Запрос сертификата Standalone CA

Задачка заключалась в том, чтобы создать сертификат для сервера Lync 2010 на основе stanalone root CA.

Решил написать, процедуру, больше для себя.

1. Настроить ЦС, для того, чтобы он смог работать с сертификатами SAN (только для Windows 2003)

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc

2.  Помещаем публичный сертификат на сервер Lync в раздел «Доверенных корневых центров сертификации»

3. Создаем .inf файл из которого будет создан запрос:

[Version]

Signature=»$Windows NT$

[NewRequest]
Subject = «CN=corpdc1.fabrikam.com» ; must be the FQDN of domain controller
Exportable = FALSE ; TRUE = Private key is exportable
KeyLength = 2048 ; Common key sizes: 512, 1024, 2048,
; 4096, 8192, 16384
KeySpec = 1 ; Key Exchange
KeyUsage = 0xA0 ; Digital Signature, Key Encipherment
MachineKeySet = True
ProviderName = «Microsoft RSA SChannel Cryptographic Provider»
ProviderType = 12
RequestType = CMC

; Omit entire section if CA is an enterprise CA
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication

[RequestAttributes]
SAN=»dns=corpdc1.fabrikam.com&dns=.fabrikam.com&dns=ldap.fabrikam.com»

4. На основе .inf файла создать запрос

Перейти в каталог, где находится inf файл и создать на его основе запрос

certreq -new ssl.inf ssl.req

5.  Утвердить запрос на ЦС

certreq -submit -config «компьютер\названиеЦС» ssl.req

6. Так как в моем случае ЦС Standalone, необходимо перейти в оснастку центра сертификации и в разделе pending request(запрос в ожидании) выпустить сертификат.

7. Экспортировать сертификат на сервер Lync

Способ А. Экспортировать можно вручную с ЦС

Способ Б. Экспортировать с помощью команды

certreq -retrieve RequestID ssl.cer,

где RequestID — это номер, полученный при запросе сертификата в ЦС.

После этого в папке появиться сертификат ssl.cer

8. Установка сертификата в хранилище

certreq -accept ssl.cer