Файл pfx что такое
Узнайте, как создать профиль сертификата, использующий полномочия сертификации для учетных данных. В этой статье освещаются конкретные сведения о профилях сертификатов обмена персональными данными (PFX). Дополнительные сведения о создании и настройке этих профилей см. в профилей сертификатов.
Диспетчер конфигурации позволяет создать профиль сертификата PFX с помощью учетных данных, выданных органом сертификата. В качестве органа сертификации можно выбрать Microsoft или Entrust. При развертывании на устройствах пользователей PFX-файлы создают сертификаты, определенные пользователем, для поддержки зашифрованного обмена данными.
Чтобы импортировать учетные данные сертификатов из существующих файлов сертификатов, см. в профилей сертификатов Import PFX.
Необходимый инструмент
Создание PFX сертификата а из PEM сертификата штатными средствами Windows “из коробки” не поддерживается. Соответственно, мы будем использовать сторонее решение – OpenSSL for Windows.
Переходим по указанной выше ссылки и загружаем дистрибутив программного продукта:
Копия дистрибутива от 03.09.2021 доступна ниже:
Выполняем установку дистрибутива. В случае успешной установки в директории, которую вы указали при установке будет примерно следующий набор файлов:
Программы, обслуживающие файл PFX
Windows
MAC OS
Типичные приложения:
- Подпись документов или кода в большом количестве.
- SSL (в зависимости от конфигурации сервера).
- Инфраструктура ЦС для работы собственного ЦС (корневого ЦС, подчинённого ЦС, сервера меток времени RFC 3161) в офлайне или онлайне (корневой ЦС, как правило, работает в офлайне).
Мы рассмотрели основные варианты, которые использовались в течение многих лет. Но кажется, что ничто в мире информационной безопасности, в том числе и хранение ключей, не застраховано от влияния IoT, так что разрабатываются новые варианты.
По мере того как все больше и больше устройств подключаются к сети с необходимостью аутентификации и безопасного обмена данными, многие разработчики и производители обращаются к решениям на основе PKI. В свою очередь, это приводит к новым соображениям, требованиям и технологиям защиты закрытых ключей. Ниже приведены две тенденции, которые мы видим в этой области.
Доверенный платформенный модуль (TPM)
Модули TPM сами по себе не новы, но всё чаще их используют для защиты закрытых ключей. Доверенный платформенный модуль можно использовать для хранения (или переноса) корневого ключа и защиты дополнительных ключей, созданных приложением. Ключи приложений нельзя использовать без TPM, что делает его очень полезным методом аутентификации для оконечных точек, таких как ноутбуки, серверы и производители устройств Интернета вещей. В то время как многие ноутбуки уже поставляются с TPM, пока эта технология не слишком широко используется в корпоративном секторе. Однако в мире IoT они часто применяются для безопасной индентификации устройств как аппаратный корень доверия.
При производстве генерируется пара из закрытого и открытого ключей. Открытый ключ отправляется в центр сертификации для подписания и выдачи цифрового сертификата. Закрытый ключ никогда не покидает устройство. Он хранится на чипе и не может быть экспортирован/скопирован/уничтожен. Теперь сертификат — это паспорт устройства, а защищённый закрытый ключ формирует аппаратный корень доверия.
Мы тесно сотрудничаем с Infineon для разработки решений Интернета вещей, сочетающих идентификацию устройств на основе PKI с корнями доверия на основе TPM. Для получения дополнительной информации ознакомьтесь с подтверждением концепции: «Безопасная аутентификация и управление оборудованием с помощью облачных служб сертификатов GlobalSign и OPTIGA TPM от Infineon.»
Технология физически неклонируемых функций (PUF) — это сдвиг парадигмы в защите ключей. Вместо хранения ключей (с вероятностью физической атаки) они генерируются из уникальных физических свойств статической памяти SRAM конкретного чипа и существуют только при включении питания. То есть вместо надёжного хранения закрытого ключа один и тот же ключ восстанавливается снова и снова по требованию (пока устройство не выйдет из строя). Этот ключ гарантированно уникален, потому что при генерации используется присущая неконтролируемая неупорядоченность в кремниевой структуре чипа.
Технология PUF в сочетании с доверенной средой исполнения (TEE) — привлекательное решение, если требуется недорогая, простая в интеграции и ультра-безопасная защита ключа. PUF вместе с PKI составляют исчерпывающее решение для идентификации.
Наш партнёр Intrinsic ID разработал такую систему подготовки ключа на основе SRAM PUF, которая производит уникальные, защищённые от подделки и копирования идентификаторы устройств на аппаратном уровне. Используя наши службы сертификации, мы переводим эти идентификаторы в цифровые удостоверения, добавляя возможности PKI. Таким образом, каждому устройству присваивается уникальная, защищённая от клонирования пара ключей, которая не хранится на устройстве в выключенном состоянии, но устройство способно воссоздать этот ключ по запросу. Это защищает от атаки на выключенное устройство.
Дополнительно о нашем совместном решении для идентификации
устройств Интернета вещей см. недавний вебинар: «Стойкие идентификаторы устройств с сертификатами на основе SRAM PUF».
Хранение закрытого ключа не должно быть чёрной магией. В конечном счёте, правильный вариант зависит от того, кто и для чего использует сертификаты, какие нормы приходится соблюдать, какова цена, текущее окружение и внутренние ресурсы. Надеюсь, эта статья поможет в вашем решении.
_______________________________________________________
АКЦИЯ GLOBALSIGN: Wildcard SSL + 1 ГОД В ПОДАРОК
Защитите все субдомены одним сертификатом!
Экономьте до 30 тысяч рублей при покупке сертификата Wildcard SSL на 2 года!
Промо-код: WC001HRFR
Акция действует для подписчиков блога GlobalSign до 15 июня 2018 г.
Очень часто при покупке коммерческого сертификата провайдер услуги предоставляет нам сертификат в PEM формате, т.е. отдельно предоставляется файл, содержаший сам сертификат (открытй ключ) и отдельной файл с закрытым ключом. Для того, чтобы импортировать такой сертификат в хранилище сертификатов Windows компьютера предварительно необходимо создание PFX сертификата. При этой процедеру открытый и закрытый ключ сертификата “склеиваются” в один файл, который в последующем можно без проблем импортировать в хранилище сертификатов сервера Windows.
Ниже мы рассмотрим один из способов конвертирования сертификата из PEM формата в PFX. В качестве инструмента для конвертирования мы будем использовать OpenSSL.
Процедура создания PFX сертификата
Для того, чтобы выполнить непосредственную конвертацию PEM сертификата в PFX выполните следующие действия:
1. Запустить командную строку от имени администратора.
2. Перейдите в директорию bin в папке с установленным дистрибутивом OpenSSL:
3. Выполните следующую команду:
in – путь до файла с открытым ключом,
inkey – путь до файла с закрытым ключом,
out – путь до файла, в который будет конвертирован сертификат.
5. Указываем парольную фразу, которой будет защищен наш итоговый PFX файл:
6. Дожидаемся окончания процедуры конвертирования сертификата.
После завершения процедуры конвертирования в указанной нами папке будет сгенерирован сертификат в PFX формате:
Заключение
В текущей статье мы рассмотрели процедуру конвертирования сертификата из PEM формата (с отдельными файлами для открытого и закрытого ключа) в PFX формат (файл, который включает в себя как открытый, так и закрытый ключ). Для конвертирования сертификата мы использовали утилиту OpenSSL.
Программы, которые поддерживают PFX расширение файла
Ниже вы найдете указатель программ, которые можно использовать для открытия файлов PFX, разделенных на категории 2 в соответствии с поддерживаемой системной платформой. Файлы с суффиксом PFX могут быть скопированы на любое мобильное устройство или системную платформу, но может быть невозможно открыть их должным образом в целевой системе.
Заключение
В данной публикации было кратко рассказано об одном из методов, который можно использовать для выпуска бесплатного сертификата. Мы рассмотрели процесс выпуска бесплатного сертификата Let’s Encrypt через win-acme клиент.
Настройка параметров сертификата PFX для Microsoft CA
Для имени шаблона сертификата выберите шаблон сертификата.
Чтобы использовать профиль сертификата для подписи или шифрования S/MIME, вмени использование сертификата.
Когда вы включаете этот параметр, он доставляет все сертификаты PFX, связанные с целевым пользователем, на все их устройства. Если этот параметр не включается, каждое устройство получает уникальный сертификат.
Задай формат имя субъекта как общему имени, так и полностью различаемой фамилии. Если вы не знаете, какой из них использовать, обратитесь к администратору ca.
Для альтернативного имени Subject впишите адрес электронной почты и имя принципа пользователя (UPN), соответствующие вашему ЦС.
Пороговое значение обновления: определяет, когда сертификаты будут автоматически возобновлены, исходя из процентного соотношения времени, оставшегося до истечения срока действия.
Установите срок действия сертификата до срока службы сертификата.
Если в точке регистрации сертификата указаны учетные данные Active Directory, включить публикацию Active Directory.
Если выбрана одна или несколько Windows 10 поддерживаемых платформ:
Установите хранилище Windows для пользователя. (Параметр Local Computer не развертывает сертификаты и не выбирает их.)
Выберите один из следующих поставщиков служба хранилища ключей (KSP):
- Установка в доверенный модуль платформы (TPM) при его настоящем
- Установка в доверенный модуль платформы (TPM) в противном случае не удается
- Установка Windows Hello для бизнеса в противном случае не удается
- Установка в поставщике ключа служба хранилища программного обеспечения
Завершите работу мастера.
Как открыть файл PFX?
Отсутствие возможности открывать файлы с расширением PFX может иметь различное происхождение. К счастью, наиболее распространенные проблемы с файлами PFX могут быть решены без глубоких знаний в области ИТ, а главное, за считанные минуты. Приведенный ниже список проведет вас через процесс решения возникшей проблемы.
Шаг 1. Скачайте и установите Adobe Acrobat
Наиболее распространенной причиной таких проблем является отсутствие соответствующих приложений, поддерживающих файлы PFX, установленные в системе. Этот легкий. Выберите Adobe Acrobat или одну из рекомендованных программ (например, Microsoft Windows, Adobe Reader) и загрузите ее из соответствующего источника и установите в своей системе. Выше вы найдете полный список программ, которые поддерживают PFX файлы, классифицированные в соответствии с системными платформами, для которых они доступны. Если вы хотите загрузить установщик Adobe Acrobat наиболее безопасным способом, мы рекомендуем вам посетить сайт Adobe Systems Incorporated и загрузить его из официальных репозиториев.
Шаг 2. Убедитесь, что у вас установлена последняя версия Adobe Acrobat
Если у вас уже установлен Adobe Acrobat в ваших системах и файлы PFX по-прежнему не открываются должным образом, проверьте, установлена ли у вас последняя версия программного обеспечения. Иногда разработчики программного обеспечения вводят новые форматы вместо уже поддерживаемых вместе с новыми версиями своих приложений. Это может быть одной из причин, по которой PFX файлы не совместимы с Adobe Acrobat. Самая последняя версия Adobe Acrobat обратно совместима и может работать с форматами файлов, поддерживаемыми более старыми версиями программного обеспечения.
Если у вас установлена последняя версия Adobe Acrobat и проблема сохраняется, выберите ее в качестве программы по умолчанию, которая будет использоваться для управления PFX на вашем устройстве. Метод довольно прост и мало меняется в разных операционных системах.
Изменить приложение по умолчанию в Windows
- Нажатие правой кнопки мыши на PFX откроет меню, из которого вы должны выбрать опцию Открыть с помощью
- Далее выберите опцию Выбрать другое приложение а затем с помощью Еще приложения откройте список доступных приложений.
- Последний шаг - выбрать опцию Найти другое приложение на этом. указать путь к папке, в которой установлен Adobe Acrobat. Теперь осталось только подтвердить свой выбор, выбрав Всегда использовать это приложение для открытия PFX файлы и нажав ОК .
Изменить приложение по умолчанию в Mac OS
Шаг 4. Убедитесь, что PFX не неисправен
Если вы выполнили инструкции из предыдущих шагов, но проблема все еще не решена, вам следует проверить файл PFX, о котором идет речь. Вероятно, файл поврежден и, следовательно, недоступен.
1. PFX может быть заражен вредоносным ПО - обязательно проверьте его антивирусом.
Если случится так, что PFX инфицирован вирусом, это может быть причиной, которая мешает вам получить к нему доступ. Рекомендуется как можно скорее сканировать систему на наличие вирусов и вредоносных программ или использовать онлайн-антивирусный сканер. Если сканер обнаружил, что файл PFX небезопасен, действуйте в соответствии с инструкциями антивирусной программы для нейтрализации угрозы.
2. Проверьте, не поврежден ли файл
Если вы получили проблемный файл PFX от третьего лица, попросите его предоставить вам еще одну копию. В процессе копирования файла могут возникнуть ошибки, делающие файл неполным или поврежденным. Это может быть источником проблем с файлом. Это может произойти, если процесс загрузки файла с расширением PFX был прерван и данные файла повреждены. Загрузите файл снова из того же источника.
3. Проверьте, есть ли у пользователя, вошедшего в систему, права администратора.
4. Убедитесь, что ваше устройство соответствует требованиям для возможности открытия Adobe Acrobat
Операционные системы могут иметь достаточно свободных ресурсов для запуска приложения, поддерживающего файлы PFX. Закройте все работающие программы и попробуйте открыть файл PFX.
5. Убедитесь, что ваша операционная система и драйверы обновлены
Вы хотите помочь?
Если у Вас есть дополнительная информация о расширение файла PFX мы будем признательны, если Вы поделитесь ею с пользователями нашего сайта. Воспользуйтесь формуляром, находящимся здесь и отправьте нам свою информацию о файле PFX.
Сегодня уже очень сложной обойтись без сертификатов. Какие-то сервисы или веб-сайты еще могут работать как без сертификатов, так и с ним. Однако, есть сервисы, которые уже не могут работать без сертификатов. Если для “боевого” сервиса часто покупается коммерческий сертификат как минимум на год, то для демонстрационных или тестовых стендов отдельный коммерческий сертификат покупается редко. Выпуск бесплатного сертификата Let’s Encrypt может быть очень к месту в таких ситуациях.
Let’s Encrypt – это центр сертификации, который занимается выдачей бесплатных сертификатов. Срок действия сертификата – 3 месяца. Поддерживается выпуск как широкоименных (wildcard), так и именных сертификатов, в т.ч. с несколькими именами (через атрибут SAN).
Выпуск бесплатного сертификата Let’s Encrypt возможен через любой клиент, который поддерживает ACME протокол. Существует большое количество таких клиентов практически под любую платформу и ситуацию. При определенной настройке можно автоматизировать процесс выпуска сертификата, т.е. вам не придётся продлять его каждый раз руками.
Мы рассмотрим выпуск бесплатного сертификата Let’s Encrypt через win-acme клиент. Лично мне довольно часто приходится использовать этот клиент для выпуска сертификатов на тестовые или отладочные стенды Exchange, Skype for Business, AD FS и ряд других сервисов.
Кстати, сертификат для веб-сервера этого блога также от Let’s Encrypt 🙂
Развертывание профиля
После создания профиля сертификата он теперь доступен в узле Профилей сертификатов. Дополнительные сведения о его развертывании см. в странице Развертывание профилей доступа к ресурсам.
Каждый раз при выдаче цифрового сертификата от центра сертификации (ЦС) или самоподписанного сертификата нужно сгенерировать пару из закрытого и открытого ключей. Согласно лучшим практикам, ваши секретные ключи должны быть защищены и быть, ну… секретными! Если кто-то их получит, то сможет, в зависимости от типа сертификата, создавать фишинговые сайты с сертификатом вашей организации в адресной строке, аутентифицироваться в корпоративных сетях, выдавая себя за вас, подписывать приложения или документы от вашего лица или читать ваши зашифрованные электронные письма.
Во многих случаях секретные ключи — личные удостоверения ваших сотрудников (и, следовательно, часть персональных данных организации), так что их защита приравнивается к защите отпечатков пальцев при использовании биометрических учётных данных. Вы же не позволите хакеру добыть отпечаток своего пальца? То же самое и с секретными ключами.
В этой статье мы обсудим варианты защиты и хранения закрытых ключей. Как вы увидите, эти варианты могут незначительно отличаться в зависимости от типа сертификата(ов) и от того, как вы его используете (например, рекомендации для сертификатов SSL/TLS отличаются от рекомендаций для сертификатов конечных пользователей).
Примеры: хранилище сертификатов Windows, связка ключей Mac OS
В некоторых операционных системах и браузерах есть хранилища сертификатов или ключей. Это программные базы данных, которые локально на вашем компьютере хранят пару из закрытого и открытого ключей как часть сертификата. Такое хранение ключей довольно популярно: многие приложения автоматически сразу ищут ключи здесь, и не нужно вручную каждый раз указывать файл сертификата, так что это довольно удобный вариант.
Ещё один плюс такого варианта — его довольно легко настраивать. Вы можете включить/отключить экспорт закрытого ключа, включить для него надёжную защиту (ввод пароля при каждом использовании сертификата), и можно создать резервные копии, если закрытый ключ экспортируется. Кроме того, при включении роуминга профилей в Windows сертификат привязывается к профилю и становится доступным при входе на другой компьютер с этим профилем.
Если решите выбрать такой вариант, то следует учесть несколько аспектов. Во-первых, даже если пометить закрытый ключ как неэкспортируемый, некоторые утилиты могут обойти эту защиту (то есть невозможность экспорта не гарантирована). Кроме того, если кто-то работал под вашей учётной записью, а вы не включили сильную защиту закрытого ключа (пароль при использовании сертификата), то они могут использовать ваш сертификат. Наконец, если ваш закрытый ключ помечен как экспортируемый, то кто-нибудь за вашим компьютером сможет экспортировать его. Даже если у вас включена защита секретного ключа, при экспорте пароль не спрашивается.
И последнее: Chrome и IE используют хранилище сертификатов Windows, в то время как у Firefox собственное хранилище сертификатов (от Mozilla). Это значит, что если вы импортируете сертификат в хранилище Windows, то Chrome и IE автоматически найдут его, а Firefox нет.
Типичные приложения:
Как правило, все варианты использования, перечисленные для хранилищ в ОС/браузере (подпись документов и кода, аутентификация клиента, Windows IIS), поддерживают крипто-токены или смарт-карты — если есть соответствующие драйверы. Однако это не всегда практично (например, в веб-серверах или автоматизированных системах сборки для подписи кода, которые будут требовать ввод пароля каждый раз при применении подписи).
Соответствие нормативным требованиям — одна из основных причин использования криптографических токенов.
- Обязательно для подписания кода расширенной проверки (EV) в соответствии с рекомендациями форума CA/Browser.
- Рекомендуется для стандартной подписи кода в соответствии с минимальными требованиями CA Security Council. Центры сертификации обязаны рекомендовать криптографическое оборудование в качестве основного варианта выдачи сертификатов. Если криптографическое оборудование не выдаётся, клиент должен подписать соглашение, что будет хранить закрытый ключ на каком-то съёмном оборудовании (которое вынимается после подписания).
- Требуется для цифровой подписи и получения доверенного статуса в программах Adobe, в соответствии с требованиями Adobe Approved Trust List (AATL).
- Отраслевые правила, такие как CFR 21 часть 11 от FDA и требования к цифровой подписи в отдельных странах часто говорят о секретном ключе, который находится в единоличном владении собственника. Хранение на криптографическом оборудовании отвечает этим требованиям.
HSM — ещё одно аппаратное решение для хранения ключей, особенно если вы не хотите полагаться на отдельные токены либо это кажется слишком обременительным. В то время как токены больше ориентированы на ручной ввод или отдельные приложения (например, подписание небольшого количества документов или кода, аутентификация в VPN или других сетях), то HSM предоставляют API, поддерживают автоматизированные рабочие процессы и автоматизированную сборку. Они также соответствуют требованиям FIPS и обычно обеспечивают более высокий рейтинг, чем токены.
Традиционно HSM — это локальные физические устройства, требующие квалифицированных ресурсов для управления и обеспечения базовых требований и SLA. Обслуживание HSM может оказаться дорогим и ресурсоёмким процессом, что в прошлом препятствовало распространению этой технологии. К счастью, в последние годы появились облачные модули HSM, которые предоставляют многие из преимуществ локальных HSM, не нуждаясь в локальном обслуживании.
Примером может служить знакомый многим сервис Key Vault в облаке Microsoft Azure, которое хранит криптографические ключи в облачном HSM от Microsoft. Если у вас небольшая организация, которая не позволит себе покупку и управление собственным HSM, то это отличное решение, которое интегрируется с публичными центрами сертификации, включая GlobalSign.
Если вы рассматриваете вариант с подписью документов, то недавно мы запустили новую службу Digital Signing Service, где тоже используется облачное хранилище HSM для закрытых ключей. Стоит отметить, что новая служба поддерживает индивидуальные подписи всех сотрудников. В прошлом в большинстве HSM-решений для подписи поддерживались только идентификаторы на уровне отделов или организаций (например, бухгалтерия, маркетинг, финансы), а не отдельных людей (например, Джон Доу). Следовательно, для работы на уровне отдельных сотрудников организациям приходилось разворачивать инфруструктуру токенов, которая, как мы отметили выше, может оказаться обременительной. С помощью этой новой службы цифровые подписи отдельных сотрудников внедряются без необходимости самостоятельно управлять HSM (и без риска потери токенов сотрудниками).
Типичные приложения:
- Приложения для цифровой подписи (например, Adobe Acrobat, Microsoft Outlook и Office будут обращаться в хранилище сертификатов Windows [пользовательское]).
- Сервер Microsoft IIS тоже ищет SSL-сертификаты в хранилище сертификатов Windows [общем для компьютера].
- Аутентификация клиента (пользователя или компьютера), в зависимости от настроек, чаще всего обращается к хранилищу сертификатов Windows.
- Подпись кода в Windows (приложения и драйверы).
Если решите сохранить файл на удалённом сервере, то следует особенно позаботиться об ограничении доступа к нему. Если кто-то получит доступ, то сможет использовать ваш сертификат. Аналогично, следует быть особенно осторожным с лёгким копированием и распространением этих файлов. Хотя это и большое удобство для вас, но одновременно и злоумышленнику будет просто сделать копию, если он получит доступ к вашему хранилищу ключей. Пароль закрытого ключа по-прежнему необходим для эффективного использования скопированного файла. Это еще одна причина, чтобы использовать надёжные пароли из 15-ти и больше символов, содержащие заглавные буквы, цифры и специальные символы. С этим вариантом хранения нужно учитывать ещё одну вещь: на конечного пользователя накладывается больше ответственности с точки зрения того, где находится файл и правильно ли он хранится.
Если вы не можете использовать криптографическое оборудование или хранилище ключей Windows (описано выше), но всё же хотите повысить безопасность (вместо того, чтобы просто разместить файл хранилища ключей на компьютере), то можно записать этот файл на флэшку, которая будет лежать в безопасном месте. Конечно, здесь теряется некоторое удобство, так что если нужно часто использовать подпись, то вы скорее захотите хранить файл локально для облегчения доступа.
Проверка PFX сертификата
Для того, чтобы проверить правильно ли было выполнено конвертирование сертификата в PFX формат, вы можете импортировать его либо в личное хранилище сертификатов текущего пользователя, либо импортировать сертификат в хранилище локального компьютера.
Предварительные требования
Прежде чем приступить к созданию профиля сертификата, убедитесь, что необходимые предпосылки готовы. Дополнительные сведения см. в странице Необходимые условия для профилей сертификатов. Например, для профилей сертификатов PFX необходима роль системной роли точки регистрации сертификатов.
Настройка параметров сертификата PFX для службы доверить ЦС
Для конфигурации цифрового ID выберите профиль конфигурации. Администратор Entrust создает параметры конфигурации цифрового ID.
Чтобы использовать профиль сертификата для подписи или шифрования S/MIME, вмени использование сертификата.
Когда вы включаете этот параметр, он доставляет все сертификаты PFX, связанные с целевым пользователем, на все их устройства. Если этот параметр не включается, каждое устройство получает уникальный сертификат.
Чтобы отобрать маркеры формата "Доверить субъекту" полям Configuration Manager, выберите Format.
Диалоговое окно форматирования имен сертификатов перечисляет переменные конфигурации конфигурации Доверенные цифровые удостоверения. Для каждой переменной Доверить выберите соответствующие поля Диспетчер конфигурации.
Чтобы составить карту Маркеры альтернативного имени объекта для поддерживаемых переменных LDAP, выберите Формат.
Диалоговое окно форматирования имен сертификатов перечисляет переменные конфигурации конфигурации Доверенные цифровые удостоверения. Для каждой переменной Доверить выберите соответствующую переменную LDAP.
Пороговое значение обновления: определяет, когда сертификаты будут автоматически возобновлены, исходя из процентного соотношения времени, оставшегося до истечения срока действия.
Установите срок действия сертификата до срока службы сертификата.
Если в точке регистрации сертификата указаны учетные данные Active Directory, включить публикацию Active Directory.
Если выбрана одна или несколько Windows 10 поддерживаемых платформ:
Установите хранилище Windows для пользователя. (Параметр Local Computer не развертывает сертификаты и не выбирает их.)
Выберите один из следующих поставщиков служба хранилища ключей (KSP):
- Установка в доверенный модуль платформы (TPM) при его настоящем
- Установка в доверенный модуль платформы (TPM) в противном случае не удается
- Установка Windows Hello для бизнеса в противном случае не удается
- Установка в поставщике ключа служба хранилища программного обеспечения
Завершите работу мастера.
Создание профиля
В консоли Configuration Manager перейдите в рабочее пространство Assets and Compliance, расширьте требования Параметры, расширьте доступ к ресурсам компании, а затем выберите профили сертификатов.
На вкладке Главная лента в группе Create выберите Создать профиль сертификата.
На общей странице мастера профилей сертификатов укажите следующие сведения:
Имя. Введите уникальное имя для профиля сертификата. Можно использовать не более 256 символов.
Описание. В описании представлен обзор профиля сертификата, который помогает идентифицировать его в консоли Configuration Manager. Можно использовать не более 256 символов.
Параметр Import получает сведения из существующего сертификата для создания профиля сертификата. Дополнительные сведения см. в профилей сертификатов Import PFX.
На странице Поддерживаемые платформы выберите версии ОС, поддерживаемые этим профилем сертификата. Дополнительные сведения о поддерживаемых версиях ОС для версии Configuration Manager см. в дополнительных сведениях о поддерживаемых версиях ОС для клиентов и устройств.
На странице Власти сертификатов выберите точку регистрации сертификатов (CRP) для обработки сертификатов PFX:
- Основной сайт. Выберите сервер, содержащий роль CRP для ЦС.
- Органы сертификации. Выберите соответствующий ЦС.
Параметры на странице сертификата PFX различаются в зависимости от выбранного ЦС на общей странице:
Выпуск сертификата через win-acme клиент
Как мы говорили выше мы будем использовать win-acme клиент для выпуска сертификата. Сертификат мы будем выпускать в PFX-формате, чтобы его было удобнее импортировать в хранилище сертификатов Windows. Этот клиент также поддерживает выпуск сертификатов в формате с раздельными файлами для закрытого ключа и сертификата.
Для выпуска бесплатного сертификата Let’s Encrypt через win-acme клиент необходимо выполнить следующие шаги:
2. Распаковать загруженный архив:
3. Запустить cmd.exe от имени администратора, перейти в распакованную в п. 2 директорию и выполнить команду:
Появится приветствие win-acme клиента:
4. Укажем, что мы хотим выпустить сертификат и при этом не использовать настройки по умолчанию, а указать те настройки, которые необходимы нам:
5. Укажем, что мы вручную перечислим необходимые нам имена:
6. Теперь нам необходимо указать имя, для которого мы планируем выпустить сертификат. Если необходимо указать несколько имен, то нужно указать их через запятую.
7. Клиент попросит указать дружественное имя сертификата, т.е. имя, которое будет отображаться при импорте в хранилище сертификатов Windows. Можем указать свое имя, либо оставить имя по умолчанию.
8. Теперь нам необходимо подтвердить право владения доменом. Это можно сделать несколькими способами. Мы укажем, что вручную создадим необходимые DNS записи:
9. Мы будем использовать RSA ключи:
10. Нам будет нужен сертификат в PFX формате – укажем это:
11. Укажем директорию для генерируемого PFX файла и пароль к нему:
12. Мы не планируем куда-то еще записывать наш сертификат:
13. Необходимые изменения в конфигурацию наших приложений мы внесем самостоятельно вручную. Укажем это:
14. Теперь нам необходимо создать запись в нашей DNS зоне для того, чтобы подтвердить право владения доменом. Параметры DNS записи нам генерирует win-acme клиент:
15. Процедура регистрация TXT записи для каждого хостера вашей зоны своя. В нашем случае уже добавленная запись выглядит следующим образом:
16. Теперь вернемся в наш win-acme клиент и нажмем Enter. После удачной проверки записи клиент попросит нас удалить её:
17. После этого win-acme клиент сгенерируют сертификат в форме PFX, о чем напишет нам в консоль:
18. Клиент теперь можно закрыть, а в директории, которую мы указывали для генерации сертификата мы должны увидеть итоговый PDF-файл:
Выпуск бесплатного сертификата Let’s Encrypt через win-acme клиент выполнен.
Типичные приложения:
- Подписание кода Windows или Java. и IRS IDES используют .pfx для безопасной связи с американскими госслужбами.
- Некоторые веб-серверы (например, Apache Tomcat или Jboss).
Как вскользь упомянуто выше, можно повысить безопасность, если хранить секретный ключ на отдельном оборудовании. Но есть большая разница между использованием криптографических токенов или смарт-карт и стандартных флэш-накопителей. С криптографическим оборудованием ключ генерируется на самом оборудовании и не экспортируется. Закрытый ключ никогда не покидает устройство, что сильно затрудняет постороннему получение доступа и компрометацию.
Примечание: если вы хотите дополнительно обезопасить закрытый ключ, который уже сгенерирован ранее (т. е. не на самом токене), то можно импортировать .pfx-файл на токен, а затем удалить оригинальный .pfx.
С токеном каждый раз при использовании сертификата нужно вводить пароль. Это значит, что даже если кто-то получит ваш токен, ему всё равно понадобится пароль. Хранение ключа в токене означает, что вы можете безопасно использовать один и тот же сертификат на нескольких компьютерах без необходимости создания нескольких копий и прохождения процесса экспорта/импорта. Криптографическое оборудование соответствует FIPS, что требуется для некоторых отраслевых и государственных регламентов.
Конечно, есть некоторые другие соображения, которые следует иметь в виду, если вы решите выбрать такой вариант. Кроме дополнительных сложностей управления токенами, такой вариант может не работать с автоматическими сборками из-за требования ввести пароль при каждом использовании сертификата. Также нет никакого способа создать резервную копию сертификата, поскольку закрытый ключ не экспортируется (недостаток дополнительной безопасности). Наконец, в некоторых сценариях такой вариант хранения просто невозможен. Например, если специализированные устройства не поддерживают токены или смарт-карты. Или в ситуациях, когда сотрудники не имеют физического доступа к компьютеру, а работают с удалённых терминалов.
Читайте также: