Меню

Как настроить шаблон сертификата



Настройка шаблона сертификата сервера Configure the Server Certificate Template

Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016 Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Эту процедуру можно использовать для настройки шаблона сертификата, который Active Directory ® служб сертификации (AD CS) используется в качестве основания для сертификатов сервера, зарегистрированных на серверах в сети. You can use this procedure to configure the certificate template that Active Directory® Certificate Services (AD CS) uses as the basis for server certificates that are enrolled to servers on your network.

При настройке этого шаблона можно указать серверы по Active Directory группе, которые должны автоматически получить сертификат сервера из AD CS. While configuring this template, you can specify the servers by Active Directory group that should automatically receive a server certificate from AD CS.

Приведенная ниже процедура содержит инструкции по настройке шаблона для выдаче сертификатов для всех следующих типов серверов: The procedure below includes instructions for configuring the template to issue certificates to all of the following server types:

  • Серверы, на которых выполняется служба удаленного доступа, включая серверы шлюзов RAS, входящие в группу Серверы RAS и IAS . Servers that are running the Remote Access service, including RAS Gateway servers, that are members of the RAS and IAS Servers group.
  • Серверы, на которых выполняется служба сервера политики сети (NPS), входящие в группу серверов RAS и IAS . Servers that are running the Network Policy Server (NPS) service that are members of the RAS and IAS Servers group.

Членство в группах «Администраторы предприятия » и «Администраторы домена корневого домена» является минимальным требованием для выполнения этой процедуры. Membership in both the Enterprise Admins and the root domain’s Domain Admins group is the minimum required to complete this procedure.

Настройка шаблона сертификата To configure the certificate template

В CA1 в диспетчер сервера выберите Сервис, а затем щелкните центр сертификации. On CA1, in Server Manager, click Tools, and then click Certification Authority. Откроется консоль управления (MMC) центра сертификации. The Certification Authority Microsoft Management Console (MMC) opens.

В консоли управления (MMC) дважды щелкните имя ЦС, щелкните правой кнопкой мыши шаблоны сертификатов, а затем выберите пункт Управление. In the MMC, double-click the CA name, right-click Certificate Templates, and then click Manage.

Откроется консоль Шаблоны сертификатов. The Certificate Templates console opens. Все шаблоны сертификатов отображаются в области сведений. All of the certificate templates are displayed in the details pane.

В области сведений выберите шаблон сервер RAS и IAS . In the details pane, click the RAS and IAS Server template.

В меню действие выберите пункт дублировать шаблон. Click the Action menu, and then click Duplicate Template. Откроется диалоговое окно Свойства шаблона. The template Properties dialog box opens.

Перейдите на вкладку Безопасность . Click the Security tab.

На вкладке Безопасность в поле имена групп или пользователей щелкните Серверы RAS и IAS. On the Security tab, in Group or user names, click RAS and IAS servers.

В области разрешения для серверов RAS и IAS в разделе Разрешить убедитесь, что выбран параметр Регистрация , а затем установите флажок Автоматическая регистрация . In Permissions for RAS and IAS servers, under Allow, ensure that Enroll is selected, and then select the Autoenroll check box. Нажмите кнопку ОК и закройте оснастку MMC «Шаблоны сертификатов». Click OK, and close the Certificate Templates MMC.

В консоли MMC центр сертификации щелкните шаблоны сертификатов. In the Certification Authority MMC, click Certificate Templates. В меню действие наведите указатель на пункт создать и выберите пункт Выдаваемый шаблон сертификата. On the Action menu, point to New, and then click Certificate Template to Issue. Откроется диалоговое окно Включение шаблонов сертификатов . The Enable Certificate Templates dialog box opens.

В окне Включение шаблонов сертификатов щелкните имя только что настроенного шаблона сертификата и нажмите кнопку ОК. In Enable Certificate Templates, click the name of the certificate template that you just configured, and then click OK. Например, если вы не изменили имя шаблона сертификата по умолчанию, щелкните Копия RAS-сервера и IAS-сервер, а затем нажмите кнопку ОК. For example, if you did not change the default certificate template name, click Copy of RAS and IAS Server, and then click OK.

Источник

Создание сертификатов программного обеспечения с помощью диспетчера сертификатов Create software certificates with Certificate Manager

Для регистрации и обновления сертификатов программного обеспечения права администратора и виртуальная смарт-карта не нужны. To enroll and renew software certificates you don’t have to be an administrator and you don’t need a virtual smart card. Обратите внимание, что на определенном этапе вам будет предложено разрешить операцию с сертификатом — это нормально. It’s worth noting that at some point you will be prompted to allow a certificate operation and this is normal.

Читайте также:  Как настроить страницы в таплинк

Создание шаблона профиля сертификата программного обеспечения в диспетчере сертификатов MIM 2016 Create a software certificate Profile Template in MIM 2016 Certificate Manager

Создайте шаблон сертификата, который вы будете запрашивать для виртуальной смарт-карты. Create a template for the certificate that you will request for the virtual smart card. Откройте консоль MMC. Open the mmc.

В меню Файл выберите команду Добавить или удалить оснастку. Click File, and then click Add/Remove Snap-in.

В списке доступных оснасток выберите Шаблоны сертификатов, а затем нажмите кнопку Добавить. In the available snap-ins list, click Certificate Templates, and then click Add.

Шаблоны сертификатов теперь расположены в корне консоли MMC. Certificate Templates is now located under Console Root in the MMC. Дважды щелкните его, чтобы увидеть все доступные шаблоны сертификатов. Double-click it to view all the available certificate templates.

Щелкните правой кнопкой мыши Пользовательский шаблон и выберите пункт Скопировать шаблон. Right-click the User template, and click Duplicate Template.

На вкладке Совместимость в разделе «Центр сертификации» выберите Windows Server 2008, а в разделе «Получатель сертификата» — Windows 8.1 или Windows Server 2012 R2. On the Compatibility tab under Certification Authority Select Windows Server 2008 and under Certificate Recipient select Windows 8.1 / Windows Server 2012 R2.

На вкладке Общие в поле отображаемого имени введите Шаблон архива сертификатов. On the General tab, in the display name field type Archived Certificate Template.

б. b. На вкладке Обработка запроса On the Request Handling tab

для параметра Цель установите значение «Подпись и шифрование». Set the Purpose to Signature and encryption.

Установите флажок Включить симметричные алгоритмы, разрешенные субъектом. Check Include symmetric algorithms allowed by the subject.

Если необходимо архивировать ключ, установите флажок Архивировать закрытый ключ субъекта. If you want to archive the key, check Archive subject’s encryption private key.

В разделе «Выполнять следующее действие. » Under Do the following… выберите Запрашивать пользователя во время регистрации. select Prompt the user during enrollment.

На вкладке Шифрование On the Cryptography tab

в разделе «Категория поставщика» выберите Поставщик хранилища ключей. Under Provider Category select Key Storage Provider

Выберите В запросах могут использоваться любые поставщики, доступные на компьютере пользователя. Select Requests can use any provider available on the subject’s computer.

На вкладке Безопасность добавьте группу безопасности, которой необходимо предоставить доступ Заявка . On the Security tab, add the security group that you want to give Enroll access to. Например, если вы хотите предоставить доступ всем пользователям, выберите группу пользователей Проверка подлинности выполнена , а затем выберите для них разрешения Заявка . For example, if you want to give access to all users, select the Authenticated users group, and then select Enroll permissions for them.

На вкладке Имя субъекта On the Subject Name tab

снимите флажок Включить имя электронной почты в имя субъекта. Uncheck Include e-mail name in subject name.

В разделе Включить эту информацию в альтернативное имя субъектаснимите флажок Имя электронной почты. Under Include this information in alternate subject name, uncheck Email name.

Нажмите кнопку ОК , чтобы завершить изменения и создать новый шаблон. Click OK to finalize your changes and create the new template. Новый шаблон должен появиться в списке шаблонов сертификатов. Your new template should now appear in the list of Certificate Templates.

Выберите Файл и щелкните элемент Добавить или удалить оснастку, чтобы добавить в консоль MMC оснастку «Центр сертификации». Select File, then click Add/Remove Snap-in to add the Certification Authority snap-in to your MMC console. Когда вам будет предложено выбрать компьютер, которым вы хотите управлять, выберите Локальный компьютер. When asked which computer you want to manage, select Local Computer.

В левой области консоли MMC разверните узел Центр сертификации (локальный) и разверните свой центр сертификации в списке центров сертификации. In the left pane of the MMC, expand Certification Authority (Local), and then expand your CA within the Certification Authority list.

Щелкните правой кнопкой мыши Шаблоны сертификатов, выберите пункт Создать, а затем Шаблон сертификата. Right-click Certificate Templates, click New, and then click Certificate Template to Issue.

В списке выберите созданный шаблон (Шаблон архива сертификатов), а затем нажмите кнопку ОК. From the list, select the new template that you just created (Archived Certificate Template), and then click OK.

Читайте также:  Как настроить резкость при съемке

Создание шаблона профиля Create the Profile Template

Войдите на портал CM от имени пользователя с правами администратора. Log into the CM portal as a user with administrative privileges.

Выберите Администрирование > Управлять шаблонами профилей и убедитесь, что установлен флажок Шаблон профиля входа примера смарт-карты MIM CM, а затем выберите Копировать выбранный профиль шаблона. Go to Administration > Manage Profile templates and make sure that the box is checked next to MIM CM Sample Smart Card Logon Profile Template and then click on Copy a selected profile template.

Введите имя профиля шаблона и нажмите кнопку ОК. Type the name of the profile template and click OK.

На следующем экране выберите Добавить новый шаблон сертификата и установите флажок рядом с именем ЦС. In the next screen, click Add new certificate template and make sure to check the box next to the CA name.

Установите флажок рядом с именем архива сертификата программного обеспечения и нажмите кнопку Добавить. Check the box next to the name of the Archived Software Certificate and click Add.

Удалите пользовательский шаблон. Для этого установите рядом с ним флажок и нажмите Удалить выбранные шаблоны сертификатов , а затем ОК. Remove the User template by checking the box next to it and then clicking Delete selected certificate templates and then OK.

Выберите Изменить общие параметры. Click Change general settings.

Установите флажки слева от раздела Создавать ключи шифрования на сервере и нажмите кнопку ОК. Check the boxes to the left of Generate encryption keys on the server and click on OK. В области слева щелкните Политика восстановления. On the left pane, click on Recover Policy.

Выберите Изменить общие параметры. Click Change general settings.

Если необходимо повторно выдать архив сертификатов, установите флажки слева от раздела Повторно выдать архив сертификатов и нажмите кнопку ОК. If you want to reissue archived certificates, check the boxes to the left of Reissue archived certificates and click on OK.

При использовании виртуальной смарт-карты CM необходимо отключать элементы сбора данных. If you are using the Virtual Smart Card CM, you have to disable data collection items because it doesn’t work with data collection on. Отключите сбор данных для каждой политики. Для этого выберите политику в области слева и снимите флажок Пример элемента данных , а затем нажмите кнопку Удалить элементы сбора данных. Disable data collection for each and every policy by clicking on the policy in the left pane, and then unchecking the box next to Sample data item and then click Delete data collection items. Затем нажмите кнопку ОК. Then click OK.

Источник

Настройка доверенных SSL/TLS сертификатов для защиты RDP подключений

В этой статье мы покажем, как использовать доверенные SSL/TLS сертификаты для защиты RDP подключений к компьютерам и серверам Windows в домене Active Directory. Эти сертфикаты мы будем использовать вместо самоподписанных RDP сертификатов (у пользователей появляется предупреждение о невозможности проверки подлинности при подключению к RDP хосту с таким сертификатом). В этом примере мы настроим специальный шаблон для выпуска RDP сертификатов в Certificate Authority и настроим групповую политику для автоматического выпуска и привязки SSL/TLS сертификата к службе Remote Desktop Services.

Предупреждение о самоподписанном сертификате RDP

По умолчанию в Windows для защиты RDP сессии генерируется самоподписанный

сертификат. В результате при первом подключении к RDP/RDS серверу через клиента mstsc.exe, у пользователя появляется предупреждение:

Чтобы продолжить установление RDP подключении пользователь должен нажать кнопку Да. Чтобы RDP предупреждение не появлялось каждый раз, можно включить опцию “Больше не выводить запрос о подключениях к этому компьютеру».

При этом отпечаток RDP сертификата сохраняется на клиенте в параметре CertHash в ветке реестра с историей RDP подключений (HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\). Если вы скрыли уведомление о невозможности проверить подлинность RDP сервера, чтобы сбросить настройки, удалите ключ с отпечатком сертификата из реестра.

Создаем шаблон RDP сертификата в центре сертификации (CA)

Попробуем использовать для защиты RDP подключений доверенный SSL/TLS сертификат, выданный корпоративным центром сертификации. С помощью такого сертификата пользователь может выполнить проверку подлинности RDP сервера при подключении. Предположим, что у вас в домене уже развернут корпоративной центр сертификации (Microsoft Certificate Authority), в этом случае вы можете настроить автоматическую выдачу и подключение сертификатов всем компьютерам и серверам Windows в домене.

Н на вашем CA нужно создать новый тип шаблона сертификата для RDP/RDS серверов.

  1. Запустите консоль Certificate Authority и перейдите в секцию Certificate Templates;
  2. Сделайте копию шаблона сертификата Computer (Certificate Templates -> Manage -> Computer -> Duplicate);
  3. На вкладке General укажите имя нового шаблона сертификата – RDPTemplate. Убедитесь, что значение поля Template Name полностью совпадает с Template display name;
  4. На вкладке Compatibility укажите минимальную версию клиентов в вашем домене (например, Windows Server 2008 R2 для CA и Windows 7 для клиентов). Тем самым будут использоваться более стойкие алгоритмы шифрования;
  5. Теперь на вкладке Extensions в политике приложений (Application policy) нужно ограничить область использования такого сертификата только для Remote Desktop Authentication (укажите следующий object identifier — 1.3.6.1.4.1.311.54.1.2). Нажмите Add -> New, создайте новую политику и выберите ее;
  6. В настройках шаблона сертификата (Application Policies Extension) удалите все политики кроме Remote Desktop Authentication;
  7. Чтобы использовать данный шаблон RDP сертификатов на контролерах домена, откройте вкладку Security, добавьте группу Domain Controllers и включите для нее опцию Enroll и Autoenroll;
  8. Сохраните шаблон сертификата;
  9. Теперь в оснастке Certificate Authority, щёлкните по папке Certificate Templates, выберите New ->Certificate Template to Issue -> выберите созданный шаблон RDPTemplate.
Читайте также:  Смарт вотч как настроить язык

Настройка групповой политики для выдачи RDP сертификатов

Теперь нужно настроить доменную политику, которая будет автоматически назначать RDP сертификат компьютерам/серверам согласно настроенного шаблона.

  1. Откройте консоль управления доменными групповыми политиками gpmc.msc, создайте новый объект GPO и назначьте его на OU с RDP/RDS серверами или компьютерами, для которых нужно автоматически выдавать TLS сертификаты для защиты RDP подключения;
  2. Перейдите в раздел GPO: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security. Включите политику Server Authentication Certificate Template. Укажите имя шаблона CA, который вы создали ранее (RDPTemplate);
  3. Затем в этом же разделе GPO включите политику Require use of specific security layer for remote (RDP) connections и установите для нее значение SSL;
  4. Для автоматического продления RDP сертификата, перейдите в раздел GPO Computer configuration -> Windows settings -> Security Settings -> Public Key Policies и включите политику Certificate Services Client – Auto-Enrollment Properties. Выберите опции “Renew expired certificates, update pending certificates and remove revoked certificates” и “Update certificates that use certificate templates”;
  5. Если вы хотите, чтобы клиенты всегда проверяли сертификат RDP сервера, вам нужно настроить политику Configure Authentication for Client = Warn me if authentication fails (секция GPO Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Settings -> Remote Desktop Connection Client);
  6. Если нужно, можете через политики файервола открыть входящий RDP порт TCP/UDP 3389;
  7. Осталось обновить политики на клиенте, запустить консоль сертификатов компьютера (Certlm.msc), и проверить, что в разделе Personal -> Certificates появился сертификат для Remote Desktop Authentication, выданный вашим CA.

Для применения нового RDP сертификата, перезапустите службу Remote Desktop Services:

Get-Service TermService -ComputerName msk-dc01| Restart-Service –force –verbose

Теперь при RDP подключении к серверу перестанет появляться запрос на доверие сертификату (чтобы появился запрос о доверии сертификату, подключитесь к серверу по IP адресу вместо FQDN имени сервера, для которого выпущен сертификат). Нажмите кнопку “Посмотреть сертификат”, перейдите на вкладку “Состав”, скопируйте значение поля “Отпечаток сертификата”.

Также можете в консоли Certification Authority в секции Issued Certificates проверить, что по шаблону RDPTemplate был выдан сертификат определённому Windows компьютеру/серверу. Также проверьте значение Thumbprint сертификата:

Теперь сравните полученные данные с отпечатком сертификата, который используется службой Remote Desktop Service. Вы можете посмотреть значение отпечатка сертификата службы RDS в реестре (ветка HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations, параметр TemplateCertificate) или командой PowerShell: Get-WmiObject -Class «Win32_TSGeneralSetting» -Namespace root\cimv2\terminalservices|select SSLCertificateSHA1Hash

Теперь, при подключении к удаленном столу любого сервера или компьютера, на который действует эта политика, вы не увидите предупреждения о недоверенном RDP сертификате.

Подписываем RDP файл и добавляем отпечаток доверенного RDP сертификата

Если у вас отсутствует CA, но вы хотите, чтобы при подключении к RDP/RDS серверу у пользователей не появлялось предупреждения, вы можете добавить сертификат в доверенные на компьютерах пользователей.

Как описано выше получите значение отпечатка (Thumbprint) RDP сертификата:

Get-WmiObject -Class «Win32_TSGeneralSetting» -Namespace root\cimv2\terminalservices|select|select SSLCertificateSHA1Hash

Используйте этот отпечаток для подписывания .RDP файла с помощью RDPSign.exe:

rdpsign.exe /sha256 65A27B2987702281C1FAAC26D155D78DEB2B8EE2 «C:\Users\root\Desktop\rdp.rdp»

Теперь через GPO добавим этот отпечаток сертификата в доверенные у пользователей. Укажите отпечатки (через точку с запятою) в политике Specify SHA1 thumbprints of certificates representing trusted .rdp publishers (Указать отпечатки SHA1 сертификатов, представляющих доверенных издателей RDP) в секции Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Settings -> Remote Desktop Connection Client.

Чтобы работал прозрачных RDP вход без ввода пароля (RDP Single Sign On), нужно настроить политику Allow delegation defaults credential и указать в ней имена RDP/RDS серверов (см. статью).

Источник