Внедрение PKI на платформе Windows Server 2012: выдача сертификата пользователю

После развертывания Issuing CA можно проверить работу сервиса.

Самый простой способ это использование групповой политики:

Откроем Group Policy Management, создадим и распространим следующую конфигурацию: Computer Configuration – Policies – Windows Settings – Security Settings – Public Key Policies , откроем Certificate Services Client – Auto-Enrollment , там установим Enabled и включим оба чекбокса (Renew expired certificates, update pending certificates и Remove revoked certificates and Update certificates that use certificate templates).

Screen Shot 2014-09-20 at 18.49.50

Используем мастер Automatic Certificate Request:

Screen Shot 2014-09-20 at 18.50.45

Для проверки, развернем новый сервер srv , введем его в домен, перейдем в cert:LocalMachineMy и убедимся что  сертификат от LAB-ICA автоматически получен и установлен:

Screen Shot 2014-09-20 at 19.04.21

А в ЦС он, соответственно, выдан:

Screen Shot 2014-09-20 at 19.01.57

Теперь можем запросить сертификат для пользователя, первый способ это использование mmc:

038

Для пользователя доступны:

039

А для администратора:

040

При подаче запроса можно гибко настраивать параметры, в том числе возможности применения:

041

Результат:

Screen Shot 2014-09-10 at 4.19.26 PM

Screen Shot 2014-09-10 at 4.21.18 PM

Еще один способ, это использование Web Enrollment.

Как видите, процедура запроса-выдачи сертификатов достаточно проста и может быть выполнена пользователем самостоятельно.

=> Оглавление цикла статей о PKI