1. Берем свежий сервер. Windows 2003 Enterprise SP2. Нужен именно Enterprise, Standart не подойдет (или подойдет?)
Он будет единственным в домене, на нем будет жить контроллер Active Directory и все остальное. Сервер зовут DC.
2. Первый логин.
Add or remove a role
Typical configuration for a first server
Active directory domain name: sc.local
DNS domain name: sc.local
NetBIOS domain name: SC
Do not forward DNS queries
Дальше оно ставится и перегружается. Типа круто, у меня есть AD. Могу зайти администратором домена.
Затем мне нужен IIS, чтоб енролить ключи через веб.
Add or remove a role
Application server (IIS, ASP.NET)
Ставлю галку "Enable ASP .NET"
Затем служба сертификатов.
Start => Settings => Control Panel => Add or Remove Programs => Add/Remove Windows Components => Certification Services. Ругается, что имя домена и компа поменять больше нельзя будет поменять (the machine name and domain membership may not be changed), ну и не надо. Выбираю ставить Enterprise root CA. Спрашивает Common name for this CA, говорю ей scca. Ругается "Ща остановлю IIS". Ругается: "ASP must be enabled ... enable ASP now?" - говорю Yes.
Уфф. Перегружусь для профилактики.
Start => Programs => Administrative Tools => Certification Authority => scca => клик правой кнопкой на Certificate Templates => New => Certificate Template to Issue => Enrollment Agent и затем Smartcard User.
Запускаю эксплорер. Захожу на
http://dc/certsrv, логинюсь как Administrator@SC. Request a certificate => advanced certificate request => Create and submit a request to this CA.
Certificate Template: Enrollment Agent.
Submit => Install certificate.
Крута, что-то поставилось.
Ставлю (eToken RTE 3.65) (драйвер ruToken rtDrivers.exe).
Перегружаюсь.
У меня сервер был установлен под VMware. Если вы тоже используете VMware,
не пытайтесь использовать ключ с виртуальной машиной через виртуальный USB: это может закончится повреждением ключа. Вместо этого нужно установить драйвер (eToken)(ruToken) на хост-систему.
Запускаю на хост-системе (eToken Properties) (rtCert). Ключ виден, сертификатов в ключе нет.
Запускаю интернетэксплорер. Захожу на http://ip-адрес-сервера/certsrv, логинюсь как Administrator@SC, Request a certificate => advanced certificate request => Create and submit a request to this CA.
Certificate Template: Smartcard user
CSP: (eToken Base Cryptographic Provider) (Aktiv ruToken CSP v1.0)
Submit => Install certificate.
Спрашивает PIN на токен (по умолчанию, PIN для ruToken 12345678). Предупреждает, что центр сертификации неизвестен. Чего-то ставит. "Your new certificate has been successfully installed." (eToken Properties) (rtCert) видит сертификат
Administrator@sc.local на ключе!
Запускаю на хост-системе штатный клиент службы терминалов mstsc.exe, ставлю галку Local Resources => Smart cards. Подключаюсь к серверу, и вместо пароля оно спрашивает PIN. Ввожу PIN, и меня пускает на сервер. БЕЗ пароля. Ура, товарищи!
1. Берем свежий сервер. Windows 2003 Enterprise SP2. Нужен именно Enterprise, Standart не подойдет (или подойдет?)
Он будет единственным в домене, на нем будет жить контроллер Active Directory и все остальное. Сервер зовут DC.
2. Первый логин.
Add or remove a role
Typical configuration for a first server
Active directory domain name: sc.local
DNS domain name: sc.local
NetBIOS domain name: SC
Do not forward DNS queries
Дальше оно ставится и перегружается. Типа круто, у меня есть AD. Могу зайти администратором домена.
Затем мне нужен IIS, чтоб енролить ключи через веб.
Add or remove a role
Application server (IIS, ASP.NET)
Ставлю галку "Enable ASP .NET"
Затем служба сертификатов.
Start => Settings => Control Panel => Add or Remove Programs => Add/Remove Windows Components => Certification Services. Ругается, что имя домена и компа поменять больше нельзя будет поменять (the machine name and domain membership may not be changed), ну и не надо. Выбираю ставить Enterprise root CA. Спрашивает Common name for this CA, говорю ей scca. Ругается "Ща остановлю IIS". Ругается: "ASP must be enabled ... enable ASP now?" - говорю Yes.
Уфф. Перегружусь для профилактики.
Start => Programs => Administrative Tools => Certification Authority => scca => клик правой кнопкой на Certificate Templates => New => Certificate Template to Issue => Enrollment Agent и затем Smartcard User.
Запускаю эксплорер. Захожу на http://dc/certsrv, логинюсь как Administrator@SC. Request a certificate => advanced certificate request => Create and submit a request to this CA.
Certificate Template: Enrollment Agent.
Submit => Install certificate.
Крута, что-то поставилось.
Ставлю (eToken RTE 3.65) (драйвер ruToken rtDrivers.exe).
Перегружаюсь.
У меня сервер был установлен под VMware. Если вы тоже используете VMware, [i]не пытайтесь использовать ключ с виртуальной машиной через виртуальный USB[/i]: это может закончится повреждением ключа. Вместо этого нужно установить драйвер (eToken)(ruToken) на хост-систему.
Запускаю на хост-системе (eToken Properties) (rtCert). Ключ виден, сертификатов в ключе нет.
Запускаю интернетэксплорер. Захожу на http://ip-адрес-сервера/certsrv, логинюсь как Administrator@SC, Request a certificate => advanced certificate request => Create and submit a request to this CA.
Certificate Template: Smartcard user
CSP: (eToken Base Cryptographic Provider) (Aktiv ruToken CSP v1.0)
Submit => Install certificate.
Спрашивает PIN на токен (по умолчанию, PIN для ruToken 12345678). Предупреждает, что центр сертификации неизвестен. Чего-то ставит. "Your new certificate has been successfully installed." (eToken Properties) (rtCert) видит сертификат Administrator@sc.local на ключе!
Запускаю на хост-системе штатный клиент службы терминалов mstsc.exe, ставлю галку Local Resources => Smart cards. Подключаюсь к серверу, и вместо пароля оно спрашивает PIN. Ввожу PIN, и меня пускает на сервер. БЕЗ пароля. Ура, товарищи!