Как настроить центр сертификации Windows Server 2016?

Question

[VSCO_FOX]

Добрый день!
Для курсовой работы необходимо реализовать в условной компании PKI таким образом, чтобы каждый пользователь в локальной сети мог подписывать документы для внутреннего документооборота своим ключом, сертификат которого проверяется централизованно в центре сертификации (Windows Server). Любой пользователь в локальной сети может проверить подпись на документе, посредством обращения к центру сертификации. ЦС может выдавать сертификаты для уже готовых ключей пользователей, так и генерировать пары самостоятельно.

Подскажите, пожалуйста, можно ли реализовать это стандартными средствами операционной системы, и если можно, как в двух словах должен происходить процесс настройки? Есть ли более простые способы реализовать это на практике (Возможно, без использования инфраструктуры открытых ключей, посредством GnuPG, и т.д.)
Заранее спасибо!

Answer 1

[CityCat4]

Вам придется долго и мучительно доводить Ваш вопрос до ума.
1. Сертификат никогда не проверяется централизованно - Вы так сеть затопите бессмысленными запросами и Службу Сертификатов положите. Сертификат всегда проверяется на локальной машине.
2. Что вобще означает "проверяется"?

проверить подпись на документе, посредством обращения к центру сертификации

Чушь. В винде сертификат публикуется в AD и проверка идет через котнроллер домена. Центр Сертификации выдает сертификаты.

выдавать сертификаты для уже готовых ключей пользователей

Чушь. Выдача сертификата происходит один раз - когда генерируется ключ. Любая другая выдача приведет к выписке другого ключа и появлению другого сертификата

можно ли реализовать это стандартными средствами операционной системы

Windows Server - можно, если конечно считать что Windows еще актуально.

как в двух словах должен происходить процесс настройки?

В двух словах - нанять фрилансера. Иначе будет совсем даже не в двух и даже не в двухстах, и даже не в двухстах тысячах слов - сертификат - это конструктор. Чего захотел, того и сложил :)

Comments

[VSCO_FOX]

Спасибо большое за ответ! Как я понял, моя схема не оптимальный вариант. Основная цель моей работы - внедрить криптографический инструмент защиты информации внутри сети для ЭДО. Под проверкой подписи имел ввиду проверку сертификата подписи. Подскажите пожалуйста, как бы выглядела самая простая схема для реализации цели?
Заранее спасибо!!

[CityCat4]

VSCO_FOX, ЭДО - понятние довольно растяжимое. Какую конкретно реализацию Вы будете рассматривать?
"Защита информации внутри сети" - это вообще нечто общее. Что имеется в виду - подпись документов? шифрование документов? защита почты? разделение доступа? Это все реализуется с помощью сертификатов :)

Answer 2

[Alexey Dmitriev]

Можно, нужно в гугле вбить заголовок вашего вопроса "Как настроить центр сертификации Windows Server 2016"

Comments

[VSCO_FOX]

Здравствуйте, Алексей! Спасибо за ответ! Почти вся информация касательно настройки WS для SSL сертификатов и сетевого взаимодействия, однако о подписании документов и проверки подписи ни статей ни видео не обнаружил, поэтому задал вопрос здесь.

[Alexey Dmitriev]

VSCO_FOX, ваша система документооборота должна уметь использовать сертификаты для подписи - напрямую или через какой-то криптопровайдер. Но должна быть какая-то реализация.