Большинству администраторов Windows, знакомых с темой PKI, известна утилита MakeCert.exe, с помощью которой можно создать самоподписанный сертификат. Эта утилита включена в состав Microsoft .NET Framework SDK и Microsoft Windows SDK. В современных версиях Windows 11/10/8.1 и Windows Server 2022/2019/2016/2012R2 вы можете создать самоподписанный сертификат с помощью встроенных командлетов PowerShell без использования дополнительных утилит.
Содержание:
- New-SelfSignedCertificate: создать самоподписанный SSL сертификат в PowerShell
- Как сгенерировать SAN (SubjectAltName) сертификат с помощью PowerShell?
- Экспорт самоподписаного сертификата в Windows
- Сгенерировать сертификат для подписи кода типа Code Signing
- Создать самоподписанный SSL сертификат SHA-256 для IIS
New-SelfSignedCertificate: создать самоподписанный SSL сертификат в PowerShell
Для создания самоподписанного сертификата в PowerShell нужно использовать командлет New-SelfSignedCertificate, входящий в состав модуля PKI (Public Key Infrastructure).
Чтобы вывести список всех доступных командлетов в модуле PKI, выполните команду:
Get-Command -Module PKI
Самоподписанные SSL сертификаты рекомендуется использовать в тестовых целях или для обеспечения сертификатами внутренних интранет служб (IIS, Exchange, Web Application Proxy, LDAPS, ADRMS, DirectAccess и т.п.), в тех случая когда по какой-то причине приобретение сертификата у внешнего провайдера или разворачивание инфраструктуры PKI/CA невозможны.
Совет. Не забывайте, что вы можете использования полноценные бесплатные SSL сертификаты от Let’s Encrypt. Например, вы можете SSL сертификат Let’s Encrypt и привязать его к сайту IIS.
Для создания сертификата нужно указать значения -DnsName (DNS имя сервера, имя может быть произвольным и отличаться от имени localhost) и -CertStoreLocation (раздел локального хранилища сертификатов, в который будет помещен сгенерированный сертификат).
Чтобы создать новый SSL сертификат для DNS имени test.contoso.com (указывается FQDN имя) и поместить его в список персональных сертификатов компьютера, выполните команду:
New-SelfSignedCertificate -DnsName test.contoso.com -CertStoreLocation cert:\LocalMachine\My
Команда вернет отпечаток нового сертификата (Thumbprint), Subject и EnhancedKeyUsageList. По умолчанию такой сертификат можно использовать для аутентификации клиента Client Authentication (1.3.6.1.5.5.7.3.2) или сервера Server Authentication (1.3.6.1.5.5.7.3.1).
Если вы запустите эту команду в PowerShell без прав администратор, появится ошибка:
New-SelfSignedCertificate : CertEnroll::CX509Enrollment::_CreateRequest: Access denied. 0x80090010 (-2146893808 NTE_PERM)
Если вы указали нестандартный криптографический провайдер CSPs (например, с помощью параметров
-KeyAlgorithm "ECDSA_secP256r1" -Provider 'Microsoft Smart Card Key Storage Provider'
), убедитесь, что он установлен на компьютере (по умолчанию используется CSP Microsoft Enhanced Cryptographic Provider). Иначе появится ошибка:
New-SelfSignedCertificate: CertEnroll::CX509Enrollment::_CreateRequest: Provider type not defined. 0x80090017 (-2146893801 NTE_PROV_TYPE_NOT_DEF).
По-умолчанию генерируется самоподписанный сертификат со следующим параметрами:
- Криптографический алгоритм: RSA;
- Размер ключа: 2048 бит;
- Допустимые варианты использования ключа: Client Authentication и Server Authentication;
- Сертификат может использоваться для: Digital Signature, Key Encipherment ;
- Срок действия сертификата: 1 год.
- Криптопровадер: Microsoft Software Key Storage Provider
Данная команда создаст новый сертификат и импортирует его в персональное хранилище компьютера. Откройте оснастку certlm.msc и проверьте, что в разделе Personal хранилища сертификатов компьютера появился новый сертификат.
С помощью командлета Get-ChildItem можно вывести все параметры созданного сертификата по его отпечатку (Thumbprint):
Get-ChildItem -Path "Cert:\LocalMachine\My" | Where-Object Thumbprint -eq 76360EAA92D958ECF2717261F75D426E6DB5B4D1 | Select-Object *
PSPath : Microsoft.PowerShell.Security\Certificate::LocalMachine\My\76360EAA92D958ECF2717261F75D426E6
DB5B4D1
PSParentPath : Microsoft.PowerShell.Security\Certificate::LocalMachine\My
PSChildName : 76360EAA92D958ECF2717261F75D426E6DB5B4D1
PSDrive : Cert
PSProvider : Microsoft.PowerShell.Security\Certificate
PSIsContainer : False
EnhancedKeyUsageList : {Client Authentication (1.3.6.1.5.5.7.3.2), Server Authentication (1.3.6.1.5.5.7.3.1)}
DnsNameList : {test.contoso.com}
SendAsTrustedIssuer : False
EnrollmentPolicyEndPoint : Microsoft.CertificateServices.Commands.EnrollmentEndPointProperty
EnrollmentServerEndPoint : Microsoft.CertificateServices.Commands.EnrollmentEndPointProperty
PolicyId :
Archived : False
Extensions : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid,
System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}
FriendlyName :
HasPrivateKey : True
PrivateKey : System.Security.Cryptography.RSACng
IssuerName : System.Security.Cryptography.X509Certificates.X500DistinguishedName
NotAfter : 12/2/2023 3:41:18 PM
NotBefore : 12/2/2022 3:21:18 PM
PublicKey : System.Security.Cryptography.X509Certificates.PublicKey
RawData : {48, 130, 3, 45…}
SerialNumber : 24682351DA9C59874573BA2B5BB39874
SignatureAlgorithm : System.Security.Cryptography.Oid
SubjectName : System.Security.Cryptography.X509Certificates.X500DistinguishedName
Thumbprint : 76360EAA92D958ECF2717261F75D426E6DB5B4D1
Version : 3
Handle : 2007435579936
Issuer : CN=test.contoso.com
Subject : CN=test.contoso.com
Примечание. Срок действия такого самоподписанного сертификата истекает через 1 год с момента его создания. Можно задать другой срок действия сертификата с помощью атрибута —NotAfter.Чтобы выпустить сертификат на 3 года, выполните следующие команды:
$todaydate = Get-Date
$add3year = $todaydate.AddYears(3)
New-SelfSignedCertificate -dnsname test.contoso.com -notafter $add3year -CertStoreLocation cert:\LocalMachine\My
Можно создать цепочку сертификатов. Сначала создается корневой сертификат (CA), а на основании него генерируется SSL сертификат сервера:
$rootCert = New-SelfSignedCertificate -Subject "CN=TestRootCA,O=TestRootCA,OU=TestRootCA" -KeyExportPolicy Exportable -KeyUsage CertSign,CRLSign,DigitalSignature -KeyLength 2048 -KeyUsageProperty All -KeyAlgorithm 'RSA' -HashAlgorithm 'SHA256' -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider"
New-SelfSignedCertificate -CertStoreLocation cert:\LocalMachine\My -DnsName "test2.contoso.com" -Signer $rootCert -KeyUsage KeyEncipherment,DigitalSignature
Чтобы изменить длину ключа сертификата и алгоритм шифрования, нужно использовать параметры
–KeyAlgorithm
,
–KeyLength
и
–HashAlgorithm
. Например:
New-SelfSignedCertificate -KeyAlgorithm RSA -KeyLength 2048 -HashAlgorithm "SHA256"
Если на компьютере доступен модуль TPM 2.0, можно использовать его для защиты ключа:
New-SelfSignedCertificate -Type Custom -Provider "Microsoft Platform Crypto Provider" ...
Провайдер Microsoft Platform Crypto Provider использует Trusted Platform Module чип устройства для создания ассиметричного ключа.
$Params = @{
"DnsName" = "mylocalhostname"
"CertStoreLocation" = "Cert:\\CurrentUser\\My"
"KeyUsage" = "KeyEncipherment","DataEncipherment","KeyAgreement"
"Type" = "DocumentEncryptionCert"
}
New-SelfSignedCertificate @Params
Как сгенерировать SAN (SubjectAltName) сертификат с помощью PowerShell?
Командлет New-SelfSignedCertificate позволяет создать сертификат с несколькими различными именами Subject Alternative Names (SAN).
Примечание. Утилита Makecert.exe, в отличии от командлета New-SelfSignedCertificate, не умеет создавать сертификаты с SAN.
Если создается сертификат с несколькими именами, первое имя в параметре DnsName будет использоваться в качестве CN (Common Name) сертификата. К примеру, создадим сертификат, у которого указаны следующие имена:
- Subject Name (CN): adfs1.contoso.com
- Subject Alternative Name (DNS): web-gw.contoso.com
- Subject Alternative Name (DNS): enterprise-reg.contoso.com
Команда создания сертификата будет такой:
New-SelfSignedCertificate -DnsName adfs1.contoso.com,web_gw.contoso.com,enterprise_reg.contoso.com -CertStoreLocation cert:\LocalMachine\My
Также можно сгенерировать wildcard сертификат для всего пространства имен домена, для этого в качестве имени сервера указывается *.contoso.com.
New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -dnsname *.contoso.com
Вы можете привязать сертификат не только к DNS имени, но и к IP адресу. Для этого вместе параметр -DnsName нужно использовать -TextExtension. Например:
New-SelfSignedCertificate -TextExtension @("2.5.29.17={text}IPAddress=10.10.2.3&DNS=TESTServer1&DNS=TESTServer1.local")
Как вы видите, в поле Subject Alternative Name теперь содержится IP адрес.
Экспорт самоподписаного сертификата в Windows
Для экспорта полученного сертификата c закрытым ключом в pfx файл, защищенный паролем, нужно получить его отпечаток (Thumbprint). Сначала нужно указать пароль защиты сертификата и преобразовать его в формат SecureString. Значение Thumbprint нужно скопировать из результатов выполнения команды New-SelfSignedCertificate.
$CertPassword = ConvertTo-SecureString -String “YourPassword” -Force –AsPlainText
Export-PfxCertificate -Cert cert:\LocalMachine\My\2779C0490D558B31AAA0CEF2F6EB1A5C2CA83B30 -FilePath C:\test.pfx -Password $CertPassword
Можно экспортировать открытый ключ сертификата:
Export-Certificate -Cert Cert:\LocalMachine\My\2779C0490D558B31AAA0CEF2F6EB1A5C2CA83B30 -FilePath C:\testcert.cer
Проверьте, что в указанном каталоге появился CER (PFX) файл сертификата. Если щелкнуть по нему правой клавишей и выбрать пункт меню Install Certificate, можно с помощью мастера импорта сертификатов добавить сертификат в корневые доверенные сертификаты компьютера.
Выберите Store location -> Local Machine, Place all certificates in the following store -> Trusted Root Certification Authorities.
Можно создать сертификат и сразу импортировать его в доверенные корневые сертификаты компьютера командами:
$cert=New-SelfSignedCertificate …..
$certFile = Export-Certificate -Cert $cert -FilePath C:\certname.cer
Import-Certificate -CertStoreLocation Cert:\LocalMachine\AuthRoot -FilePath $certFile.FullName
Полученный открытый ключ или сам файл сертификата можно распространить на все компьютеры и сервера в домене с помощью GPO (пример установки сертификата на компьютеры с помощью групповых политик).
Сгенерировать сертификат для подписи кода типа Code Signing
В PoweShell 3.0 командлет New-SelfSifgnedCertificate позволял генерировать только SSL сертификаты, которые нельзя было использоваться для подписывания кода драйверов и приложений (в отличии сертификатов, генерируемых утилитой MakeCert).
В версии PowerShell 5 командлет New-SelfSifgnedCertificate теперь можно использовать чтобы выпустить сертификат типа Code Signing.
Вы можете обновить версию PowerShell согласно инструкции.
Для создания самоподписанного сертфиката для подписывания кода приложений, выполните команду:
$cert = New-SelfSignedCertificate -Subject "Cert for Code Signing” -Type CodeSigningCert -CertStoreLocation cert:\LocalMachine\My
Теперь можно подписать ваш PowerShell скрипт эти сертификатом:
Set-AuthenticodeSignature -FilePath C:\PS\test_script.ps1 -Certificate $cert
Если при выполнении команды появится предупреждение UnknownError, значит этот сертификат недоверенный, т.к. находится в персональном хранилище сертификатов пользователя.
Нужно переместить его в корневые сертификаты (не забывайте периодически проверять хранилище сертификатов Windows на наличие недоверенных сертфикатов и обновлять списки корневых сертификатов):
Move-Item -Path $cert.PSPath -Destination "Cert:\CurrentUser\Root"
Теперь вы можете использовать этот самоподписанный сертификат для подписи PowerShell скриптов, драйверов или приложений.
Создать самоподписанный SSL сертификат SHA-256 для IIS
Обратите внимание, что при создании самоподписанный сертификат для IIS через консоль Internet Information Manager (пункт меню Create Self-Signed Certificate), создается сертификат с использованием алгоритма шифрования SHA-1. Такие сертификаты многими браузерами считаются недоверенными, поэтому они могут выдавать предупреждение о небезопасном подключении. Командлет New-SelfSignedCertificate позволяет создать более популярный тип сертификата с помощью алгоритма шифрования SHA-256.
Вы можете привязать самоподписанный сертификат SHA-256, созданный в PowerShell, к сайту IIS. Если вы с помощью PowerShell создали SSL сертификат и поместили его в хранилище сертификатов компьютера, он будет автоматически доступен для сайтов IIS.
Запустите консоль IIS Manager, выберите ваш сайт, затем в настройке Site Binding, выберите созданный вами сертификат и сохраните изменения.
Также можно привязать SSL сертификат к сайту IIS по его отпечатку:
New-IISSiteBinding -Name "Default Web Site" -BindingInformation "*:443:" -CertificateThumbPrint $yourCert.Thumbprint -CertStoreLocation "Cert:\LocalMachine\My" -Protocol https
Get your FREE copy of «The Ultimate Guide of SSL»
Download Ebook
SSL Certificates
Secure Sockets Layer (SSL) secures communication that happens between a web server and the browser and keeps it private, thereby reducing the risk of sensitive information being stolen. SSL certificates are used by millions of websites across the globe. In short, an SSL certificate assures that the conversation between two parties is private.
What is a Self-Signed Certificate?
A self-signed certificate is a free SSL certificate that is signed by the individual to whom it is issued. When you go for a self-signed certificate, the private key will be signed by you and not by any Certificate Authority (CA). Self-signed certificates are free and this gives website owners an opportunity to secure their websites with free SSL certificates. However, these certificates are generally used for internal testing purposes.
Standard SSL certificates are issued by Certificate Authorities using a chain of trust. Each certificate is signed by more reliable certificates and this chain extends to the root certificates. Unlike other standard SSL certificates, self-signed certificates do not use the chain of trust. These certificates are mostly used when the company wants to internally test without standard SSL certificates for which they have to pay.
Steps to Create a Self-Signed SSL for Windows Server 2012 R2
You can use a self-signed certificate for Windows Server 2012 R2. Following are the steps involved in the process of creating a self-signed SSL certificate for Windows Server 2012 R2.
Self-Signed SSL Certificate Generation Steps
- Step:1 Open the Microsoft Management Console (MMC) and go to Run, Type MMC and then click the OK button.
- Step:2 Window (MMC Console) will open, click on Add/Remove Snap-in.
- Step:3 You will find the certificate on the left panel >> select Certificates and click on Add.
- Step:4 After you click on Add, the snap-in window will pop-up. Select Computer Account and then click on the Next button.
- Step:5 Select the Local Computer on which this console runs and click Finish.
- Step:6 The certificate will then be added to your Snap-in. Select the certificate and click on OK.
- Step:7 In the console root select Personal >> Certificate >> All Tasks >> Advanced Operations >> Create Custom Request.
- Step:8 The Certificate Enrollment window will pop up. Click on Next.
- Step:9 On the next window, click on “Proceed without enrollment policy” and click Next.
- Step:10 In the Custom Request Window, select, (No Template) CNG key and PKCS#10 format and click on Next.
- Step:11 In the Certificate Information page, click on Details to expand the box and click on Properties & then Next.
- Step:12 In the Certificate Properties window >> Select the General tab >> for Friendly Name and Description. Add the domain for which you need the SSL certificate in the Friendly Name and Description.
- Step:13 Select the Subject tab and under that select Common Name under Type >> Value is the name of your domain for which you are creating the SSL certificate >> Select DNS under Type >> Value is the name of your domain. Click Add. You will see the details added to the right panel. Finally, click Apply.
- Step:14 Click on the Extensions tab and select Extended Key Usage.
- Step:15 Further, scroll down the window and click on Basic Constraints and click the checkbox “Enable this extension.“
- Step:16 Select the Private Key tab and Select Key Options and change Key size to 2048 or the largest key size available also check “Make private key exportable.”
- Step:17 In the same page, on “Select Hash Algorithm” change to SHA-256
- Step:18 Click Apply >> click OK.
- Step:19 Click Next in the Certificate information pop up.
- Step:20 On the Certificate Enrollment wizard, under Where do you want to save the offline request? Select the destination and click Finish.
Self-Signed SSL Certificate Import Steps
- Step:1 Click Certificate Enrolment Requests from the menu on the left >> Right click on Certificates >> All Tasks >> Import.
- Step:2 Click on Next.
- Step:3 In the Certificate Import wizard, select the destination and click Next.
- Step:4 Click Finish in the Complete the Certificate Import Wizard.
- Step:5 You will then see a pop up saying The import was successful. Click OK.
- Step:6 Click Certificates under Certificate Enrollment Requests, to view your certificate.
- Step:7 Double click Certificate and go to Details.
- Step:8 Click Copy to file and click Next.
- Step:9 Select your preferred format and name the file.
- Step:10 Import to Desktop and click Finish.
- Step:11 Import certificate in Personal Store.
- Step:12 Go to the Details tab to check the Signature hash algorithm.Step:13 You will see SHA-256.
Remember, when you use a self-signed certificate, you will notice a certificate error in IE if you do not install the certificate on all machines you use. This is one reason why many prefer standard SSL certificates over self-signed certificates.
Disclosure: AboutSSL appreciates your continuous support. It helps us tremendously to keep moving in the competitive SSL industry. Here most of the links which direct you to buy any SSL/TLS related service or products earns us a certain percentage of referral commission. Learn More
Статья успешно отправлена на почту
Последние изменения: 2024-03-26
Для получения самоподписанного тестового сертификата в системах Windows® 8 и Windows Server® 2012 легче всего воспользоваться Windows PowerShell 3.0.
Установка Windows PowerShell.
Для запуска консоли Windows PowerShell, выполните: Win+R, «PowerShell_ISE.exe», «Выполнить». Запускать консоль необходимо с правами локального администратора.
Далее, в окне консоли Windows PowerShell необходимо выполнить командлет «New-SelfSignedCertificate», для этого вводим команду:
New-SelfSignedCertificate -DnsName localhost -CertStoreLocation cert:LocalMachineMy
Данная команда запускает командлет, который производит генерацию самоподписанного сертификата для DNS имени localhost, и помещает его в раздел «Личные» локального хранилища сертификатов, иногда по неустановленным причинам сертификат может быть помещен в другой раздел локального хранилища, например «Промежуточные центры сертификации».
При успешном выполнении командлета в окне консоли появится информация, содержащая слепок сгенерированного сертификата.
Далее необходимо открыть оснастку «Сертификаты» с правами локального администратора, для этого запустите соответствующий файл «certmgr.msc» и произведите поиск сгенерированного сертификата по его DNS имени «localhost».
Далее, найденный сертификат необходимо переместить в раздел «Доверенные корневые центры сертификации\Сертификаты».
Если описанный способ не сработал, попробуйте альтернативные способы получения сертификата:
- Как создать самоподписанный сертификат в Windows
- Выпуск собственного SSL-сертификата
Установка сертификата на Windows Server 2012 является неотъемлемой частью безопасности и обеспечения защиты ваших веб-сайтов и приложений. Сертификаты не только обеспечивают шифрование данных, но и гарантируют идентификацию сервера и доверие со стороны пользователей.
Этот пошаговый гид поможет вам установить сертификат на Windows Server 2012, чтобы ваш веб-сайт или приложение могли использовать HTTPS-протокол и связываться с посетителями безопасным образом. Для установки сертификата вам потребуется сам сертификат, приватный ключ и промежуточные сертификаты.
Перед установкой сертификата необходимо сгенерировать запрос на сертификат (CSR) и получить сам сертификат, после чего можно приступить к следующему шагу — установке сертификата на Windows Server 2012. Не забудьте сохранить приватный ключ в надежном месте и создать резервные копии сертификата и приватного ключа.
Ключевым шагом при установке сертификата на Windows Server 2012 является использование консоли управления сервером Internet Information Services (IIS). Следуйте этой пошаговой инструкции, чтобы безопасно и корректно установить сертификат на ваш сервер и обеспечить защиту вашего веб-сайта или приложения.
Выбор и загрузка сертификата
Перед установкой сертификата на Windows Server 2012 необходимо выбрать и загрузить соответствующий сертификат.
Существуют несколько способов получения сертификата:
- Самоподписанный сертификат: данный способ предусматривает создание собственного сертификата с использованием инструментов ОС Windows Server 2012.
- Сертификат от удостоверяющего центра (УЦ): для получения такого сертификата необходимо обратиться к удостоверяющему центру и выбрать один из предлагаемых ими сертификатов. УЦ будет выполнять проверку вашей личности и подтверждать ее перед выдачей сертификата.
- Сертификат, полученный через запрос на сертификат: при таком способе сначала необходимо сгенерировать запрос на сертификат, а затем отправить его удостоверяющему центру. После проверки и подтверждения личности вы получите сертификат.
После выбора способа получения сертификата, следует загрузить его на сервер. Для этого вам потребуется получить файл сертификата с расширением .cer или .crt от удостоверяющего центра или создать свой собственный сертификат и сохранить его в соответствующем формате.
Результатом этого этапа должен быть файл сертификата, который вам понадобится для дальнейшей установки на Windows Server 2012.
Как выбрать подходящий сертификат для вашего сервера
1. Тип сертификата:
Существует несколько типов сертификатов, таких как SSL/TLS, цифровые ID, электронная подпись и т. д. В зависимости от ваших потребностей выберите тот тип, который лучше всего соответствует вашему серверу.
2. Уровень доверия:
Обратите внимание на уровень доверия, который предлагает выбранный сертификационный центр (CA). Чем выше уровень доверия, тем больше доверия пользователей будет к вашему веб-сайту.
3. Доменное имя:
Убедитесь, что выбранный сертификат поддерживает ваше доменное имя. Некоторые сертификаты могут быть ограничены по доменным именам или поддерживать только определенные уровни доменов.
4. Стоимость:
Стоимость сертификата также является важным фактором при выборе подходящего сертификата. Сравните стоимость сертификатов разных CA и выберите тот, который соответствует вашему бюджету.
5. Технические требования:
Проверьте, соответствует ли выбранный сертификат техническим требованиям вашего сервера. Убедитесь, что сертификат поддерживает нужные версии протоколов и шифрования, а также необходимые хеш-алгоритмы.
При выборе подходящего сертификата для вашего сервера учтите все вышеперечисленные факторы, чтобы обеспечить безопасность, надежность и доверие вашего веб-сайта. Следуйте инструкции по установке на Windows Server 2012, чтобы успешно установить выбранный сертификат на ваш сервер.
Подготовка сервера
Перед установкой сертификата на Windows Server 2012 необходимо выполнить ряд подготовительных шагов:
| 1. | Убедитесь, что у вас есть административные привилегии на сервере. |
| 2. | Обновите операционную систему до последней версии и установите все доступные обновления безопасности. |
| 3. | Устанавливайте антивирусное программное обеспечение, чтобы защитить сервер от вредоносных программ и вирусов. |
| 4. | Настройте брандмауэр сервера, чтобы разрешить соединения по протоколам HTTPS и SSH. |
| 5. | Создайте резервную копию важных данных сервера, чтобы в случае проблем можно было быстро восстановить систему. |
После завершения этих подготовительных шагов вы будете готовы к установке сертификата на Windows Server 2012.
Генерация запроса на сертификат и его отправка в центр сертификации
Для установки сертификата на Windows Server 2012 необходимо сначала сгенерировать запрос на сертификат и отправить его в центр сертификации. Вот пошаговая инструкция:
Шаг 1: Откройте управление сервером (Server Manager) и выберите «Local Server».
Шаг 2: Нажмите на иконку «Tasks» и выберите «Configure the Request Certificate» (настройка запроса на сертификат).
Шаг 3: Выберите «Create a new Request» (создать новый запрос) и нажмите «Next».
Шаг 4: Введите информацию о сертификате, такую как имя сервера и организация. Проверьте правильность введенных данных и нажмите «Next».
Шаг 5: Выберите криптографические параметры для запроса на сертификат. Рекомендуется оставить параметры по умолчанию. Нажмите «Next».
Шаг 6: Укажите имя файла и путь, в которых будет сохранен запрос на сертификат. Нажмите «Finish».
Шаг 7: Откройте созданный файл запроса на сертификат (обычно с расширением .req) в любом текстовом редакторе и скопируйте его содержимое.
Шаг 8: Отправьте скопированное содержимое запроса на сертификат в центр сертификации своей организации или удостоверяющему центру (CA).
Обратите внимание: Способ отправки запроса на сертификат может различаться в зависимости от вашей организации.
Шаг 9: Дождитесь получения сертификата от центра сертификации. Обычно, сертификат будет представлен в виде файла с расширением .cer.
Поздравляю! Теперь у вас есть запрошенный сертификат, который можно установить на Windows Server 2012.
Получение и установка сертификата
Перед установкой сертификата на Windows Server 2012 необходимо его получить. Сертификат можно получить от удостоверяющего центра (УЦ) или самостоятельно сгенерировать самоподписанный сертификат. Оба способа имеют свои преимущества и недостатки, поэтому выбор зависит от конкретных требований и задач.
Если выбран способ получения сертификата от УЦ, необходимо обратиться в УЦ и предоставить необходимые данные для проверки и выдачи сертификата. После проверки данных и оплаты услуги, УЦ выдаст сертификат в виде цифрового файла.
Если выбран способ самостоятельного генерирования самоподписанного сертификата, необходимо воспользоваться специальными инструментами, такими как OpenSSL или IIS Manager. При генерации сертификата необходимо указать основные данные, такие как название организации, доменное имя сервера и срок действия сертификата.
Полученный сертификат, вне зависимости от способа его получения, необходимо установить на Windows Server 2012. Для этого нужно выполнить следующие шаги:
- Открыть управление сервером (Server Manager) и выбрать пункт «Установка серверных ролей и компонентов».
- В открывшемся окне выбрать пункт «Установка служба файловых серверов», а затем щелкнуть на кнопке «Далее».
- Выбрать роль «Веб-службы (IIS)» и установить соответствующие службы и компоненты.
- После установки IIS перейти в раздел «Сертификаты сервера (IIS)» и выбрать пункт «Сертификаты сервера».
- Щелкнуть правой кнопкой мыши на панели действий и выбрать пункт «Импорт».
- Указать путь к файлу сертификата и пароль, если он есть, а затем щелкнуть на кнопке «OK».
- После успешного импорта сертификата он станет доступен для использования в IIS и других службах на сервере.
По завершении установки сертификата на Windows Server 2012 необходимо проверить его работу. Для этого можно воспользоваться различными инструментами, такими как браузер или специализированные программы для проверки сертификатов. В случае успешной установки и работы сертификата, сервер будет обеспечивать защищенное соединение с клиентами и обеспечивать безопасность передаваемых данных.
Процесс получения сертификата после его подписания центром сертификации и его установка на сервере
После того, как сертификат был успешно подписан центром сертификации, необходимо получить его и установить на сервере Windows Server 2012. Для этого выполните следующие шаги:
- Откройте консоль управления IIS (Internet Information Services).
- Перейдите в раздел «Сертификаты сервера».
- Нажмите на кнопку «Запросить сертификат».
- Выберите опцию «Импортировать подписанный или обновленный сертификат».
- Нажмите на кнопку «Обзор» и укажите путь к файлу с подписанным сертификатом.
- Нажмите на кнопку «Установить».
- После установки сертификата перезапустите службу IIS для применения изменений.
После выполнения этих шагов сертификат будет успешно установлен на сервере Windows Server 2012 и готов к использованию для защищенного соединения.
Пытаюсь создать сертификат.
Он выдает в итоге ошибку файл не найден.
Подскажите как быть?
-
Вопрос задан
-
1408 просмотров
2
комментария
Подписаться
2
Оценить
2
комментария
Пригласить эксперта
Ответы на вопрос 1
Лучше всего создавать сертификат через ADSC для вашей фермы RDS, если его нет — попробуйте файл сертификата переместить из корня диска C:\ в какую нибудь папку, например c:\certs\
Ваш ответ на вопрос
Войдите, чтобы написать ответ
Похожие вопросы
-
Показать ещё
Загружается…
