Чтобы отправить запрос сертификата корневому центру сертификации, выполните следующие действия.

1. Войдите в систему корневого центра сертификации, используя учетную запись члена группы Certificate Managers.

2. Убедитесь в том, что в компьютере находится диск, на котором был сохранен файл запроса сертификата.

3. Выберите в меню «Задачи ЦС» консоли управления центром сертификации пункт «Выдать новый запрос» и отправьте запрос, полученный от выдающего центра сертификации.

4. Найдите выданный сертификат в контейнере выданных сертификатов и откройте его.

5. Убедитесь в том, что сведения о сертификате верны, и экспортируйте сертификат в файл, нажав кнопку «Копировать в файл». Сохраните файл на диске в виде файла PKCS#7 и укажите, что в цепочку нужно включить все возможные сертификаты, задав соответствующий параметр.

Обновление информации о сертификатах в выдающем центре сертификации

Сертификат корневого центра сертификации уже опубликован в хранилище доверенного корня Active Directory, и теперь следует убедиться в том, что выдающий центр сертификации загрузил эту информацию и поместил сертификат в собственное хранилище корня.

Чтобы обновить и проверить информацию о доверии сертификатов в выдающем центре сертификации, выполните следующие действия.

1. Войдите в систему выдающего центра сертификации, используя учетную запись локального администратора или эквивалентную ей.

2. Введите в командной строке следующую команду:

 

Копировать код

certutil –pulse

Эта команда указывает центру сертификации загрузить новую информацию о доверенном корне из каталога и поместить сертификат корневого центра сертификации в собственное хранилище доверенного корня. Этот этап необязателен, но игнорировать его не следует, так как он позволяет убедиться в том, что предыдущие этапы публикации были выполнены успешно.

3. Запустите файл mmc.exe и добавьте оснастку «Сертификаты».

4. Выберите в качестве хранилища сертификатов, которым нужно управлять, вариант «Учетная запись компьютера».

5. Убедитесь в том, что сертификат корневого центра сертификации находится в папке Trusted Root Certificate Authorities.

Установка сертификата в выдающем центре сертификации

Подписанный ответ корневого центра сертификации уже создан как пакет сертификатов PKCS#7, и теперь его можно установить в выдающем центре сертификации. Для публикации сертификата центра сертификации в хранилище NTAuth службы Active Directory, которое идентифицирует центр сертификации как центр сертификации предприятия, этот сертификат нужно установить, используя учетную запись, входящую в выдающем центре сертификации в группу Enterprise PKI Admins и локальную группу Administrators. Первая группа имеет права на установку сертификата центра сертификации в каталог, а вторая — на установку сертификата на сервере центра сертификации. Если используется уже упоминавшаяся простая модель администрирования, роль CAAdmin уже является членом обеих этих групп.

Чтобы установить сертификат выдающего центра сертификации, выполните следующие действия.

1. Войдите в систему выдающего центра сертификации, используя учетную запись, входящую в группу Enterprise PKI Admins и локальную группу Administrators.

2. Вставьте диск с подписанным сертификатом, выданным корневым центром сертификации.

3. Выберите в меню «Задачи ЦС» консоли управления центром сертификации пункт «Установить сертификат», чтобы установить сертификат выдающего центра сертификации с дискеты.

После этого центр сертификации должен начать работу.

Настройка свойств выдающего центра сертификации

При выполнении следующей процедуры будут сконфигурированы специфичные для среды параметры, информация о которых была собрана при подготовке к созданию выдающего центра сертификации. Перед выполнением этого этапа важно убедиться в том, что собранная информация об организации включена в файл C:\MSSScripts\pkiparams.vbs в корневом центре сертификации и что эти изменения были также распространены на выдающий центр сертификации.