Настройка CA и шаблонов TLS-сертификатов для Intel SCS

Полная настройка Intel SCS весьма непроста и достаточно объёмна. В более чем двухсотстраничном руководстве Intel SCS Guide соориентироваться совсем непросто и да для относительно простых вещей, читать такое желания не найдётся ни у кого. В то время как сложные вещи описаны не столь подробно, когда это именно и нужно. Одну из таких, наиболее часто востребованных вещей - настройка для работы с АМТ собственного CA и шаблонов для TLS-сертификатов - я максимально детально опишу в данной статье.

Кому-то покажется такая детальность излишней, однако, кто реально столкнётся - ему будет сложно найти "другие источники", а нижеследующее - "выстрадано" и если бы у меня было такое руководство в своё время, я был бы просто счастлив.

Итак, "по умолчанию" Intel SCS предполагает работу на Windows 2003, однако в своё время забраковав его как уже "морально устаревший", всё далее будет описано для Windows 2008 (R2 64-bit Enterprise Edition English version). Версии Intel SCS до седьмой были 32-битными и .NET Framework 2.0. Начиная с седьмой - они стали 64-битными и требуют наличия .NET Framework 3.5+.

Другие требования могут различаться от задач, но если вы не хотите проблем - сразу ставьте домен. Все счастливые адепты линуксов далее могут не читать - Intel SCS не предполагает ничего, кроме Микрософт.

Итак, установив домен, теперь ставим Certificate Services:

AD-CertServ

Ставим галку Certificate Authority и Certificate Authority Web Enrollment. Последнее потребует также установки IIS и другой мишуры:

AD-CA-and-CA_Web_Enr_Install

Далее, несмотря на то, что в документации написано про то, что можно ставить и Standalone - если вы не хотите проблем, сейчас и далее делайте так, как здесь написано. Короче - выбираем Enterprise.

AD-CS-Enterprise

Далее - Root CA. Никаких "особых" требований к руту CA для работы с АМТ не будет, потому смысла в Sub CA нет:

AD-CS-Root_CA

Если у вас есть свой любимый фирменный ключ - можете его указать на следующем шаге. В любом другом случае - генерим новый:

На следующем шаге добавляю галку, чтобы иметь возможность работать с приватным ключём.

Далее даём имя СА. Многие здесь пишут по привычке FQDN-вариант (типа "vpro.by"), однако это после сбивает с толку, потому я обычно специально указываю не-FQDN, чтобы после было легче отличить. В данном случае прописал "vProbyCA".

Кол-во лет по желанию:

Далее жмём далее:

Подтверждаем установку других компонентов.

Настройка закончена, жмём Install:

После установки CA готово к работе.

Запускаем СА:

Выбираем свежезапущенное СА:

Правая клавиша мыши - свойства:

Далее переходим на закладку Policy Module:

Жмём Propertiers и убеждаемся, что стоит "Follow the settings in the certificate template, if applicable. Otherwise, automatically issue the certificate".

На этом настройка CA закончена. Убеждаемся, что процесс  Certificate Propagation запущен:

Приступаем к созданию шаблона. Для этого запускаем mmc:

Сразу жмём CTRL-M или мышкой:

Для удобности кроме Certificate Templates можно сразу добавить и Certificates:

Раскрываем полученную консоль. Находим среди шаблонов "User" и делаем копию:

На следующий вопрос про Windows Server - выбираем именно "Windows Server 2003 Enterprise", вне зависимости от того, на каком вы это настраиваете. Итого - жмём 2003.

Вводим название будущего шаблона, выбираем, если нужно, кол-во лет, пока состарится сертификат. Проверяем, что стоит галка "Publish certificate in Active Directory":

Переходим на закладку "Request Handling":

Жмём кнопку "CSPs..." и добавляем галку "Microsoft Strong Cryptographic Provider":

На закладке "Subject Name" выбираем "Supply in the request". Предупреждения игнорируем.

На закладке "Security" проверяем, что у пользователя, из-под которого запускается Intel SCS, есть права на "Read" и "Enroll". В моём случае это админ, в случае запуска как сервиса - у вас будет свой.

Далее переходим на закладку Extensions:

Жмём "Edit...":

Ищем в списке серверную аутентификацию:

И добавляем её:

Настройка шаблона закончена, жмём до упора ОК.

Для того, чтобы шаблон был опубликован - перепускаем СА:

После рестарта СА заходим в шаблоны и добавляем новый - правая клавиша, "New" - "Certificate Template to Issue":

Листаем, в списке находим ранее добавленный нами шаблон. У меня он назывался SCS User (вы можете использовать любое другое):

Среди доступных теперь появится нами созданный шаблон TLS-сертификатов для АМТ:

На этом настройка шаблона закончена.

Теперь, запуская Intel SCS консоль при задании TLS мы кроме локального расположения файлов (ключа и сертификата) можем указать свежесозданное СА и шаблон (SCS User в моём случае):

Теперь, после получения запроса на конфигурирование, Intel SCS автоматически по заданным правилам запросит у созданного нами СА сертификат и применит его на АМТ-компьютере. Как задать имя - отдельная тема, которую рассмотрим в следующих частях.

Итого - такова, в принцие, не сложная, если есть куда подсмотреть, и во многом стандартная, процедура настройки Intel SCS на использование СА для генерации TLS-сертификатов.

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступные HTML теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.
Anti-bot.