В документах, описывающих базовую инфраструктуру, определены особые требования к аппаратному и программному обеспечению. В случае, если Вы не используете базовую инфраструктуру, то для использования данного документа Вам необходимо будет внести соответствующие изменения. Самую последнюю информацию о требованиях к оборудованию, совместимости серверов, клиентов и периферийных устройств Вы можете получить на
странице проверки совместимости оборудования и программного обеспечения Windows 2000Windows 2000 Product Compatibility(EN).
Использование данного руководства также предполагает, что Вы выполнили все действия, описанные в:
•
Пошаговом руководстве по настройке центра сертификации(Step by Step Guide to Setting up a Certificate Authority) (EN).
•
Пошаговом руководстве по использованию веб-страниц служб сертификации(Step by Step Guide to Certificate Services Web Pages) (EN).
Если Вы незнакомы с оснастками консоли MMC, рекомендуется также выполнить действия, описанные в:
Расширенное управление сертификатами в ОС Windows 2000
Управление сертификатами пользователей
В данном разделе описывается использование оснастки
Сертификаты (Certificates) консоли MMC для управления сертификатами.
Для запуска оснастки
Сертификаты (Certificates) консоли MMC
:
1.
В меню
Пуск (Start) выберите
Выполнить (Run). В текстовое поле введите
mmc и нажмите
OK. Запустится окно
Консоль (Console) консоли MMC.
2.
В меню
Консоль (Console) выберите команду
Добавить или удалить оснастку… (Add/Remove Snap-in).
3.
Для добавления оснастки в текущую консоль нажмите кнопку
Добавить… (Add).
4.
Выберите
Сертификаты (Certificates) из списка
Оснастка (Snap-in), нажмите кнопку
Добавить (Add) и затем
Закрыть (Close).
5.
Для закрытия диалогового окна
Добавить/удалить оснастку (Add/Remove Snap-in) нажмите кнопку
OK. Каталог
Сертификаты (Certificates) теперь добавлен в консоль MMC.
Примечание.В случае, если Вы выполняете данные действия на контроллере домена, то после того, как Вы выберете
Сертификаты (Certificates) появится диалоговое окно
, в котором с помощью переключателя необходимо будет указать, какими сертификатами будет управлять данная оснастка: для
моей учетной записи (My user account), учетной записи службы (Service account), или
учетной записи компьютера (Computer account). В данном случае выберите
моей учетной записи (My user account), нажмите
Готово (Finish) и продолжите действия, описанные выше.
6.
В меню
Консоль (Console) выберите команду
Сохранить как (Save as) и введите название «
Certificates» в качестве названия файла для этой консоли, после чего нажмите кнопку
Сохранить (Save). Для того, чтобы впоследствии открыть консоль «
Certificates», необходимо в меню
Пуск (Start) выбрать
Программы (Programs), перейти в
Средства администрирования (Administrative Tools) и выбрать «
Certificates».
Получение сертификатов от центра сертификации, расположенного в Вашем домене под управлением Windows 2000
Для получения сертификатов необходимо, чтобы был установлен центр сертификации, работающий в качестве корневого центра сертификации, или в качестве подчиненного центра сертификации предприятия.
Для получения сертификата:
1.
В консоли «
Certificates» щелкните правой кнопкой мыши по узлу
Личные (Personal).
2.
В контекстном меню выберите пункт
Все задачи (All Tasks), а затем
Запросить новый сертификат (Request New Certificate), как показано ниже на Рисунке 1. Запустится
Мастер запроса сертификатов (Certificate Request Wizard). Нажмите кнопку
Далее (Next).
3.
Выберите шаблон, который необходимо использовать в качестве основы для создания сертификата. В данном случае выберите
Пользователь (User). Нажмите кнопку
Далее (Next).
4.
Если необходимо, введите понятное имя или описание в соответствующие поля. Нажмите кнопку
Далее (Next).
5.
Нажмите кнопку
Готово (Finish), чтобы отправить запрос сертификата в центр сертификации.
6.
Нажмите кнопку
Установить сертификат (Install Certificate), чтобы установить сертификат в хранилище сертификатов. Вы также можете просмотреть содержимое сертификата перед его установкой, нажав кнопку
Просмотреть сертификат (View Certificate).
Просмотр сертификата
Возможно, Вам понадобится просмотреть Ваши сертификаты в хранилище сертификатов. Для этого:
1.
Откройте консоль управления сертификатами «
Certificates». В левой области раскройте хранилище сертификатов, в котором содержатся те сертификаты, которые Вам необходимо просмотреть.
2.
Откройте папку
Сертификаты (Certificates), чтобы просмотреть находящиеся в этом хранилище сертификаты.
3.
Щелкните правой кнопкой мыши на сертификате, который Вам необходимо просмотреть, и выберите
Открыть (Open) (Вы также можете просмотреть сертификат, дважды щелкнув по нему).
Откроется диалоговое окно сертификата, содержащее три вкладки.
• На вкладке
Общие (General) представлены общие сведения о сертификате.
• На вкладке
Состав (Details) отображается содержимое полей сертификата, соответствующего стандарту X.509, а также его расширения и свойства. Вы можете нажать кнопку
Свойства…(Edit Properties) для изменения полей
Понятное имя (Friendly Name) и
Описание (Description). Вы также можете указать назначение сертификата.
• На вкладке
Путь сертификации (Certification Path) отображен
путь сертификации, который указывает на источник, из которого был получен сертификат.
Экспорт сертификатов
Вы можете осуществлять резервное копирование важных сертификатов и соответствующих им закрытых ключей, или перенос их на другой компьютер.
Примечание.Для того, чтобы имелась возможность экспорта закрытых ключей и сертификатов, эта опция должна быть выбрана пользователем при подаче запроса на сертификат с помощью веб-страницы. Для получения дополнительной информации об этом обратитесь к
Пошаговому руководству по использованию веб-страниц служб сертификаци (A Step-by-Step Guide to Certificate Services Web Pages) (EN).
Для экспорта сертификатов:
1.
Щелкните правой кнопкой мыши по сертификату/сертификатам, которые Вам необходимо экспортировать.
2.
Из контекстного меню выберите
Все задачи (All Tasks) и нажмите
Экспорт… (Export), чтобы запустить
Мастер экспорта сертификатов (Certificate Export Wizard). Нажмите кнопку
Далее (Next).
3.
В случае, если для сертификата, который Вам необходимо экспортировать, в системе существует соответствующий закрытый ключ, Вы можете указать, что его нужно экспортировать вместе с сертификатом.
Примечание.Если Вам необходимо экспортировать закрытый ключ, то единственным возможным форматом сертификата для этой цели будет
Файл обмена личной информацией (Personal Information Exchange) PKCS#12.
4.
Выберите формат экспортируемого файла из предложенных вариантов, как это показано ниже на Рисунке 2:
Рисунок 2 – Выбор формата экспортируемого файла
5.
Нажмите кнопку
Далее (Next). В случае, если Вы выбрали
Файл обмена личной информацией—PKCS #12 (*.pfx) ( Personal Information Exchange—PKCS #12 (*.pfx)), будет выдан запрос на ввод пароля. Для экспорта файла введите пароль и нажмите кнопку
Далее (Next).
6.
Введите название файла, который Вам необходимо экспортировать, и нажмите кнопку
Далее (Next).
7.
Перед завершением работы мастера проверьте все выбранные Вами параметры и нажмите кнопку
Готово (Finish), чтобы экспортировать файл.
Импорт сертификатов
Вы можете восстановить сертификаты и соответствующие им закрытые ключи из файла. Для этого:
1.
Щелкните правой кнопкой мыши по хранилищу сертификатов, в которое Вам необходимо импортировать сертификат, и выберите в контекстном меню
Установить PFX (Install PFX).
2.
Запустится Мастер импорта сертификатов. Нажмите кнопку
Далее (Next).
3.
В текстовом поле
Имя файла (File name) введите название файла сертификата, который Вам необходимо импортировать. Вместо ввода названия Вы можете нажать
Обзор (Browse) и выбрать необходимый файл.
4.
Нажмите кнопку
Далее (Next). В случае, если импортируемый файл имеет формат
Файл обмена личной информацией—PKCS #12 (*.pfx)(Personal Information Exchange–PKCS #12 (*.pfx)), необходимо будет ввести пароль. Введите пароль для импорта файла и нажмите
Далее (Next).
5.
На следующем шаге работы мастера необходимо будет указать, куда именно Вам необходимо поместить сертификат. Нажмите
Далее (Next).
6.
На последней странице мастера будет выведена сводная информация о файле, который Вам необходимо импортировать. Нажмите кнопку
Готово (Finish), чтобы импортировать файл. Теперь сертификат/сертификаты готовы к использованию в системе.
Управление сертификатами компьютеров
Оснастку
Сертификаты (Certificates) консоли MMC также можно использовать для управления сертификатами компьютеров. Для этого:
1.
Откройте консоль MMC. Для этого в меню
Пуск (Start) выберите
Выполнить (Run), впишите в текстовом поле
mmc.exe и затем нажмите кнопку
OK.
2.
В меню
Консоль (Console) выберите
Добавить или удалить оснастку… (Add/Remove Snap-in).
3.
Нажмите кнопку
Добавить… (Add), чтобы добавить оснастку в текущую консоль.
4.
Выберите
Сертификаты (Certificates) и затем нажмите кнопку
Добавить (Add).
5.
Переключателем выберите
учетной записи компьютера (Computer account) и нажмите кнопку
Далее (Next).
6.
Переключателем выберите
другим компьютером (Another computer). Введите название компьютера, которым Вам необходимо управлять (или нажмите кнопку
Обзор… (Browse) чтобы выбрать его из списка). Нажмите кнопку
Готово (Finish).
7.
Закройте диалоговое окно
Добавить изолированную оснастку (Add Standalone Snap-in) и нажмите кнопку
OK, чтобы закрыть диалоговое окно
Добавить/удалить оснастку (Add/Remove Snap-in). Таким образом, Вы создали консоль, с помощью которой Вы теперь можете управлять сертификатами Вашего компьютера.
8.
В меню
Консоль (Console) выберите команду
Сохранить как…(Save As) и в текстовом поле
Имя файла (File name) введите название для этой консоли, затем нажмите
Сохранить (Save).
Важные замечания
Наименования компаний, организаций, продуктов, людей, и событий, используемые в качестве примера в данном руководстве, являются вымышленными. Все совпадения с реальными компаниями, организациями, продуктами, людьми или событиями являются непреднамеренными и случайными.
Описана базовая инфраструктура, разработанная для использования в частных сетях. Вымышленное наименование компании и DNS-имя, используемые в базовой инфраструктуре, не зарегистрированы для использования в сети Интернет. Пожалуйста, не используйте их в публичных сетях или в сети Интернет.
Служба каталогов Microsoft Active Directory, как способ организации данной базовой инфраструктуры, приведена только в целях демонстрации возможностей ОС Microsoft Windows 2000 при работе с Active Directory. Данный пример не является руководством по настройке Active Directory для какой-либо организации. Для получения информации по настройке необходимо обратиться к соответствующей документации по Active Directory.