Для работы Microsoft CA с Indeed Certificate Manager обязательно необходим шаблон сертификата Агент регистрации (Enrollment Agent). Cертификат Агент регистрации (Enrollment Agent), выданный на имя сервисной учетной записи (serviceca) требуется для подписи запроса на сертификат от имени конечных пользователей по всем остальным шаблонам сертификатов, которые будут использоваться системой.
Ниже описан процесс создания и настройки шаблона сертификата для сервисной учетной записи на примере стандартного шаблона Агент регистрации (Enrollment Agent).
На вкладке Шифрование (Cryptography) в поле Минимальный размер ключа (Minimum key size) укажите необходимую длину ключа (рекомендуемая длина ключа 2048 бит).
7. На вкладке Безопасность (Security) нажмите кнопку Добавить... (Add...).
В разделе Разрешения для группы (Permissions for) установите флажок Разрешить (Allow) для привилегий Чтение (Read) и Заявка (Enroll).
8. Сохраните настройки шаблона, нажав ОК.
Подготовьте шаблоны сертификатов для различных назначений (политик применения), которые будут использоваться для выпуска сертификатов конечным пользователям системы. Ниже описан процесс создания и настройки шаблона сертификата пользователя на примере шаблона Вход со смарт-картой (Smartсard Logon), который будет использоваться для выпуска сертификатов, предназначенных для входа в операционную систему по смарт-карте.
На вкладке Шифрование (Cryptography) в поле Минимальный размер ключа (Minimum key size) укажите необходимую длину ключа.
Опция доступна для Microsoft CA 2008/2008R2 и выше. В предыдущих версиях настройка осуществляется на вкладке Обработка запроса (Request Handling). |
Обратите внимание на размер ключей шифрования, указанный в свойствах шаблонов сертификатов, которые планируется использовать. Чтобы снизить риск несанкционированного доступа к конфиденциальной информации, компания Майкрософт выпустила не связанное с безопасностью обновление (KB 2661254) для всех поддерживаемых версий Microsoft Windows. Это обновление блокирует криптографические ключи меньше 1024 бит. Обновление не относится к Windows 8 (и выше) или Windows Server 2012 (и выше), т.к. эти операционные системы уже могут блокировать использование ключей RSA меньше 1024 бит. |
В разделе Разрешения для группы (Permissions for) установите флажок Разрешить (Allow) для привилегий Чтение (Read) и Заявка (Enroll).
Обязательно выдайте аналогичные разрешения сервисной учетной записи для всех шаблонов сертификатов, которые будут использоваться в Indeed CM. |