Чтобы установить службы сертификации, выполните следующие действия.1. Войдите в систему как член группы локальных администраторов и запустите диспетчер дополнительных компонентов или откройте панель управления, дважды щелкните значок «Установка и удаление программ» и выберите установку компонентов Windows.
Копировать код sysocmgr /i:sysoc.inf 2. Выберите службы сертификации (чтобы проигнорировать предупреждение об изменении имени, нажмите на кнопку «Да»). 3. Выберите в качестве типа центра сертификации «Изолированный корневой ЦС» и убедитесь в том, что флажок «Использовать пользовательские параметры» установлен. 4. Оставьте значения по умолчанию в диалоговом окне «Пара из открытого и закрытого ключей» неизменными за исключением поля «Длина ключа», в котором нужно задать значение 4096, и поля «Тип поставщика (CSP)», в котором нужно задать значение Microsoft Strong Cryptographic Provider. 5. Введите в следующие поля идентификационную информацию о центре сертификации, собранную на этапе подготовки. · Общее имя центра сертификации: · Суффикс различающегося имени: · Срок действия: 8 лет После этого поставщик службы криптографии сгенерирует пару ключей, которая будет сохранена в локальном хранилище ключей. Примечание. Если в системе ранее был установлен центр сертификации, появится диалоговое окно с предупреждением о перезаписи имеющегося закрытого ключа. Прежде чем продолжить, убедитесь в том, что этот ключ больше никогда не потребуется. 6. Местоположения базы данных сертификатов, журналов базы данных и конфигурационной папки оставьте без изменений. После этого диспетчер дополнительных компонентов установит компоненты служб сертификации, и для продолжения процесса потребуется носитель с установочными файлами ОС Windows Server 2003. 7. Нажмите кнопку ОК, чтобы проигнорировать предупреждения, связанные со службами IIS, и продолжите процесс установки до его завершения. Настройка свойств корневого центра сертификации При настройке корневого центра сертификации в соответствии с инструкциями, приведенными ниже, нужно будет задать ряд параметров, специфических для среды. Прежде чем продолжить, соберите необходимую для этого информацию, следуя указаниям, содержащимся в описании подготовительного этапа. Чтобы настроить свойства корневого центра сертификации, выполните следующие действия. 1. Войдите на сервер центра сертификации как член группы локальных администраторов. 2. Измените сценарий C:\MSSScripts\pkiparams.vbs следующим образом: · Назначьте параметру AD_ROOT_DN различающееся имя домена корня леса Active Directory. · Измените параметр HTTP_PKI_VROOT в соответствии с HTTP-путем к виртуальному каталогу IIS, созданному ранее. 3. Выполните следующий сценарий:
Копировать код Cscript //job:RootCAConfig C:\MSSScripts\ca_setup.wsf Настройка административных ролей Чтобы можно было использовать группы безопасности, созданные ранее, их нужно сопоставить с административными ролями, такими как аудитор и диспетчер сертификатов. Примечание. Скорее всего, в большинстве компаний будет реализована упрощенная модель делегирования, упомянутая выше, но на тот случай, если потребуется дополнительное разделение, ниже описывается более гибкая модель. Чтобы настроить административные роли корневого центра сертификации, выполните следующие действия. 1. Запустите консоль управления центром сертификации и щелкните пункт «Свойства». 2. Откройте вкладку «Безопасность» и добавьте локальные группы безопасности, указанные в следующей таблице, с соответствующими разрешениями. Таблица 13. Разрешения на работу с центром сертификации
3. Другие роли безопасности центра сертификации уже были определены для этого сервера с помощью политики безопасности.
|
