...
Использование компонента IndeedCMRutokenKeyBox.MSCA.Proxy позволит запрашивать и записывать на устройства при помощи Рутокен KeyBox сертификаты со всех УЦ, находящихся за пределами того домена, в котором развернут RutokenKeyBox. В такой схеме в политику использования устройств Рутокен KeyBox добавляется адрес MSCA Proxy, который развернут во внешнем домене с каталогом пользователей и центром сертификации. При выпуске устройства Рутокен KeyBox обращается к MSCA Proxy, а тот, используя сертификат Агента Регистрации (располагается в хранилище рабочей станции с установленным компонентом IndeedCMRutokenKeyBox.MSCA.Proxy) передает запрос на целевой центр сертификации.
...
- Создайте во внешнем домене сервисную учетную запись для работы с центром сертификации Microsoft (см. Создание сервисной учетной записи для работы с Microsoft CA).
Настройте для сервисной учетной записи из п.1 шаблон Агент регистрации (см. Настройка шаблонов сертификатов) и выпустите для этой учетной записи сертификат по этому шаблону (см. Выпуск сертификата Агент регистрации (Enrollment Agent)).
Warning Сертификат Агент регистрации должен располагаться в хранилище сертификатов рабочей станции (Local computer), на которой установлен компонент IndeedCMRutokenKeyBox.MSCA.Proxy. Установите компонент IndeedCMRutokenKeyBox.MSCA.Proxy.msi из дистрибутива (располагающемся в каталоге RutokenKeyBox.Server) на рабочей станции в домене с внешним УЦ.
Note Системные требования для установки компонента совпадают с требования для установки сервера RutokenKeyBox. - Перейдите в каталог C:\inetpub\wwwroot\mscaproxy и откройте в редакторе Блокнот, запущенном от имени администратора, файл Web.config.
- Укажите в секции caProxySettings:
- Имя центра сертификации в параметре ca.
- Данные учетной записи (логин и пароль), обладающей сертификатом Агент регистрации в параметрах userName и password соответственно.
Отпечаток (Thumbprint) сертификата Агент регистрации в параметре enrollmentAgentCertificateThumbprint.
Пример заполненной секции:<
caProxySettings
ca
=
"servercm.external.com\EXTERNAL-CA"
userName
=
"EXTERNAL\service"
password
=
"p@ssw0rd"
enrollmentAgentCertificateThumbprint
=
"dbd1859d27395860843643ebe17e2ee3fc463aba"
/>
В секции authorization в параметре allow users также укажите сервисную учетную запись для работы с центром сертификации.
Пример заполненной секции:<
authorization
>
<
deny
users
=
"?"
/>
<
allow
users
=
"EXTERNAL\service"
/>
<
deny
users
=
"*"
/>
</
authorization
>
- Сохраните изменения в файле.