<< Щелкните, чтобы показать Содержание >> Администратору > Подготовка системы к работе > Подписание и шифрование текстов > Центр сертификации

Шаблоны сертификатов центра сертификации

Contents

Использование шаблонов сертификатов производится с учетом специфики политики безопасности вашего предприятия. Настройка шаблонов не является обязательной.

Шаблон сертификата

Образец сертификата с заранее заданными настройками по умолчанию. Используется для создания новых сертификатов.

Шаблоны сертификатов упрощают задачу администрирования центра сертификации, позволяя администраторам выдавать сертификаты, предварительно настроенные для выбранных задач. Оснастка «Шаблоны сертификатов» устанавливается при установке центра сертификации и позволяет администратору выполнять задачи:

•	просматривать свойства каждого шаблона сертификата;

•	копировать и изменять шаблоны сертификатов;

•	указывать пользователей и компьютеры, которые могут считывать шаблоны и регистрировать сертификаты;

•	выполнять другие задачи администрирования, относящиеся к шаблонам сертификатов.

Примечание

Сертификаты, основанные на шаблонах сертификатов, могут выдаваться только центрами сертификации с типом «Предприятие».

Порядок создания шаблона сертификатов для разных операционных систем отличается:

Windows Server 2008/2008 R2

1.	В меню Пуск последовательно выберите пункты Все программы, Администрирование, Панель управления.

2.	В окне «Диспетчер сервера» в меню Роли последовательно выберите пункты Службы сертификации Active Directory, Шаблоны сертификатов.

3.	В окне «Шаблоны сертификатов» выберите пункт контекстного меню Скопировать шаблон для шаблона «Пользователь».

В появившемся окне выберите версию шаблона «Windows Server 2003 Enterprise». Если выбрать «Windows Server 2008 Enterprise» или выше, сгенерируется сертификат CNG. Подробнее требования к работе с CNG-сертификатами см. в документе «DIRECTUM 5.6. Типовые требования к аппаратному и программному обеспечению».

5.	В окне «Свойства нового шаблона» на закладке «Общие»:

•	заполните поле Отображаемое имя шаблона. Отображается в оснастке Шаблоны сертификатов, а также во всех других компонентах используемых для выдачи сертификатов;

•	заполните поле Имя шаблона. Отображается только в свойствах самого сертификата;

•	задайте период действия шаблона в поле Период действия;

•	задайте период обновления шаблона сертификата в поле Период обновления;

•	установите флажок Опубликовать в Active Directory.

6.	На закладке «Обработка запроса»:

•	в выпадающем списке Цель сертификата выберите значение Подпись и шифрование;

•	установите флажок Включить симметричные алгоритмы, разрешенные субъектом;

•	установите флажок Разрешить экспортировать закрытый ключ;

•	в поле Минимальный размер ключа укажите:

a)	1024 или выше для модуля расширения Standard Encryption;

b)	512 для модуля расширения GOST Encryption;

•	установите переключатель Подавать заявку для субъекта, не требуя ввода данных.

7.	На закладке «Имя субъекта» установите переключатель Предоставляется в запросе.

8.	На закладке «Безопасность»:

•	для группы пользователей «Прошедшие проверки» установите флажок Чтение;

•	для группы пользователей «Administrator» установите флажки Чтение, Запись, Заявка;

•	для группы пользователей «Domain Admins» установите флажки Чтение, Запись, Заявка;

•	для группы пользователей «Domain Users» установите флажок Заявка;

•	для группы пользователей «Enterprise Admins» установите флажки Чтение, Запись, Заявка.

9.	Нажмите на кнопку ОК.

Windows Server 2012/2012 R2/2016

1.	В меню Пуск последовательно выберите пункты Администрирование, Центр сертификации.

2.	В окне «Центр сертификации» выберите созданный центр сертификации в папке Шаблоны сертификатов. Выберите пункт контекстного меню Управление.

3.	В окне «Консоль шаблонов сертификатов» выберите пункт контекстного меню Скопировать шаблон для шаблона «Пользователь».

4.	В окне «Свойства нового шаблона» на закладке «Совместимость»:

•	в поле Центр сертификации укажите значение Windows Server 2003;

•	в поле Сертификат получателя укажите значение Windows XP / Server 2003;

•	нажмите на кнопку OK.

5.	На закладке «Общие»:

•	заполните поле Отображаемое имя шаблона. Отображается в оснастке Шаблоны сертификатов, а также во всех других компонентах используемых для выдачи сертификатов;

•	заполните поле Имя шаблона. Отображается только в свойствах самого сертификата;

•	задайте период действия шаблона в поле Период действия;

•	задайте период обновления шаблона сертификата в поле Период обновления;

•	установите флажок Опубликовать в Active Directory.

6.	На закладке «Обработка запроса»:

•	в выпадающем списке Цель сертификата выберите значение Подпись и шифрование;

•	установите флажок Включить симметричные алгоритмы, разрешенные субъектом;

•	установите флажок Разрешить экспортировать закрытый ключ;

•	в поле Минимальный размер ключа укажите:

a)	1024 или выше для модулей расширения Standard Encryption;

b)	512 для модуля расширения GOST Encryption.

•	установите переключатель Подавать заявку для субъекта, не требуя ввода данных.

7.	На закладке «Имя субъекта» установите переключатель Предоставляется в запросе.

8.	На закладке «Безопасность»:

•	для группы пользователей «Прошедшие проверки» установите флажок Чтение;

•	для группы пользователей «Administrator» установите флажки Чтение, Запись, Заявка;

•	для группы пользователей «Domain Admins» установите флажки Чтение, Запись, Заявка;

•	для группы пользователей «Domain Users» установите флажок Заявка;

•	для группы пользователей «Enterprise Admins» установите флажки Чтение, Запись, Заявка.

9.	Нажмите на кнопку ОК.

Администратор может:

•	добавить шаблон сертификата в центр сертификации

•	настроить автоматическую подачу заявок на сертификаты

Сообщество пользователей DIRECTUM