Карпенко Д.С., Ушурбакиев В.А.
РАЗВЕРТЫВАНИЕ STANDALONE ЦЕНТРА СЕРТИФИКАЦИИ НА БАЗЕ WINDOWS SERVER НА БАЗЕ ОТЕЧЕСТВЕННЫХ РЕШЕНИЙ. ФУНКЦИОНАЛ. ОСОБЕННОСТИ РАБОТЫ *
Аннотация:
эта статья посвящена развертыванию Standalone центра сертификации на базе Windows Server c использованием отечественных решений. Описывается процесс настройки, обеспечивающий выпуск и управление сертификатами для защиты данных. Рассматриваются преимущества интеграции российских криптографических средств для обеспечения безопасности.
Ключевые слова:
Standalone центр сертификации, Виндовс Сервер, СКЗИ КриптоПро, криптография, сертификат, выпуск, управление
ВВЕДЕНИЕ.В этой статье мы рассмотрим, как можно установить Standalone Center Authority на базе Windows Server c использованием отечественных решений, а именно криптопровайдера «КриптоПро». Для реализации понадобится собственный центр сертификации [1].Центр сертификации (CA), или удостоверяющий центр, это компонент в инфраструктуре открытых ключей (PKI), который используется для выпуска и управления сертификатами безопасности. В контексте домена, CA обычно используется для обеспечения аутентификации и безопасности коммуникаций между различными участниками домена, такими как серверы, службы, клиенты и другие устройства.Сертификат – это электронный документ, подтверждающий подлинность и принадлежность открытого ключа определенному лицу или организации. Он содержит информацию о владельце, сроке действия, выдавшем его центре сертификации и другие данные. Когда вы покупаете новый сертификат для своего сайта, центр сертификации создает пару ключей - открытый и закрытый. Открытый ключ помещается в сертификат и отправляется вам, а закрытый ключ остается у центра сертификации и используется для подписи сертификата. Когда вы устанавливаете сертификат на свой сервер, он может быть проверен центром сертификации, который подписал этот сертификат, подтверждая, что ваш открытый ключ действительно принадлежит вам.КриптоПро NGate — это универсальное высокопроизводительное средство криптографической защиты сетевого трафика, объединяющее в себе функционал:TLS-сервера доступа к веб-сайтам,Сервера портального доступа,VPN-сервера.Ngate обеспечивает гибкое управление доступом с поддержкой многофакторной аутентификации и детальным разграничением прав, сертифицированную криптозащиту (алгоритмы ГОСТ, сертификаты ФСБ России КС1, КС2, КС3), соответствующую требованиям российского законодательства, в том числе для работы с персональными данными. Также разгрузка веб-серверов за счет обработки TLS-соединений на отдельном узле, и наконец отказ от установки СКЗИ (средств криптографической защиты информации) на каждом веб-сервере, упрощая развертывание и снижая затраты на сопровождение [1].При развертывании Standalone, КриптоПро NGate обеспечивает создание полностью изолированной инфраструктуры центра сертификации с гарантированной защитой от внешних угроз, поддерживая полную совместимость с сертифицированными СКЗИ, включая КриптоПро CSP, и обеспечивая интеграцию с российскими криптографическими стандартами.Объект исследования - Развёртывание Standalone-центра сертификации на Windows Server с использованием КриптоПро Ngate.Предмет исследования - Настройка КриптоПро NGate для работы с AD CS, включая поддержку ГОСТ-алгоритмов и автоматизацию управления сертификатами.Цель исследования - Разработать методику развёртывания Standalone CA с КриптоПро NGate, обеспечивающую безопасное управление сертификатами.МЕТОДОЛОГИЯ РАЗВЕРТЫВАНИЯ И НАСТРОЙКИ STANDALONE CA.Для проведения эксперимента будем использовать ОС Windows. Для осуществления задуманного нам потребуется один компьютер, подключенный к сети Wi-Fi. На этом компьютере мы установим все необходимые инструменты, которые позволят нам развернуть центр сертификации.На первом этапе необходимо установить необходимое ПО:СКЗИ КриптоПро CSP 5.0.12330,КриптоПро ЭЦП Browser plug-in.Инсталляцию производим через «Дополнительные опции».Выбираем язык установки, уровень защиты КС1 (другие уровни защиты требуют дополнительных аппаратных средств защиты).В разделе «Установка компонентов» проверяем, что добавлен «Криптопровайдер уровня ядра ОС» [1].Рисунок 1. Установка дополнительных компонентов «КриптоПро CSP».Криптопровайдер уровня ядра ОС необходим для работы криптопровайдера в службах и ядре Windows.3. В следующем окне оставляем пункты:зарегистрировать считыватель «Реестр» (позволит сохранять контейнеры ключей в реестр),усиленный контроль использования ключей,не разрешать интерактивные сервисы Windows.4. Также «КриптоПро» предложит добавить сертификаты своих центров сертификации.5. Устанавливаем, перезагружаем ПК.Перейдем к непосредственной установке центра сертификации.Изменим имя компьютера и добавим роль в «Диспетчер серверов», «Установка ролей и компонентов (Add Roles and Features)». Далее выберем сервер и в «Роли сервера (Server Roles)» необходимо отметить две роли: Служба сертификатов Active Directory (Certificate Services Active Directory), Веб-сервер IIS (Web-server IIS). В «Службе ролей (Role Services)» выберем «Certification Authority (Центр сертификации)» и «Certification Authority Enrollment (Служба регистрации в центре сертификации через Интернет)». Далее оставляем все по умолчанию и подтверждаем установку [1].После установки роли центра сертификации его необходимо настроить, выбираем: «Настроить службы сертификатов Active Directory (Configure Active Directory-Certificate Services)», указываем учетные данные и выбираем установленные службы ролей для настройки. При выборе центра сертификации появится окно выбора ключевого носителя – «КриптоПро CSP», в качестве носителя для создания контейнера cngWorkAround используем хранилище ключей реестра Windows.Рисунок 2. Выбор ключевого носителя – «КриптоПро CSP».Продолжаем настройку центра сертификации. Указываем вариант установки ЦС (Specify the setup type of the CA): Автономный центр сертификации (Standalone CA). и тип ЦС (Specify the type of CA) – Корневой ЦС (Root CA). Необходимо создать закрытый ключ ЦС, чтобы он мог создавать и выдавать их клиентам. Для этого выбираем «Создать новый закрытый ключ (Create a new private key)». Укажем: имя центра сертификации, необходимый «срок годности (validaty period) корневого сертификата», расположение баз данных сертификатов. В окне подтверждения сверяем введенную информацию [1].Далее откроется окно генерации начальной последовательности с помощью биологического ДСЧ. Чтобы сгенерировать случайную последовательность нужно случайным образом перемещать указатель мыши или нажимать любые клавиши.Рисунок 3. Генерация начальной последовательности.Введем пароль для доступа к закрытому ключу.Рисунок 4. Пароль для доступа к закрытому ключу.Теперь нужно выполнить базовую конфигурацию веб-сервера: подключить SSL-сертификат (самоподписанный или выпущенный нашим центром сертификации). Сервер уже запущен и работает. Создадим самоподписанный сертификат для примера.Открываем Диспетчер IIS (IIS Manager), раздел Сертификаты сервера (Server Certificates).В правой панели «Действия (Actions)» нажимаем «Создать самоподписанный сертификат (Create Self-Signed Certificate)».Указываем тип «Личный (Personal)» и задаем «Имя Сертификата (Friendly Name)».Далее необходимо назначить этот сертификат для HTTPS-доступа к веб-серверу.Переходим: Сайты (Sites), Default Web Site, Привязки (Bindings), Добавить (Add).Выбираем протокол HTTPS и указываем созданный самоподписанный SSL-сертификат.Возвращаемся к настройке компонента Online Responder.Добавление роли через «Диспетчер серверов» (Server Manager):Запускаем мастер «Добавление ролей и компонентов» (Add Roles and Features Wizard) и следуем шагам, нажимая «Далее» (Next).В разделе «Роли сервера» (Server Roles) раскрываем «Службы сертификатов Active Directory» (Active Directory Certificate Services) и отмечаем «Сетевой ответчик» (Online Responder).Завершаем установку, последовательно подтверждая выбор («Далее» (Next)).Проверка изменений в IIS:После установки в IIS автоматически создается приложение ocsp – это штатная ситуация, и пустая директория не должна вызывать опасений.Осталось настроить центр сертификации и выпустить сертификат на OCSP.В «Диспетчере серверов (Server manager)» - выбираем «Служба сертификации Active Directory (AD CS) – правой клавишей по вашему серверу и открываем: «Центр сертификации (Certification Authority).1.1. Открылась оснастка управления центром сертификации: certsrv.1.2. Выбираем наш центр сертификации и открываем его свойстваРисунок 5. Настройка центра сертификации.Оснастка управления центром сертификации certsrv.1.3. Настройка точек распространения CDP и AIA.Следующим важным этапом является конфигурация точек распространения:AIA (Authority Information Access) – включает в себя ссылки на корневой сертификат центра сертификации (CA).CDP (CRL Distribution Point) - включает в себя ссылки на списки отозванных сертификатов (CRL), которые регулярно обновляются CA. В этих файлах хранятся серийные номера и информация об аннулированных сертификатах.Мы используем веб-сервер, доступный как во внутренней сети, так и из интернета (для поддержки внешних пользователей), с единым URL для обоих сценариев.1.4. Настройка расширений.В свойствах центра сертификации переходим в раздел «Расширения»:1.4.1. Настройка CDP.Удаляем лишние точки распространения, оставляем только локальную и внешнюю:http://
Номер журнала Вестник науки №6 (87) том 3
Ссылка для цитирования:
Карпенко Д.С., Ушурбакиев В.А. РАЗВЕРТЫВАНИЕ STANDALONE ЦЕНТРА СЕРТИФИКАЦИИ НА БАЗЕ WINDOWS SERVER НА БАЗЕ ОТЕЧЕСТВЕННЫХ РЕШЕНИЙ. ФУНКЦИОНАЛ. ОСОБЕННОСТИ РАБОТЫ // Вестник науки №6 (87) том 3. С. 1764 - 1784. 2025 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/24426 (дата обращения: 15.01.2026 г.)
Вестник науки © 2025. 16+