Для выпуска сертификата с назначением Enrollment Agent запустите от имени учетной записи с правами локального администратора на сервере Indeed Certificate Manager утилиту Cm.CertEnroll.MsCA.exe с параметрами /e <userName> <password> /t <templateName> где:

  • userName – имя сервисной учетной записи для работы с центрами сертификации (serviceca).
  • password – пароль сервисной учетной записи.
  • templateName – имя шаблона сертификата Агента регистрации. Поддерживаются шаблоны с любыми именами, имеющие Улучшенный ключ (Extended Key Usage) Агент запроса сертификата (Certificate Request Agent).
Пример:
Cm.CertEnroll.MsCA.exe /e serviceca p@ssw0rd /t=”IndeedEnrollmentAgent”
Результат работы утилиты:
CA: msca.demo.local\Indeed-Demo-CA
Certificate has been enrolled successfully.

Если запрос на сертификат должен быть одобрен оператором УЦ, то утилита предложит принять запрос и продолжить работу, указав при этом порядковый номер запроса и имя ключевого контейнера:

CA: msca.demo.local\Indeed-Demo-CA
Certificate request is pending.
Request id: 27
Container name: lr-IndeedEnrollmentAgent-175d9490-7481-4a29-b567-503d39747354
Please accept request and then install certificate.

После одобрения запроса оператором необходимо выполнить команду для установки сертификата в хранилище. Для этого запустите утилиту Cm.CertEnroll.MsCA.exe с параметром /i <userName> <password> <requestId> <containerName>, где:

  • userName – имя сервисной учетной записи для работы с центрами сертификации (serviceca).
  • password – пароль сервисной учетной записи.
  • requestId – порядковый номер запроса на сертификат.
  • containerName – имя ключевого контейнера.
Cm.CertEnroll.MsCA.exe /i serviceca p@ssw0rd 27 lr-IndeedEnrollmentAgent-175d9490-7481-4a29-b567-503d39747354
CA: msca.demo.local\Indeed-Demo-CA
Certificate has been installed successfully.

В результате работы утилиты в хранилище сертификатов компьютера, на котором установлен сервер системы, появится сертификат с назначением Агент запроса сертификатов (Enrollement Agent) с экспортируемым закрытым ключом и настроенными правами на управление закрытым ключом для учетной записи сервисного пользователя.

Если необходимо выпустить сертификат Агент регистрации (Enrollment Agent) с определенного центра сертификации (например, в домене развернуто несколько центров сертификации), то запустите утилиту с параметров /c, в котором укажите имя ЦС в формате <CAMachineName\CAName>, где:

  • CAMachineName  – DNS-имя сервера с ролью центра сертификации.
  • CAName – имя центра сертификации.
Пример запуска с указанием Центра сертификации:
Cm.CertEnroll.MsCA.exe /e serviceca p@ssw0rd /t=”IndeedEnrollmentAgent” /c=”msca.demo.local\Indeed-Demo-CA”


  • No labels