Установка центра сертификации
Центр сертификации (ЦС) – важный элемент в системе безопасности организации, поэтому в большинстве организаций имеется собственный ЦС. В Windows Server 2003 центры сертификации могут быть двух классов: ЦС предприятия (Enterprise СА) и изолированный ЦС (Stand-alone CA). Внутри каждого класса могут быть два типа ЦС: корневой (root) и подчиненный (subordinate).
В большинстве случаев центры сертификации организованы в иерархическом порядке, где наиболее доверяемый, или корневой, центр находится на вершине иерархии. В корпоративной сети все остальные ЦС в иерархии являются подчиненными. В корпоративной сети ЦС предприятия имеет максимальное доверие. ЦС предприятия имеют специальный модуль политик, который определяет, как обрабатываются и выпускаются сертификаты. Информация политики из данного модуля хранится в Active Directory, поэтому для инсталляции ЦС предприятия сначала следует установить Active Directory. Изолированные ЦС имеют очень простой модуль политик и не хранят никакой информации на удаленном сервере, поэтому для инсталляции данного центра не требуется наличия Active Directory.
Для развертывания собственного ЦС:
- Выберите на панели управления значок Add or Remove Programs (Установка и удаление программ).
- В открывшемся окне нажмите кнопку Add/Remove Windows Components (Добавление и удаление компонентов Windows).
- В окне мастера Windows Components Wizard (Мастер компонентов Windows) установите флажок Certificate Services (Службы сертификации) (при этом система предупредит вас о последствиях установки этих служб) и нажмите кнопку Next (Далее).
- На следующей странице мастера необходимо выбрать тип ЦС. Существуют четыре типа ЦС:
- Enterprise root СА (Корневой ЦС предприятия) – установите переключатель в это положение, если данный ЦС будет выпускать сертификаты для всех устройств, подключенных к сети в организации, и будет зарегистрирован в Active Directory. Данный ЦС является корнем в корпоративной иерархии ЦС и может устанавливаться только на контроллере домена. Обычно корневой ЦС предприятия выпускает сертификаты только для подчиненных ЦС;
- Enterprise subordinate СА (Подчиненный ЦС предприятия) – если у вас уже установлен корневой ЦС предприятия, выберите это положение переключателя. Однако данный ЦС не имеет наивысшего доверия в организации, поскольку он подчиняется корневому ЦС. Может устанавливаться только на контроллере домена;
- Stand-alone root CA (Изолированный корневой ЦС) – данный ЦС устанавливается для выпуска сертификатов за пределами корпоративной сети. Например, требуется установить изолированный корневой ЦС, если этот ЦС не будет участвовать в корпоративном домене и будет выпускать сертификаты для узлов во внешних сетях. Корневой ЦС обычно используется для выпуска сертификатов для подчиненных ЦС;
- Stand-alone subordinate CA (Изолированный подчиненный ЦС) – подчиненный ЦС, который выпускает сертификаты для узлов за пределами корпоративной сети.
- Если вы собираетесь изменить параметры шифрования по умолчанию, установите флажок Use custom setting to generate the key pair and CA certificate (Использовать специальные параметры для генерации пары ключей и сертификата ЦС).
- Нажмите кнопку Next.
- Укажите имя ЦС и срок действия сертификатов. Введите необходимую информацию и нажмите кнопку Next.
- Укажите папку на локальном или общем диске для хранения сертификатов и нажмите кнопку Next.
- По окончании процедуры инсталляции нажмите кнопку Finish (Готово).