Windows Server 2008. Создание и настройка центра сертификации
Обязательные условия для наличия возможности работы с ЭЦП в системе ELMA:
- наличие установленного веб-браузера Internet Explorer;
- наличие установленного приложения CAPICOM;
- наличие активированного приложения ECM+;
- в веб-приложении в разделе Администрирование – Система – Настройки системы в блоке Настройки ЭЦП в качестве криптопровайдера должен быть выбран Внутренний ;
- в веб-приложении в разделе Администрирование – Документооборот – Настройка шаблонов ЭЦП должны быть заполнены и сохранены все шаблоны подписи;
- пользователь должен иметь права на подписание документов. Права назначаются администратором системы в разделе Администрирование – Документооборот - Права доступа к модулю "Документооборот".
Основные требования к системе:
- Работа с сертификатами обязательно должна осуществляться в веб-браузере Internet Explorer.
- Для обеспечения возможности настройки шаблона сертификата, добавления ролей, а также для выполнения дополнительных настроек системы необходимо членство в группе Администраторы домена, Администраторы предприятия или в эквивалентной группе.
- Для обеспечения возможности работы с ЭЦП в системе ELMA всем пользователям Windows необходимо состоять в одном домене.
Создание и настройка центра сертификации состоит из нескольких этапов.
Добавление ролей Windows Server
Добавление ролей состоит из нескольких шагов.
1. Запуск Диспетчера служб . Для этого необходимо нажать на кнопку Пуск – Все программы – Администрирование – Диспетчер сервера.
2. В дереве консоли (в левой части окна) необходимо вызвать контекстное меню пункта Роли и нажать на пункт меню Добавить роли (рис. 1).
Рис. 1. Дерево консоли. Кнопка контекстного меню "Добавить роли"
3. В открывшемся диалоговом окне Мастер добавления ролей (рис. 2), необходимо нажать на кнопку Далее .
Рис. 2. Диалоговое окно "Мастер добавления ролей"
4. В окне Выбор ролей сервера (рис. 3) необходимо установить флажок Службы сертификации Active Directory . После этого в дереве консоли (в левой части окна Диспетчер сервера ) будут отображены дополнительные пункты меню. Для продолжения работы необходимо нажать на кнопку Далее .
Рис. 3. Диалоговое окно "Выбор ролей сервера"
5. В окне Знакомство со службами сертификации Active Directory (рис. 4) необходимо нажать на кнопку Далее .
Рис. 4. Диалоговое окно "Знакомство со службами сертификации Active Directory"
6. В окне Выбор служб ролей (рис. 5) необходимо установить флажок Служба регистрации в центре сертификации через Интернет . При этом будут автоматически определены необходимые службы ролей и компоненты (такие как IIS) и будет предложено их добавить.
Рис. 5. Диалоговое окно "Выбор служб ролей"
При нажатии на флажок Служба регистрации в центре сертификации через Интернет будет открыто диалоговое окно (рис. 6), в котором необходимо нажать на кнопку Добавить требуемые службы роли . После этого в окне Выбор служб ролей необходимо нажать на кнопку Далее .
Рис. 6. Диалоговое окно добавления требуемых служб ролей
7. В окне Задание типа установки (рис. 7) необходимо установить переключатель в положение Предприятие и нажать на кнопку Далее .
Рис. 7. Диалоговое окно "Задание типа установки"
8. В окне Задание типа ЦС (рис. 8) необходимо установить переключатель в положение Корневой ЦС и нажать на кнопку Далее .
Рис. 8. Диалоговое окно "Задание типа ЦС"
9. В окне Установка закрытого ключа (рис. 9) необходимо установить переключатель в положение Создать новый закрытый ключ и нажать на кнопку Далее .
Рис. 9. Диалоговое окно "Установка закрытого ключа"
10. В окне Настройка шифрования для ЦС (рис. 10) необходимо нажать на кнопку Далее .
Рис. 10. Диалоговое окно "Настройка шифрования для ЦС"
11. В окне Задание имени ЦС (рис. 11) необходимо ввести требуемое имя и нажать на кнопку Далее .
Рис. 11. Диалоговое окно "Задание имени ЦС"
12. В окне Установить срок действия (рис. 12) необходимо выбрать требуемый срок и нажать на кнопку Далее .
Рис. 12. Диалоговое окно "Установить срок действия"
13. В окне Настройка базы данных сертификатов (рис. 13) необходимо выбрать требуемое расположение хранения сертификатов и нажать на кнопку Далее .
Рис. 13. Диалоговое окно "Настройка базы данных сертификатов"
14. В окне Веб-сервер (IIS) (рис. 14) необходимо нажать на кнопку Далее .
Рис. 14. Диалоговое окно "Веб-сервер (IIS)"
15. В окне Выбор служб ролей (рис. 15) необходимо нажать на кнопку Далее .
Рис. 15. Диалоговое окно "Выбор служб ролей"
16. В окне Подтверждение выбранных элементов для установки (рис. 16) необходимо проверить выбранные для установки элементы и нажать на кнопку Установить . При необходимости данные параметры могут быть изменены путем перехода к требуемой настройке с помощью кнопки Назад .
Рис. 16. Диалоговое окно "Подтверждение выбранных элементов для установки"
17. Ход выполнения установки будет отображен в соответствующем окне (рис. 17).
Рис. 17. Диалоговое окно "Ход выполнения установки"
После завершения установки необходимо нажать на кнопку Закрыть (рис. 18).
Рис. 18. Диалоговое окно "Результаты установки"
18. В дереве консоли (в левой части экрана) будет отображен пункт Службы сертификации Active Directory (рис. 19) с установленным центром сертификации (ЦС).
Рис. 19. Дерево консоли
19. Далее необходимо подключить расширения в настройках созданного ЦС. Для этого необходимо вызвать контекстное меню данного ЦС и выбрать пункт Свойства . Далее необходимо перейти на вкладку Расширения , в списке отзыва сертификата выбрать пункт http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl и установить ниже него все доступные флажки (рис. 20).
Рис. 20. Свойства ЦС. Вкладка "Расширения"
Далее в списке отзыва сертификата необходимо выбрать пункт file://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl и установить ниже него флажки № 3 и 4 (рис. 21).
Рис. 21. Свойства ЦС. Вкладка "Расширения"
Для сохранения изменений необходимо нажать на кнопку Применить . В открывшемся диалоговом окне (рис. 22) необходимо нажать на кнопку ДА .
Рис. 22. Диалоговое окно "Центр сертификации"
После выполнения перезапуска службы сертификации необходимо нажать на кнопку ОК . Далее необходимо перезагрузить компьютер для применения внесенных изменений.
Создание шаблона сертификата
Создание шаблона сертификата состоит из нескольких шагов.
1. В Диспетчере сервера необходимо перейти в раздел Шаблоны сертификатов и выполнить команду Скопировать шаблон (рис. 23) на существующем шаблоне (например, скопировать шаблон Пользователь) .
Рис. 23. Диспетчер сервера. Раздел "Шаблоны сертификатов". Пункт контекстного меню "Скопировать шаблон"
2. В открывшемся диалоговом окне (рис. 24) обязательно необходимо установить переключатель в положение Windows Server 2003 Enterprise. Для подтверждения выбора необходимо нажать на кнопку ОК .
Рис. 24. Диалоговое окно копирования шаблона
3. В открывшихся свойствах шаблона (рис. 25) необходимо на вкладке Общие указать имя шаблона и снять флажок Опубликовать сертификат в Active Directory .
Рис. 25. Свойства шаблона. Вкладка "Общие"
4. Необходимо перейти на вкладку Обработка запроса (рис. 26) и в поле Цель выбрать пункт Подпись .
Рис. 26. Свойства шаблона. Вкладка "Обработка запроса"
5. Необходимо перейти на вкладку Имя субъекта (рис. 27) и сверить ее заполнение с приведенным ниже изображением.
Рис. 27. Свойства шаблона. Вкладка "Имя субъекта"
6. Необходимо перейти на вкладку Безопасность (рис. 28) и для группы Прошедшие проверку требуется установить флажок Заявка в колонке "Разрешить".
Рис. 28. Свойства шаблона. Вкладка "Безопасность"
7. Необходимо перейти на вкладку Расширения (рис. 29) и изменить настройки Политики применения . Для этого необходимо нажать на кнопку Изменить .
Рис. 29. Свойства шаблона. Вкладка "Расширения"
8. В открывшемся диалоговом окне (рис. 30) необходимо выбрать политику Подписывание документа и нажать на кнопку ОК . В том случае, если данный пункт отсутствует, необходимо нажать на кнопку Добавить .
Рис. 30. Диалоговое окно "Изменение расширения политик применения"
9. В открывшемся диалоговом окне (рис. 31) необходимо выбрать Подписывание документа и нажать на кнопку ОК .
Рис. 31. Диалоговое окно "Добавление политики применения"
10. После выполнения всех требуемых настроек необходимо нажать на кнопку Применить – ОК (в окне создания шаблона).
Далее следует добавить шаблон в настроенный ранее ЦС. Для этого:
1. В Диспетчере сервера необходимо вызвать контекстное меню пункта Шаблоны сертификатов , в котором необходимо нажать на кнопку Создать – Выдаваемый шаблон сертификата (рис. 32).
Рис. 32. Диспетчер сервера. Пункт меню "Шаблоны". Кнопка контекстного меню "Создать – Выдаваемый шаблон сертификата"
2. В открывшемся диалоговом окне (рис. 33) необходимо выбрать ранее созданный шаблон и нажать на кнопку ОК .
Рис. 33. Диалоговое окно "Включение шаблонов сертификатов"
Установка и настройка шаблона сертификатов закончена.
Далее необходимо осуществить проверку состояния службы Служба состояний ASP. NET (рис. 34). Данная служба не должна быть остановлена. В том случае, если служба остановлена, необходимо нажать на кнопку Пуск .
Рис. 34. Диспетчер сервера. Служба состояний ASP.NET
Проверка работы ЦС
Для первоначальной проверки работоспособности ЦС необходимо запустить оснастку Центр сертификации ( Пуск – Администрирование – Центр Сертификации ). В том случае, если все настроено верно, будет отображено следующее окно (рис. 35).
Рис. 35. Центр сертификации
Получение корневого сертификата
Для этого необходимо запустить веб-браузер Internet Explorer, в адресной строке которого следует указать адрес http://имя_сервера/certsrv , где имя_сервера – имя сервера ЦС. В случае попытки подключения на том же компьютере, где установлен ЦС, может быть указан адрес http://localhost/certsrv. Будет открыта главная страница (рис. 36) центра сертификации.
Рис. 36. Главная страница центра сертификации
Прежде всего необходимо загрузить сертификат ЦС и поместить его в хранилище доверенных корневых центров сертификации. Если в вашей сети несколько ЦС, следует загрузить и установить цепочку сертификатов. Для этого следует выбрать: Загрузка сертификата ЦС, цепочки сертификатов или CRL , затем Загрузка сертификата ЦС и сохранить сертификат в любую папку на данном компьютере.
Теперь перейдем к установке. Для этого необходимо в контекстном меню сертификата нажать на кнопку Установить сертификат (рис. 37) . Будет открыт мастер импорта.
Рис. 37. Контекстного меню сертификата. Кнопка "Установить сертификат"
В открывшемся диалоговом окне (рис. 38) необходимо нажать на кнопку Далее .
Рис. 38. Диалоговое окно "Мастер импорта сертификатов"
В открывшемся диалоговом окне (рис. 39) необходимо установить переключатель Поместить все сертификаты в следующее хранилище и нажимаем на кнопку Обзор… .
Рис. 39. Диалоговое окно ручного выбора хранилища сертификатов
В открывшемся диалоговом окне (рис. 40) необходимо выбрать пункт Доверенные корневые центры сертификации и нажать на кнопку ОК.
Рис. 40. Диалоговое окно выбора хранилища сертификатов
В окне Мастер импорта сертификатов (рис. 41) нажимаем на кнопку Далее . В следующем окне нажимаем на кнопку Готово .
Рис. 41. Диалоговое окно "Завершение мастера импорта сертификатов"
Будет открыто диалоговое окно (рис. 42) с уведомлением о результате импорта. Необходимо нажать на кнопку ОК .
Рис. 42. Диалоговое окно с уведомлением о результате импорта
Теперь данный ПК будет доверять всем сертификатам, выданным данным ЦС.
Получение клиентского сертификата
Для получения клиентского сертификата необходимо открыть сайт ЦС в браузере в Internet Explorer и выбрать Запрос сертификата – расширенный запрос сертификата – Создать и выдать запрос к этому ЦС .
При попытке создать запрос сертификата может быть отображено следующее предупреждение (рис. 43), в котором необходимо нажать на кнопку ОК . В данном случае необходимо добавить текущий узел в зону Надежные узлы и установить низкий уровень безопасности для этой зоны.
Рис. 43. Уведомление о необходимости добавления текущего узла в зону "Надежные узлы"
Для этого необходимо перейти к настройкам веб-браузера Internet Explorer и нажать на кнопку Свойства обозревателя (рис. 44).
Рис. 44. Настройки веб-браузера Internet Explorer. Кнопка "Свойства обозревателя"
В открывшемся диалоговом окне (рис. 45) необходимо перейти на вкладку Безопасность и для зоны Надежные узлы установить переключатель уровня безопасности в положение Ниже среднего .
Рис. 45. Диалоговое окно "Свойства обозревателя". Вкладка "Безопасность"
Далее требуется добавить текущий сайт к надежным узлам. Для этого необходимо на данной вкладке ( Безопасность ) нажать на кнопку Узлы и в открывшемся диалоговом окне (рис. 46) нажать на кнопку Добавить , а также снять флажок Для всех узлов этой зоны требуется проверка серверов ( https:). Для сохранения изменений необходимо нажать на кнопку Закрыть .
Рис. 46. Диалоговое окно "Свойства обозревателя". Вкладка "Безопасность". Диалоговое окно "Надежные узлы"
Также необходимо разрешить загрузку неподписанных ActiveX . Для этого необходимо на вкладке Безопасность нажать на кнопку Другой… и в окне Параметры безопасности (рис. 47) в группе Элементы ActiveX и модули подключения установить все переключатели в положение Включить . Для сохранения внесенных изменений необходимо нажать на кнопку ОК .
Рис. 47. Диалоговое окно "Свойства обозревателя". Вкладка "Безопасность". Диалоговое окно "Параметры безопасности"
Далее будет отображено предупреждение (рис. 48), в котором необходимо нажать на кнопку Да .
Рис. 48. Диалоговое окно с предупреждением о изменении настроек зоны
Далее необходимо нажать на кнопку Применить – ОК .
Далее необходимо перейти в веб-браузер Internet Explorer и заполнить форму запроса (рис. 49).
В поле Шаблон сертификата необходимо выбрать пункт Только подпись пользователя и нажать на кнопку Выдать .
Рис. 49. Веб- браузер Internet Explorer. Форма расширенного запроса сертификата
Будет отображено сообщение о выдаче сертификата (рис. 50), в котором необходимо нажать на кнопку Установить этот сертификат .
Рис. 50. Веб- браузер Internet Explorer. Сообщение о выдаче сертификата
Будет отображено сообщение об установке сертификата (рис. 51).
Рис. 51. Веб- браузер Internet Explorer. Сообщение об установке сертификата
Следует отметить, что по истечении срока действия клиентского сертификата его необходимо удалить, а затем получить и установить заново.
Если все сделано правильно, то сертификат успешно установится в хранилище личных сертификатов. Все успешно выданные сертификаты отображаются в Центре сертификации в разделе Выданные сертификаты (рис. 52).
Рис. 52. Центр сертификации. Раздел "Выданные сертификаты"
При необходимости все выданные сертификаты могут быть отозваны.
Для просмотра всех полученных личных сертификатов в веб-браузере Internet Explorer необходимо перейти к настройкам веб-браузера Internet Explorer и нажать на кнопку Свойства обозревателя (рис. 53).
Рис. 53. Настройки веб-браузера Internet Explorer. Кнопка "Свойства обозревателя"
В открывшемся диалоговом окне (рис. 54) необходимо перейти на вкладку Содержание и в блоке настроек Сертификаты нажать на кнопку Сертификаты .
Рис. 54. Диалоговое окно "Свойства обозревателя". Вкладка "Содержание"
В открывшемся диалоговом окне (рис. 55) на вкладке Личные будут отображены все личные сертификаты, полученные текущим пользователем.
Рис. 55. Диалоговое окно "Свойства обозревателя". Вкладка "Содержание". Диалоговое окно "Сертификаты"
После выполнения всех описанных выше настроек необходимо загрузить с официального сайта Microsoft свободно распространяемый набор средств разработки CAPICOM. Данное ПО будет необходимо для осуществления подписания документа в веб-приложении ELMA с использованием ЭЦП.