Для выпуска сертификата с назначением Enrollment Agent запустите от имени учетной записи с правами локального администратора на сервере Indeed Certificate Manager утилиту Cm.CertEnroll.MsCA.exe с параметрами /e <userName> <password> /t <templateName> где:
- userName – имя сервисной учетной записи для работы с центрами сертификации (serviceca).
- password – пароль сервисной учетной записи.
- templateName – имя шаблона сертификата Агента регистрации. Поддерживаются шаблоны с любыми именами, имеющие Улучшенный ключ (Extended Key Usage) Агент запроса сертификата (Certificate Request Agent).
Cm.CertEnroll.MsCA.exe /e serviceca p@ssw0rd /t=”IndeedEnrollmentAgent”
CA: msca.demo.local\Indeed-Demo-CA
Certificate has been enrolled successfully.
Если запрос на сертификат должен быть одобрен оператором УЦ, то утилита предложит принять запрос и продолжить работу, указав при этом порядковый номер запроса и имя ключевого контейнера:
CA: msca.demo.local\Indeed-Demo-CA
Certificate request is pending.
Request id: 27
Container name: lr-IndeedEnrollmentAgent-175d9490-7481-4a29-b567-503d39747354
Please accept request and then install certificate.
После одобрения запроса оператором необходимо выполнить команду для установки сертификата в хранилище. Для этого запустите утилиту Cm.CertEnroll.MsCA.exe с параметром /i <userName> <password> <requestId> <containerName>, где:
- userName – имя сервисной учетной записи для работы с центрами сертификации (serviceca).
- password – пароль сервисной учетной записи.
- requestId – порядковый номер запроса на сертификат.
- containerName – имя ключевого контейнера.
Cm.CertEnroll.MsCA.exe /i serviceca p@ssw0rd 27 lr-IndeedEnrollmentAgent-175d9490-7481-4a29-b567-503d39747354
CA: msca.demo.local\Indeed-Demo-CA
Certificate has been installed successfully.
В результате работы утилиты в хранилище сертификатов компьютера, на котором установлен сервер системы, появится сертификат с назначением Агент запроса сертификатов (Enrollement Agent) с экспортируемым закрытым ключом и настроенными правами на управление закрытым ключом для учетной записи сервисного пользователя.
Если необходимо выпустить сертификат Агент регистрации (Enrollment Agent) с определенного центра сертификации (например, в домене развернуто несколько центров сертификации), то запустите утилиту с параметров /c, в котором укажите имя ЦС в формате <CAMachineName\CAName>, где:
- CAMachineName – DNS-имя сервера с ролью центра сертификации.
- CAName – имя центра сертификации.
Cm.CertEnroll.MsCA.exe /e serviceca p@ssw0rd /t=”IndeedEnrollmentAgent” /c=”msca.demo.local\Indeed-Demo-CA”