Page tree

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 5 Next »

Рутокен KeyBox может взаимодействовать с центрами сертификации Microsoft, располагающимися за пределами домена, в котором находятся сервер RutokenKayBox. Например, в конфигурации, когда у одной организации есть несколько независимых доменов с самостоятельными центрами сертификации в каждом, а RutokenKeyBox развернут только в одном из этих доменов. При этом учетные записи пользователей в этих доменах одинаковы.

Использование компонента IndeedCM.MSCA.Proxy позволит запрашивать и записывать на устройства при помощи Рутокен KeyBox сертификаты со всех УЦ, находящихся за пределами того домена, в котором развернут RutokenKeyBox. В такой схеме в политику использования устройств Рутокен KeyBox добавляется адрес MSCA Proxy, который развернут во внешнем домене с каталогом пользователей и центром сертификации. При выпуске устройства Рутокен KeyBox обращается к MSCA Proxy, а тот, используя сертификат Агента Регистрации (располагается в хранилище рабочей станции с установленным компонентом IndeedCM.MSCA.Proxy) передает запрос на целевой центр сертификации.


Для установки и настройки приложения MSCA Proxy:

  1. Создайте во внешнем домене сервисную учетную запись для работы с центром сертификации Microsoft (см. Создание сервисной учетной записи для работы с Microsoft CA).
  2. Настройте для сервисной учетной записи из п.1 шаблон Агент регистрации (см. Настройка шаблонов сертификатов) и выпустите для этой учетной записи сертификат по этому шаблону (см. Выпуск сертификата Агент регистрации (Enrollment Agent)).

    Сертификат Агент регистрации должен располагаться в хранилище сертификатов рабочей станции (Local computer), на которой установлен компонент IndeedCM.MSCA.Proxy.
  3. Установите компонент IndeedCM.MSCA.Proxy.msi из дистрибутива (располагающемся в каталоге RutokenKeyBox.Server) на рабочей станции в домене с внешним УЦ.

    Системные требования для установки компонента совпадают с требования для установки сервера RutokenKeyBox.
  4. Перейдите в каталог C:\inetpub\wwwroot\mscaproxy и откройте в редакторе Блокнот, запущенном от имени администратора, файл Web.config.
  5. Укажите в секции caProxySettings:
    • Имя центра сертификации в параметре ca.
    • Данные учетной записи (логин и пароль), обладающей сертификатом Агент регистрации в параметрах userName и password соответственно.
    • Отпечаток (Thumbprint) сертификата Агент регистрации в параметре enrollmentAgentCertificateThumbprint.
      Пример заполненной секции:

      <caProxySettings ca="servercm.external.com\EXTERNAL-CA" userName="EXTERNAL\service" password="p@ssw0rd"
      enrollmentAgentCertificateThumbprint="dbd1859d27395860843643ebe17e2ee3fc463aba"/>

  6. В секции authorization в параметре allow users также укажите сервисную учетную запись для работы с центром сертификации. 
    Пример заполненной секции:

    <authorization>
        <deny users="?" />
        <allow users="EXTERNAL\service" />
        <deny users="*" />
    </authorization>

  7. Сохраните изменения в файле.
  • No labels