Переведено: 16 июля 2006 г.
Аннотация
В данном руководстве описываются административные действия, необходимые для получения сертификатов и управления ими в ОС Windows® 2000, осуществляемые с помощью оснастки Сертификаты (Certificates) консоли MMC.
Введение
Требования и предварительные условия
Для выполнения действий, описанных в данном руководстве необходимо, чтобы выполнялись следующие условия:
• | Вы используете ОС Windows 2000 Server в домене на основе Windows 2000. |
• | Вы являетесь администратором домена или администратором локального компьютера. |
• | В Вашей сети работает центр сертификации предприятия Windows 2000. |
Использование данного пошагового руководства также предполагает, что Вы выполнили все действия, описанные в Пошаговом руководстве по развертыванию базовой инфраструктуры Windows 2000 Server Step-by-Step to a Common Infrastructure for Windows 2000 Server Deployment (EN).
В документах, описывающих базовую инфраструктуру, определены особые требования к аппаратному и программному обеспечению. В случае, если Вы не используете базовую инфраструктуру, то для использования данного документа Вам необходимо будет внести соответствующие изменения. Самую последнюю информацию о требованиях к оборудованию, совместимости серверов, клиентов и периферийных устройств Вы можете получить на странице проверки совместимости оборудования и программного обеспечения Windows 2000 Windows 2000 Product Compatibility (EN).
Использование данного руководства также предполагает, что Вы выполнили все действия, описанные в:
• | Пошаговом руководстве по настройке центра сертификации (Step by Step Guide to Setting up a Certificate Authority) (EN). |
• | Пошаговом руководстве по использованию веб-страниц служб сертификации (Step by Step Guide to Certificate Services Web Pages) (EN). |
Если Вы незнакомы с оснастками консоли MMC, рекомендуется также выполнить действия, описанные в:
Расширенное управление сертификатами в ОС Windows 2000
Управление сертификатами пользователей
В данном разделе описывается использование оснастки Сертификаты (Certificates) консоли MMC для управления сертификатами.
Для запуска оснастки Сертификаты (Certificates) консоли MMC:
1. | В меню Пуск (Start) выберите Выполнить (Run). В текстовое поле введите mmc и нажмите OK. Запустится окно Консоль (Console) консоли MMC. |
2. | В меню Консоль (Console) выберите команду Добавить или удалить оснастку… (Add/Remove Snap-in). |
3. | Для добавления оснастки в текущую консоль нажмите кнопку Добавить… (Add). |
4. | Выберите Сертификаты (Certificates) из списка Оснастка (Snap-in), нажмите кнопку Добавить (Add) и затем Закрыть (Close). |
5. | Для закрытия диалогового окна Добавить/удалить оснастку (Add/Remove Snap-in) нажмите кнопку OK. Каталог Сертификаты (Certificates) теперь добавлен в консоль MMC. Примечание. В случае, если Вы выполняете данные действия на контроллере домена, то после того, как Вы выберете Сертификаты (Certificates) появится диалоговое окно, в котором с помощью переключателя необходимо будет указать, какими сертификатами будет управлять данная оснастка: для моей учетной записи (My user account), учетной записи службы (Service account), или учетной записи компьютера (Computer account). В данном случае выберите моей учетной записи (My user account), нажмите Готово (Finish) и продолжите действия, описанные выше. |
6. | В меню Консоль (Console) выберите команду Сохранить как (Save as) и введите название «Certificates» в качестве названия файла для этой консоли, после чего нажмите кнопку Сохранить (Save). Для того, чтобы впоследствии открыть консоль «Certificates», необходимо в меню Пуск (Start) выбрать Программы (Programs), перейти в Средства администрирования (Administrative Tools) и выбрать «Certificates». |
Получение сертификатов от центра сертификации, расположенного в Вашем домене под управлением Windows 2000
Для получения сертификатов необходимо, чтобы был установлен центр сертификации, работающий в качестве корневого центра сертификации, или в качестве подчиненного центра сертификации предприятия.
Для получения сертификата:
1. | В консоли «Certificates» щелкните правой кнопкой мыши по узлу Личные (Personal). |
2. | В контекстном меню выберите пункт Все задачи (All Tasks), а затем Запросить новый сертификат (Request New Certificate), как показано ниже на Рисунке 1. Запустится Мастер запроса сертификатов (Certificate Request Wizard). Нажмите кнопку Далее (Next). Увеличить рисунок Рисунок 1 - Запрос нового сертификата |
3. | Выберите шаблон, который необходимо использовать в качестве основы для создания сертификата. В данном случае выберите Пользователь (User). Нажмите кнопку Далее (Next). |
4. | Если необходимо, введите понятное имя или описание в соответствующие поля. Нажмите кнопку Далее (Next). |
5. | Нажмите кнопку Готово (Finish), чтобы отправить запрос сертификата в центр сертификации. |
6. | Нажмите кнопку Установить сертификат (Install Certificate), чтобы установить сертификат в хранилище сертификатов. Вы также можете просмотреть содержимое сертификата перед его установкой, нажав кнопку Просмотреть сертификат (View Certificate). |
Просмотр сертификата
Возможно, Вам понадобится просмотреть Ваши сертификаты в хранилище сертификатов. Для этого:
1. | Откройте консоль управления сертификатами «Certificates». В левой области раскройте хранилище сертификатов, в котором содержатся те сертификаты, которые Вам необходимо просмотреть. |
2. | Откройте папку Сертификаты (Certificates), чтобы просмотреть находящиеся в этом хранилище сертификаты. |
3. | Щелкните правой кнопкой мыши на сертификате, который Вам необходимо просмотреть, и выберите Открыть (Open) (Вы также можете просмотреть сертификат, дважды щелкнув по нему). Откроется диалоговое окно сертификата, содержащее три вкладки. • На вкладке Общие (General) представлены общие сведения о сертификате.
• На вкладке Состав (Details) отображается содержимое полей сертификата, соответствующего стандарту X.509, а также его расширения и свойства. Вы можете нажать кнопку Свойства…(Edit Properties) для изменения полей Понятное имя (Friendly Name) и Описание (Description). Вы также можете указать назначение сертификата.
• На вкладке Путь сертификации (Certification Path) отображен путь сертификации, который указывает на источник, из которого был получен сертификат.
|
Экспорт сертификатов
Вы можете осуществлять резервное копирование важных сертификатов и соответствующих им закрытых ключей, или перенос их на другой компьютер.
Примечание. Для того, чтобы имелась возможность экспорта закрытых ключей и сертификатов, эта опция должна быть выбрана пользователем при подаче запроса на сертификат с помощью веб-страницы. Для получения дополнительной информации об этом обратитесь к Пошаговому руководству по использованию веб-страниц служб сертификаци (A Step-by-Step Guide to Certificate Services Web Pages) (EN).
Для экспорта сертификатов:
1. | Щелкните правой кнопкой мыши по сертификату/сертификатам, которые Вам необходимо экспортировать. |
2. | Из контекстного меню выберите Все задачи (All Tasks) и нажмите Экспорт… (Export), чтобы запустить Мастер экспорта сертификатов (Certificate Export Wizard). Нажмите кнопку Далее (Next). |
3. | В случае, если для сертификата, который Вам необходимо экспортировать, в системе существует соответствующий закрытый ключ, Вы можете указать, что его нужно экспортировать вместе с сертификатом. Примечание. Если Вам необходимо экспортировать закрытый ключ, то единственным возможным форматом сертификата для этой цели будет Файл обмена личной информацией (Personal Information Exchange) PKCS#12. |
4. | Выберите формат экспортируемого файла из предложенных вариантов, как это показано ниже на Рисунке 2: Увеличить рисунок Рисунок 2 – Выбор формата экспортируемого файла |
5. | Нажмите кнопку Далее (Next). В случае, если Вы выбрали Файл обмена личной информацией—PKCS #12 (*.pfx) ( Personal Information Exchange—PKCS #12 (*.pfx)), будет выдан запрос на ввод пароля. Для экспорта файла введите пароль и нажмите кнопку Далее (Next). |
6. | Введите название файла, который Вам необходимо экспортировать, и нажмите кнопку Далее (Next). |
7. | Перед завершением работы мастера проверьте все выбранные Вами параметры и нажмите кнопку Готово (Finish), чтобы экспортировать файл. |
Импорт сертификатов
Вы можете восстановить сертификаты и соответствующие им закрытые ключи из файла. Для этого:
1. | Щелкните правой кнопкой мыши по хранилищу сертификатов, в которое Вам необходимо импортировать сертификат, и выберите в контекстном меню Установить PFX (Install PFX). |
2. | Запустится Мастер импорта сертификатов. Нажмите кнопку Далее (Next). |
3. | В текстовом поле Имя файла (File name) введите название файла сертификата, который Вам необходимо импортировать. Вместо ввода названия Вы можете нажать Обзор (Browse) и выбрать необходимый файл. |
4. | Нажмите кнопку Далее (Next). В случае, если импортируемый файл имеет формат Файл обмена личной информацией—PKCS #12 (*.pfx) (Personal Information Exchange–PKCS #12 (*.pfx)), необходимо будет ввести пароль. Введите пароль для импорта файла и нажмите Далее (Next). |
5. | На следующем шаге работы мастера необходимо будет указать, куда именно Вам необходимо поместить сертификат. Нажмите Далее (Next). |
6. | На последней странице мастера будет выведена сводная информация о файле, который Вам необходимо импортировать. Нажмите кнопку Готово (Finish), чтобы импортировать файл. Теперь сертификат/сертификаты готовы к использованию в системе. |
Управление сертификатами компьютеров
Оснастку Сертификаты (Certificates) консоли MMC также можно использовать для управления сертификатами компьютеров. Для этого:
1. | Откройте консоль MMC. Для этого в меню Пуск (Start) выберите Выполнить (Run), впишите в текстовом поле mmc.exe и затем нажмите кнопку OK. |
2. | В меню Консоль (Console) выберите Добавить или удалить оснастку… (Add/Remove Snap-in). |
3. | Нажмите кнопку Добавить… (Add), чтобы добавить оснастку в текущую консоль. |
4. | Выберите Сертификаты (Certificates) и затем нажмите кнопку Добавить (Add). |
5. | Переключателем выберите учетной записи компьютера (Computer account) и нажмите кнопку Далее (Next). |
6. | Переключателем выберите другим компьютером (Another computer). Введите название компьютера, которым Вам необходимо управлять (или нажмите кнопку Обзор… (Browse) чтобы выбрать его из списка). Нажмите кнопку Готово (Finish). |
7. | Закройте диалоговое окно Добавить изолированную оснастку (Add Standalone Snap-in) и нажмите кнопку OK, чтобы закрыть диалоговое окно Добавить/удалить оснастку (Add/Remove Snap-in). Таким образом, Вы создали консоль, с помощью которой Вы теперь можете управлять сертификатами Вашего компьютера. |
8. | В меню Консоль (Console) выберите команду Сохранить как…(Save As) и в текстовом поле Имя файла (File name) введите название для этой консоли, затем нажмите Сохранить (Save). |
Важные замечания
Наименования компаний, организаций, продуктов, людей, и событий, используемые в качестве примера в данном руководстве, являются вымышленными. Все совпадения с реальными компаниями, организациями, продуктами, людьми или событиями являются непреднамеренными и случайными.
Описана базовая инфраструктура, разработанная для использования в частных сетях. Вымышленное наименование компании и DNS-имя, используемые в базовой инфраструктуре, не зарегистрированы для использования в сети Интернет. Пожалуйста, не используйте их в публичных сетях или в сети Интернет.
Служба каталогов Microsoft Active Directory, как способ организации данной базовой инфраструктуры, приведена только в целях демонстрации возможностей ОС Microsoft Windows 2000 при работе с Active Directory. Данный пример не является руководством по настройке Active Directory для какой-либо организации. Для получения информации по настройке необходимо обратиться к соответствующей документации по Active Directory.
Обсуждение статьи на форуме