the right or the top of mmc, click view options, select Archived certificates, and then click OK.

Метод 1 Method 1

Выполните следующую команду: Run the following command:

Метод 2 Method 2

Передайте время и дату на клиентском компьютере в момент продления шаблона сертификата. Advance the time and date on the client machine into the renewal time of the certificate template.

Например, шаблон сертификата имеет срок действия в 2 дня и настроенный 8-часовой параметр обновления. For example, the certificate template has a 2-day validity setting and an 8-hour renewal setting configured. Пример сертификата был выпущен в 4:00 утра. The example certificate was issued at 4:00 A.M. в течение 18 дней месяца срок действия истекает в 4:00 утра. on 18th day of the month, expires at 4:00 A.M. на 20. on the 20th. Подсистема автоматической регистрации активируется при перезапуске и каждые 8 часов (приблизительно). The Auto-Enrollment engine is triggered on restart and at every 8-hour interval (approximately).

Таким образом, если вы перейдете время на 8:10 P.M. Therefore, if you advance the time to 8:10 P.M. на 19-часовом уровне, так как для нашего продленного периода в шаблоне задано значение 8, выполнение команды certutil-Pulse (для активации подсистемы AE) регистрирует сертификат автоматически. on the 19th since our renewal window was set to 8-hour on the template, running Certutil -pulse (to trigger the AE engine) enrolls the certificate for you.

После завершения теста верните параметр времени в исходное значение, а затем перезапустите клиентский компьютер. After the test finishes, revert the time setting to the original value, and then restart the client computer.

На предыдущем снимке экрана приведен пример, демонстрирующий, что механизм автоматической регистрации работает должным образом, поскольку для даты ЦС по-прежнему устанавливается значение 18. The previous screenshot is an example to demonstrate that the Auto-Enrollment engine works as expected because the CA date is still set to the 18th. Таким образом, он будет продолжать выдавать сертификаты. Therefore, it continues to issue certificates. В реальной ситуации не произойдет такого большого количества продлений. In a real-life situation, this large amount of renewals will not occur.

Источник

Adblock
detector