Операции с сертификатами

В данной инструкции рассматривается:

• Развертывание субординированного доменного центра сертификации на устройстве NPS AV
• Распространение издательских сертификатов на доменные компьютеры через GPO
• Издание сертификатов для серверных служб NPS AV с использованием субординированного ЦС

Схема сети

В нашем примере используется следующая схема сети:

Имена и адреса

Контроллер домена имеет IP-адрес 192.168.137.2 и FQDN DNS-имя controller.dom.loc. Контроллер домена обеспечивает работу домена dom.loc.

На сервере с FQDN DNS-именем srv2.dom.loc (IP-адрес 192.168.137.5) развернут корневой ЦС dom.loc CA. Для этого, на сервере srv2.dom.loc установлена и настроена роль Службы сертификатов AD с компонентами Центр сертификации и Служба регистрации в центре сертификации через Интернет. Описание установки и настройки Службы сертификатов AD выходит за рамки данной инструкции. Для настройки Службы сертификатов AD обратитесь к официальной документации от Microsoft.

Устройство NPS AV имеет IP-адрес 192.168.137.8 и FQDN DNS-имя npsava.dom.loc. В результате настроек, на нем будет развернут субординированный центр сертификации npsava.dom.loc CA.

Пользовательский компьютер имеет IP-адрес 192.168.137.31 и FQDN DNS-имя comp1.dom.loc.

Веб-доступ

После установки и настройки вышеозначенных компонентов, веб-интерфейс для выписки сертификатов доступен по адресу:

https://srv2.dom.loc/certsrv

Веб-интерфейс устройства NPS AV доступен по адресу:

https://npsava.dom.loc/

Необходимые программы

Для настройки, нам потребуются программы putty и WinSCP.

Для конвертирования между форматами хранения сертификатов и ключей понадобится пакет OpenSSL, который предустановлен на устройстве NPS AV или доступен в среде Cygwin для Windows.