Этап 8. Создание конфигурации отзыва

Для создания конфигурации отзыва необходимо выполнить следующие операции:

· определить сертификат центра сертификации, поддерживающего сетевой ответчик;

· определить точку распределения списка отзыва сертификатов CRL для центра сертификации;

· выбрать сертификат подписи, который будет использоваться для подписания ответов о состоянии отзыва;

· выбрать поставщик отзыва — компонент, ответственный за получение и кэширование информации об отзыве, используемой сетевым ответчиком.

Создание конфигурации отзыва

1. Войдите в систему компьютера LH_ORS1 в качестве администратора домена. 2. Откройте оснастку Online Responder (сетевой ответчик). 3. На панели Actions щелкните Add Revocation Configuration, чтобы запустить Add Revocation Configuration wizard (мастер добавления конфигурации отзыва), затем нажмите кнопку Next. 4. На странице Name the Revocation Configuration введите имя конфигурации отзыва, например LH_RC1, затем нажмите кнопку Next. 5. На странице Select CA certificate Location щелкните пункт Select a certificate for an existing enterprise CA, затем нажмите кнопку Next. 6. На следующей странице имя центра сертификации, LH_CA_ISSUE1, должно появиться в поле Browse CA certificates published in Active Directory. · Если имя есть в списке, щелкните имя центра сертификации, который необходимо связать с созданной конфигурацией отзыва, затем нажмите кнопку Next. · Если имени в списке нет, щелкните Browse for CA Computer и введите имя компьютера, который является сервером для центра сертификации LH_CA_ISSUE1, либо нажмите кнопку Browse, чтобы найти этот компьютер. Когда нужный компьютер будет найден, нажмите кнопку Next. Примечание Возможна также связь с сертификатом центра сертификации из локального хранилища сертификатов или путем импорта сертификата со съемного носителя в шаге 5. 7. Просмотрите сертификат и скопируйте точку распределения CRL для родительского корневого центра сертификации, RootCA1. Для этого выполните следующие операции: a) откройте оснастку Certificate Services, затем выберите выпущенный сертификат; б) дважды щелкните сертификат, затем перейдите на вкладку Details; в) выполните прокрутку вниз до поля CRL Distribution Points; г) выберите и скопируйте URL-адрес нужной точки распределения CRL; д) нажмите кнопку ОК. 8. На странице Select Signing Certificate примите параметр по умолчанию, Automatically select signing certificate, затем нажмите кнопку Next. 9. На странице Revocation Provider выберите пункт Provider. 10. На странице Revocation Provider Properties нажмите кнопку Add, введите URL-адрес точки распределения CRL, затем нажмите кнопку OK. 11. Нажмите кнопку Finish. 12. С помощью оснастки Online Responder выберите конфигурацию отзыва, затем проверьте информацию о состоянии, чтобы убедиться в правильности работы. Вы также должны иметь возможность проверить свойства сертификата подписи, чтобы убедиться в правильности настройки сетевого ответчика.

Этап 9. Установка и настройка службы подачи заявок на регистрацию сетевых устройств

Служба подачи заявок на регистрацию сетевых устройств (Network Device Enrollment Service) позволяет программному обеспечению на маршрутизаторах и других сетевых устройствах, работающих без учетных данных в домене, получать сертификаты.

Служба подачи заявок на регистрацию сетевых устройств работает как фильтр ISAPI в службе IIS, который выполняет следующие функции:

· генерирует и предоставляет одноразовые пароли заявок администраторам;

· обрабатывает запросы заявок протокола SCEP;

· извлекает находящиеся в ожидании запросы из центра сертификации.

Протокол SCEP разработан в качестве расширения существующих протоколов HTTP, PKCS #10, PKCS #7, RFC 2459 и прочих стандартов для обеспечения выполнения центрами сертификации заявок на сертификаты сетевых устройств и приложений. Протокол SCEP определен и документально представлен на веб-узле группы IETF (http://go.microsoft.com/fwlink/?LinkId=71055) (на английском языке).

Прежде чем начинать выполнение процедуры, создайте пользователя ndes_user1 и добавьте этого пользователя в группу пользователей службы IIS. Затем воспользуйтесь оснасткой Certificate Templates для настройки разрешений Read и Enroll для этого пользователя в шаблоне сертификата IPSEC (автономный запрос).

Установка и настройка службы подачи заявок на регистрацию сетевых устройств