Подача заявок на сертификаты смарт-карт
Пользователь домена не может выполнять подачу заявок на сертификат входа со смарт-картой (проверки подлинности) или на сертификат пользователя смарт-карты (проверка подлинности плюс электронная почта) до тех пор, пока системный администратор не обеспечит пользователю доступ к Шаблону сертификата, хранящемуся в службе Active DirectoryTM ОС Microsoft® Windows® 2000. Поскольку подача заявок на сертификаты должна контролироваться, то это сделано по аналогии с тем, как используется удостоверения служащих для обеспечения их идентификации и физического доступа. Пользователям рекомендуется подавать заявки на сертификаты смарт-карт и ключей от имени станции, входящей в состав Службы сертификации ОС Windows® 2000 Server и Windows 2000 Advanced Server.
При установке Центра сертификации предприятия (CA) устанавливается также специальная станция, от имени которой происходит подача заявок. Использование этой станции позволяет администратору действовать от имени определенного пользователя для осуществления запроса и установки на смарт-карту сертификата Входа со смарт-картой или сертификата Пользователя смарт-карты. Станция подачи заявок не предоставляет никаких особых функций по управлению смарт-картами, таких как создание файловой структуры или изменение PIN-кода, поскольку все эти особые функции являются уникальными и зависят от производителя. Этими функциями можно воспользоваться только при использовании специализированного программного обеспечения, разработанного производителем смарт-карты.
Все описанные в данном пошаговом руководстве процедуры должны выполнятся администратором.
Подача заявок на сертификат смарт-карты
Следующие шаги показывают, что необходимо сделать администратору для подачи заявки на сертификаты Входа со смарт-картой и Пользователя смарт-карты от имени определенного пользователя.
- Дважды щелкните по значку Microsoft Internet Explorer на рабочем столе.
- Для подключения к Центру сертификации введите http://machine-name/certsrv в поле Адрес (Address) Microsoft Internet Explorer (где machine-name необходимо заменить на имя того компьютера, на котором работает Центр сертификации).
- Появится страница приветствия Служб сертификатов Microsoft (Microsoft Certificate Services Welcome). Выберите Запросить сертификат (Request a certificate) и затем нажмите Далее (Next).
- Появится страница Выбора типа запроса (Choose Request Type). Выберите Дополнительные параметры запроса(Advanced request) и нажмите Далее (Next).
- Появится страница Дополнительных параметров запроса сертификата (Advanced Certificate Requests). Выберите Запросить сертификат для смарт-карты от имени другого пользователя (Request a certificate for a smart card on behalf of another user), используя Станцию подачи заявок смарт-карт (Smart Card Enrollment Station), и нажмите Далее (Next).
- При первом использовании Станции подачи заявок смарт-карт (Smart Card Enrollment Station) из Центра сертификации на нее будет загружен компонент Microsoft® ActiveX®, имеющий цифровую подпись и обеспечивающий контроль. Для начала использования Станции подачи заявок нажмите Да (Yes) в диалоговом окне Предупреждение системы безопасности (Security Warning), чтобы установить компонент контроля.
Появится страница Станция подачи заявок смарт-карт (Smart Card Enrollment Station). На этой странице перед тем, как подать заявку от имени другого пользователя, Вам необходимо проделать следующее:
Выполните первые три пункта, выбрав указанные значения в раскрывающихся списках на странице Станция подачи заявок смарт-карт (Smart Card Enrollment Station)
- Выберите один из двух шаблонов сертификата: Вход со смарт-картой (Smart Card Logon) или Пользователь смарт-карты (Smart Card User)
- Выберите Центр сертификации (Certification Authority).
- Выберите Поставщика служб криптографии (Cryptographic Service Provider).
- Выберите Сертификат подписи администратора (Administrator Signing Certificate).
- Выберите Заявляемого пользователя (User To Enroll).
- После выбора Шаблона сертификата (Certificate Template), Центра сертификации (Certification Authority) и Поставщика служб криптографии (Cryptographic Service Provider), выберите Сертификат подписи администратора (Administrator Signing Certificate), нажав Выбрать сертификат (Select Certificate). Появится диалоговое окно со списком доступных к использованию сертификатов. Выберите всего один сертификат из списка (в том случае, если будет представлено больше одного сертификата) и нажмите OK. У Вас также имеется возможность посмотреть сертификат, нажав Просмотр сертификатов (View Certificate). Нажатие Отмена (Cancel) приведет к тому, что ни один сертификат не будет выбран.
- Выберите пользователя, для которого необходимо подать заявку на сертификат. Нажмите Выбор пользователя (Select User). Для завершения нажмите OK.
- Все готово для того, чтобы отправить запрос. Нажмите Подать заявку (Enroll).
- . Если смарт-карта не вставлена в считыватель смарт-карт, появится диалоговое окно, информирующее о необходимости сделать это. Вставив карту в считыватель смарт-карт, нажмите кнопку Повтор (Retry).
- . Являясь частью процедуры подачи заявки на сертификат, запрос должен иметь цифровую подпись в виде закрытого ключа, соответствующего открытому ключу, который содержится в запросе сертификата. Поскольку закрытый ключ хранится на смарт-карте, то для получения цифровой подписи необходимо будет пройти процедуру проверки подлинности, чтобы доказать, что Вы являетесь владельцем смарт-карты (и соответственно закрытого ключа). Введите PIN-код карты и затем нажмите OK.
Также пользователь может изменить PIN-код, нажав Изменить (Change). При этом откроется диалоговое окно, в котором пользователь сможет ввести новый буквенно-цифровой PIN-код. Перед изменением PIN-кода необходимо будет вначале ввести старый PIN-код, чтобы подтвердить, что Вы являетесь владельцем карточки. Если Центр сертификации успешно обработает запрос сертификата, то на странице Станции подачи заявок смарт-карт (Smart Card Enrollment Station)отобразится информация о том, что процедура подачи заявки завершена и карточка готова к использованию. Вы можете просмотреть сертификат, нажав Просмотр сертификата (View Certificate), или определить нового пользователя, нажав Новый пользователь (New User).