Запрос сертификата Standalone CA
Задачка заключалась в том, чтобы создать сертификат для сервера Lync 2010 на основе stanalone root CA.
Решил написать, процедуру, больше для себя.
1. Настроить ЦС, для того, чтобы он смог работать с сертификатами SAN (только для Windows 2003)
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc
2. Помещаем публичный сертификат на сервер Lync в раздел «Доверенных корневых центров сертификации»
3. Создаем .inf файл из которого будет создан запрос:
[Version]
Signature=»$Windows NT$
[NewRequest]
Subject = «CN=corpdc1.fabrikam.com» ; must be the FQDN of domain controller
Exportable = FALSE ; TRUE = Private key is exportable
KeyLength = 2048 ; Common key sizes: 512, 1024, 2048,
; 4096, 8192, 16384
KeySpec = 1 ; Key Exchange
KeyUsage = 0xA0 ; Digital Signature, Key Encipherment
MachineKeySet = True
ProviderName = «Microsoft RSA SChannel Cryptographic Provider»
ProviderType = 12
RequestType = CMC
; Omit entire section if CA is an enterprise CA
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
[RequestAttributes]
SAN=»dns=corpdc1.fabrikam.com&dns=.fabrikam.com&dns=ldap.fabrikam.com»
4. На основе .inf файла создать запрос
Перейти в каталог, где находится inf файл и создать на его основе запрос
certreq -new ssl.inf ssl.req
5. Утвердить запрос на ЦС
certreq -submit -config «компьютер\названиеЦС» ssl.req
6. Так как в моем случае ЦС Standalone, необходимо перейти в оснастку центра сертификации и в разделе pending request(запрос в ожидании) выпустить сертификат.
7. Экспортировать сертификат на сервер Lync
Способ А. Экспортировать можно вручную с ЦС
Способ Б. Экспортировать с помощью команды
certreq -retrieve RequestID ssl.cer,
где RequestID — это номер, полученный при запросе сертификата в ЦС.
После этого в папке появиться сертификат ssl.cer
8. Установка сертификата в хранилище
certreq -accept ssl.cer