Vydávání certifikátů na Windows platformě

Jan Holan       27.05.2013       Bezpečnost, IT       18289 zobrazení

Pro vydávání certifikátů ve vaší organizaci s Microsoft Certification Authority (CA) máme několik způsobů. Nejlepší z nich je použití přímo konzoli certifikátu a její funkci pro request nového certifikátu, kde (tuším od Windows Vista) je k tomu hodně pěkně udělané "klikátko", které dnes již nahradilo starší webové rozhraní certifikační authority. Projdeme si cely postup.

Spustíme konzoli pro správu certifikátů. Na Windows 8 nebo Windows Server 2012 to uděláme jednoduše tím, že ve start nabídce vyhledáme položku Manage Computer Certificates (případně Manage user certificates) v sekci hledání Settings. Na starších Windows tyto odkazy nejsou, tak spustíme přímo mmc.exe. Dále zvolíme volbu File/Add/Remove Snap-in, vybereme Certificates a navolíme Computer account (případně My user account).

Vybereme Personal store certifikátů a nyní již spustíme vlastního průvodce pro vydání (enrollment) nového certifikátu volbou Request New Certificate. Vybereme přednastavenou enrollment politiku – šablonu certifikátu (certificate templates). V okně jsou nám nabídnuty ty, na které máme pro vydávání patřičná práva.

Zde můžete narazit na častý problém, že se vám nenabídnou šablony, na které si myslíte, že práva máte. Na serveru s certifikační autoritou ve správě šablon se podívejte (volbou manage na Certificate Templates v CA) na záložku Security požadované šablony. Právo pro zaslání požadavku Enroll (případně pro automatické vydávání certifikátu Autoenroll) musí být podle typu šablony nastaveno buď na uživatelé nebo na počítače. Tak například, aby byla šablona pro Web Server dostupná, musí být nastavena na konkrétní počítače nebo skupinu (např. Domain Computers), podobně, aby byla šablona dostupná na doménovém řadiči, musí být právo povoleno na ENTERPRISE DOMAIN CONTROLLERS. (Práva šablony lze také vypsat příkazem certutil -template)

TemplateSecurity

Zpět v Certifcate Enrollment průvodci, pokud tedy máte práva správně nastavena, můžete vybrat požadovanou šablonu vydávaného certifikátu.

SelectTemplate

Popíšeme si postup vystavení certifikátu pro Webový server, zvolím tedy šablonu Web Server. Dále vyvoláme dialog na nastavení vlastností certifikátu. Tento dialog lze vyvolat vždy, ale u některých šablon je to nepovinné. U šablony Web Serveru to je naopak nutné, protože šablona vyžaduje v requestu nastavit povinný parametr Subject.

Zde můžeme podrobně určit parametry certifikátu Webového serveru přesně jak potřebujeme. Tak například pro certifikát s více jmény nastavíme první jméno do typu Common Name (CN) pole Subject a dále všechna jména, včetně toto prvního, dáme do pole Subject Alternative Name (SAN) do typy DNS.

CertificateProperties

Voleb a možností je v dialogu velké množství, já se ještě zmíním o jedné důležité, na záložce Private Key sekce Key options. Zde je volba Make private key exportable, kterou nastavíme tehdy, pokud chceme vytvořený certifikát z Windows certificate store exportovat i s jeho privátním klíčem, například abychom certifikát přenesli na jiný počítač. (Ve výchozím nastavení šablony Web Server je volba vypnutá.)

CertificateProperties2

Pokud máme vše nastaveno zvolíme již volbu Enroll, žádost je vytvořena, předána na Certification Authority a pokud je to možné, tak je automaticky vyřízena (například pokud není v šabloně požadováno potvrzení od managera apod.).

Certificates

Vytvořený certifikát je uložen do Personal store odkud ho můžeme rovnou použít například v IIS bindingu pro https.

 

hodnocení článku

0 bodů / 1 hlasů       Hodnotit mohou jen registrované uživatelé.

 

Nový příspěvek

 

                       
Nadpis:
Antispam: Komu se občas házejí perly?
Příspěvek bude publikován pod identitou   anonym.

Nyní zakládáte pod článkem nové diskusní vlákno.
Pokud chcete reagovat na jiný příspěvek, klikněte na tlačítko "Odpovědět" u některého diskusního příspěvku.

Nyní odpovídáte na příspěvek pod článkem. Nebo chcete raději založit nové vlákno?

 

  • Administrátoři si vyhrazují právo komentáře upravovat či mazat bez udání důvodu.
    Mazány budou zejména komentáře obsahující vulgarity nebo porušující pravidla publikování.
  • Pokud nejste zaregistrováni, Vaše IP adresa bude zveřejněna. Pokud s tímto nesouhlasíte, příspěvek neodesílejte.

přihlásit pomocí externího účtu

přihlásit pomocí jména a hesla

Uživatel:  
Heslo:  

zapomenuté heslo

 

založit nový uživatelský účet

zaregistrujte se

 
zavřít

Nahlásit spam

Opravdu chcete tento příspěvek nahlásit pro porušování pravidel fóra?

Nahlásit Zrušit

Chyba

zavřít

feedback