Настройка CA и шаблонов TLS-сертификатов для Intel SCS
Полная настройка Intel SCS весьма непроста и достаточно объёмна. В более чем двухсотстраничном руководстве Intel SCS Guide соориентироваться совсем непросто и да для относительно простых вещей, читать такое желания не найдётся ни у кого. В то время как сложные вещи описаны не столь подробно, когда это именно и нужно. Одну из таких, наиболее часто востребованных вещей - настройка для работы с АМТ собственного CA и шаблонов для TLS-сертификатов - я максимально детально опишу в данной статье.
Кому-то покажется такая детальность излишней, однако, кто реально столкнётся - ему будет сложно найти "другие источники", а нижеследующее - "выстрадано" и если бы у меня было такое руководство в своё время, я был бы просто счастлив.
Итак, "по умолчанию" Intel SCS предполагает работу на Windows 2003, однако в своё время забраковав его как уже "морально устаревший", всё далее будет описано для Windows 2008 (R2 64-bit Enterprise Edition English version). Версии Intel SCS до седьмой были 32-битными и .NET Framework 2.0. Начиная с седьмой - они стали 64-битными и требуют наличия .NET Framework 3.5+.
Другие требования могут различаться от задач, но если вы не хотите проблем - сразу ставьте домен. Все счастливые адепты линуксов далее могут не читать - Intel SCS не предполагает ничего, кроме Микрософт.
Итак, установив домен, теперь ставим Certificate Services:
Ставим галку Certificate Authority и Certificate Authority Web Enrollment. Последнее потребует также установки IIS и другой мишуры:
Далее, несмотря на то, что в документации написано про то, что можно ставить и Standalone - если вы не хотите проблем, сейчас и далее делайте так, как здесь написано. Короче - выбираем Enterprise.
Далее - Root CA. Никаких "особых" требований к руту CA для работы с АМТ не будет, потому смысла в Sub CA нет:
Если у вас есть свой любимый фирменный ключ - можете его указать на следующем шаге. В любом другом случае - генерим новый:
На следующем шаге добавляю галку, чтобы иметь возможность работать с приватным ключём.
Далее даём имя СА. Многие здесь пишут по привычке FQDN-вариант (типа "vpro.by"), однако это после сбивает с толку, потому я обычно специально указываю не-FQDN, чтобы после было легче отличить. В данном случае прописал "vProbyCA".
Кол-во лет по желанию:
Далее жмём далее:
Подтверждаем установку других компонентов.
Настройка закончена, жмём Install:
После установки CA готово к работе.
Запускаем СА:
Выбираем свежезапущенное СА:
Правая клавиша мыши - свойства:
Далее переходим на закладку Policy Module:
Жмём Propertiers и убеждаемся, что стоит "Follow the settings in the certificate template, if applicable. Otherwise, automatically issue the certificate".
На этом настройка CA закончена. Убеждаемся, что процесс Certificate Propagation запущен:
Приступаем к созданию шаблона. Для этого запускаем mmc:
Сразу жмём CTRL-M или мышкой:
Для удобности кроме Certificate Templates можно сразу добавить и Certificates:
Раскрываем полученную консоль. Находим среди шаблонов "User" и делаем копию:
На следующий вопрос про Windows Server - выбираем именно "Windows Server 2003 Enterprise", вне зависимости от того, на каком вы это настраиваете. Итого - жмём 2003.
Вводим название будущего шаблона, выбираем, если нужно, кол-во лет, пока состарится сертификат. Проверяем, что стоит галка "Publish certificate in Active Directory":
Переходим на закладку "Request Handling":
Жмём кнопку "CSPs..." и добавляем галку "Microsoft Strong Cryptographic Provider":
На закладке "Subject Name" выбираем "Supply in the request". Предупреждения игнорируем.
На закладке "Security" проверяем, что у пользователя, из-под которого запускается Intel SCS, есть права на "Read" и "Enroll". В моём случае это админ, в случае запуска как сервиса - у вас будет свой.
Далее переходим на закладку Extensions:
Жмём "Edit...":
Ищем в списке серверную аутентификацию:
И добавляем её:
Настройка шаблона закончена, жмём до упора ОК.
Для того, чтобы шаблон был опубликован - перепускаем СА:
После рестарта СА заходим в шаблоны и добавляем новый - правая клавиша, "New" - "Certificate Template to Issue":
Листаем, в списке находим ранее добавленный нами шаблон. У меня он назывался SCS User (вы можете использовать любое другое):
Среди доступных теперь появится нами созданный шаблон TLS-сертификатов для АМТ:
На этом настройка шаблона закончена.
Теперь, запуская Intel SCS консоль при задании TLS мы кроме локального расположения файлов (ключа и сертификата) можем указать свежесозданное СА и шаблон (SCS User в моём случае):
Теперь, после получения запроса на конфигурирование, Intel SCS автоматически по заданным правилам запросит у созданного нами СА сертификат и применит его на АМТ-компьютере. Как задать имя - отдельная тема, которую рассмотрим в следующих частях.
Итого - такова, в принцие, не сложная, если есть куда подсмотреть, и во многом стандартная, процедура настройки Intel SCS на использование СА для генерации TLS-сертификатов.
Добавить комментарий