Общая информация
Настоящая инструкция описывает процесс добавления шаблона сертификата ECDSA в Центр сертификации и выписку сертификата с использованием этого шаблона.
Программные требования
- ОС Windows 2022 Server Rus;
- аккаунт с правами администратора системы;
- установленные драйверы Рутокен;
- установленные и настроенные службы сертификации Active Directory;
- сертификаты администратора, агента регистрации и проверки подлинности контроллера, выписанные в консоли MMC.
Добавление шаблона в Центр сертификации
Для настройки шаблонов сертификатов необходимо установить и настроить Центр сертификации. Подробнее о настройке ЦС можно ознакомиться в разделе Установка Служб сертификации.
Данная настройка проводилась на операционной системе Windows Server 2022.
Добавление шаблонов сертификатов в Центр Сертификации
...
- Откройте Панель управления.
- Щелкните два раза по пункту Администрирование.
- Щелкните два раза по пункту Центр сертификации.
- Щелкните правой кнопкой мыши по папке Шаблоны сертификатов и выберите пункт Управление.
- Щелкните правой кнопкой мыши по шаблону Только подпись пользователя и выберите пункт Скопировать шаблон.
Откроется окно Свойства нового шаблона.
...
Выберите следующие настройки
...
Значение параметра Минимальный размер ключа должен быть не менее 256.
...
:
Общие:
Отображаемое имя шаблона: Только подпись пользователя с Рутокен ECDSA;
Имя шаблона: Только подпись пользователя с Рутокен ECDSA.
Обработка запроса:
Цель подписи: Подпись.
Шифрование:
- Категория поставщика: Поставщик хранилища ключей;
- Имя алгоритма: ECDSA_P256;
Минимальный размер ключа: не менее 256;
В запросах могут использоваться только следующие поставщики: Microsoft Smart Card Key Storage Provider;
- Хэш запроса: SHA1.
- Категория поставщика: Поставщик хранилища ключей;
Безопасность:
Разрешения для группы Прошедшие проверку: Чтение, Заявка, Автоматическая подача заявок.
Требования выдачи:
Указанного числа авторизованных подписей: 1;
В подписи требуется указать тип политики: Политика применения;
Политика применения: Агент запроса сертификата.
Остальные настройки оставьте по умолчанию.
...
- Нажмите ОК.
- Перейдите в окно Центр сертификации.
- Щелкните правой кнопкой мыши
...
- по папке Шаблоны сертификатов
...
- и выберите пункт Создать
...
- →Выдаваемый шаблон сертификатов.
- В окне Включение шаблонов сертификатов щелкните по шаблону Только подпись пользователя с Рутокен ECDSA.
...
- Нажмите ОК и закройте окно.
...
Сертификат Пользователя с Рутокен ECDSA.
Для выписки сертификата:
Выписка сертификата пользователя
Note |
---|
Подключите устройство Рутокен к компьютеру перед тем, как приступать к выписке сертификата. |
- Запустите сохраненный на предыдущем этапе процесса файл с параметрами консоли.
- В левой части окнаконсолираскройте папку Сертификаты - текущий пользователь →
...
- Личное.
- Правой кнопкой мыши щелкните
...
- по папке Сертификаты и выберите пункт Все задачи
...
- → Дополнительные операции
...
- → Зарегистрироваться от имени.
...
...
- В окне Перед началом работы ознакомьтесь с информацией и нажмите Далее.
...
- В окне Выбор политики регистрации сертификатов нажмите Далее.
...
- В окне Выберите сертификат агента регистрации нажмите Обзор.
...
- Выберите сертификат типа Агент регистрации и нажмите ОК.
...
Tip Чтобы определить тип сертификата, откройте его свойства.
- В окне Выберите сертификат агента регистрации нажмите
- Далее.
- Установите переключатель в положение
...
- Только подпись пользователя с Рутокен ECDSAи нажмите Далее.
- В окне
...
- Выберите пользователянажмите Обзор.
...
- В поле Введите имена выбираемых объектов введите имя пользователя, которому будет выписан сертификат типа
...
- Только подпись пользователя с Рутокен ECDSA.
- Нажмите Проверить имена.
- Нажмите ОК. Поле Имя пользователя или псевдоним заполнится автоматически.
- Нажмите Заявка
...
- . Откроется окно подтверждения операции.
- Введите PIN-код Пользователя и нажмите ОК.
- Нажмите Закрыть.
...
- В результате сертификат типа
...
- Только подпись пользователя с Рутокен ECDSAбудет выписан и сохранен на токене.
Tip После
...
сохранения сертификата проверьте, верно ли были указаны все данные. Для этого нажмите Просмотреть сертификат
...
Настройка Групповых политик
Для работы ECDSA ключей для двухфакторной аутентификации пользователя и для работы в приложениях, необходимо изменить групповые политики.
Для этого необходимо:
...
.