Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Веб-регистрация центра сертификации (ЦС) в службах сертификатов Active Directory (AD CS) упрощает управление сертификатами, предоставляя браузерный интерфейс для запроса сертификатов и продления сертификатов, получения списков отзыва сертификатов (CRL) и регистрации для сертификатов смарт-карт. Эта служба ролей полезна для организаций, которым требуется гибкий и интерактивный метод регистрации сертификатов, не требуя конкретных конфигураций клиента. В этой статье вы узнаете о функциях, возможностях и параметрах конфигурации веб-регистрации ЦС и о том, как он сравнивается со службой ролей веб-службы регистрации сертификатов.
Возможности и распространенные задачи
Веб-регистрация Центра сертификации позволяет пользователям интерактивно отправлять PKCS #10 запросы в Центр сертификации через веб-браузер и веб-сайт службы интернет-информационных сервисов (IIS). Веб-регистрация Центра сертификации (ЦС) отличается от связанной службы ролей веб-службы регистрации сертификатов. Хотя веб-служба регистрации ЦС и веб-служба регистрации сертификатов используют ПРОТОКОЛ HTTPS, они являются принципиально разными технологиями.
Веб-регистрация CA полезна при взаимодействии с автономным CA, поскольку оснастка консоли управления сертификатами (MMC) не может применяться для работы с автономным CA. Корпоративные ЦС могут принимать запросы на сертификаты с помощью оснастки "Сертификаты" или страницы службы ролей веб-регистрации ЦС.
Служба ролей веб-записи ЦС включает обновленные примеры веб-страниц для операций по регистрации сертификатов через веб-интерфейс. Эти веб-страницы работают вместе с компонентом CertEnroll . Дополнительные сведения см. в CertEnrollразделе API регистрации сертификатов.
В следующей таблице приведены основные различия между веб-регистрацией ЦС и веб-службой регистрации сертификатов:
| Функция или возможность | Веб-регистрация ЦС | Веб-служба регистрации сертификатов |
|---|---|---|
| Request Method | Интерактивные запросы на сертификаты, созданные вручную инициатором, загруженные через веб-сайт. | Автоматическая регистрация и продление, подходящая для крупномасштабных развертываний. |
| Certificate Provisioning | Интерактивный метод на основе браузера для отдельных сертификатов. | Автоматическое предоставление дополнительных сертификатов. |
| Client Requirements | Никаких определенных клиентских компонентов или конфигурации не требуется. | Встроенный клиент с Windows и Windows Server. |
| Forest Consolidation | Not supported. | Поддержанный; обеспечивает консолидацию PKI в нескольких лесах путем устранения развертываний ЦС для каждого леса. |
| Регистрация периметровой сети | Not supported. | Поддержанный; разрешает регистрацию сертификатов за пределами корпоративной сети. |
Дополнительные сведения о консолидации леса и использовании сетей периметра см. в Веб-службе регистрации сертификатов в службах сертификатов Active Directory.
Deployment topology
Вы можете установить компонент веб-регистрации ЦС на сервер, который не является частью самого ЦС, чтобы отделить веб-трафик от него. Установка веб-регистрации ЦС настраивает компьютер в качестве центра регистрации. Необходимо выбрать центр сертификации для использования с веб-страницами регистрации ЦС. The CA that CA Web Enrollment uses is the Target CA in the user interface. Вы можете выбрать нужный центр сертификации (ЦС), который хотите использовать, по имени центра сертификации или имени компьютера, с ним связанным.
Если вы устанавливаете страницы веб-регистрации ЦС на компьютере, который не является целевым ЦС, учетная запись компьютера, на котором установлены страницы веб-регистрации ЦС, должна быть доверенной для делегирования. Дополнительные сведения см. в статье "Установка поддержки веб-регистрации на другом компьютере (необязательно) и настройка прокси-сервера веб-регистрации ЦС Windows Server 2008.
Note
Если страницы веб-регистрации ЦС не установлены корректно на мигрировавшем ЦС, возможно, состояние установки в реестре сконфигурировано неправильно. Дополнительные сведения см. в разделе "Сбой конфигурации веб-регистрации центра сертификации" 0x80070057 (WIN32: 87).
На страницах службы ролей веб-регистрации ЦС требуется защитить их с помощью безопасных протоколов Secure Sockets Layer (SSL) или Transport Layer Security (TLS). Если вы этого не сделали, появится следующее сообщение об ошибке: чтобы завершить регистрацию сертификата, веб-сайт ЦС должен быть настроен для использования проверки подлинности HTTPS. Сведения о настройке проверки подлинности HTTPS см. в статье " Службы сертификатов Active Directory (AD CS): Ошибка: "Чтобы завершить регистрацию сертификатов, веб-сайт ЦС должен быть настроен для использования проверки подлинности HTTPS.
Используйте страницы веб-регистрации Центра Сертификации
Если вам предоставлены права доступа, вы можете выполнять следующие задачи на страницах веб-регистрации ЦС:
Запрос базового сертификата.
Запрос сертификата с дополнительными параметрами. Запрос с расширенными параметрами обеспечивает более широкий контроль над запросом сертификата. Доступные варианты в расширенном запросе сертификата:
В параметрах поставщика служб шифрования (CSP)можно настроить имя поставщика служб шифрования, размер ключа (1024, 2048 и т. д.), хэш-алгоритм (например, SHA/RSA, SHA/DSA, MD2 или MD5) и спецификацию ключа (обмен или подпись).
параметры создания ключей позволяют создать новый набор ключей или использовать существующий набор ключей, пометить ключи как экспортируемые, включить надежную защиту ключей и использовать локальное хранилище компьютеров для создания ключа.
Additional options. Сохраните запрос в PKCS #10-файл или добавьте в сертификат определенные атрибуты.
Проверьте ожидающий запрос сертификата. Если вы отправляете запрос сертификата в автономный центр сертификации, необходимо проверить состояние ожидающего запроса, чтобы убедиться, что центр сертификации выдал сертификат. Если центр выдал сертификат, он становится доступным на веб-странице для установки.
Получите сертификат удостоверяющего центра, чтобы разместить его в доверенном корневом хранилище или установить всю цепочку сертификатов в вашем хранилище сертификатов.
Получение текущих базовых и разностных crls.
Отправьте запрос на сертификат с помощью файла PKCS #10 или PKCS #7. Как правило, вы используете PKCS #10-файл для отправки запроса на новый сертификат и PKCS #7 для отправки запроса на продление существующего сертификата. Отправка запросов с файлами полезна, если запрашивающий сертификат не может отправить запрос в интернете в центр сертификации.
Эти веб-страницы находятся в https://<servername>/certsrv, где <servername> — это имя сервера, на котором размещаются страницы веб-регистрации ЦС.
certsrv часть URL-адреса всегда должна находиться в строчных буквах; В противном случае у пользователей могут возникнуть проблемы с проверкой и получением ожидающих сертификатов.
Next steps
Дополнительные сведения о веб-регистрации и устранении распространенных проблем см. в следующих статьях: