iT Notes

iT Notes

Центр обмена знаниями по различным it системам.

Обновление сервисных сертификатов NDES SCEP

По сути, это выжимка статьи с сайта мелкософт, с небольшими моими дополнениями.

Данная статья относится к windows server 2008r2, Certificate Authority standalone и установленной службой NDES.

При установки службы NDES( Microsoft Network Device Enrollment Services) устанавливается 2 сертификата Exchange Enrollment Agent certificate и CEP Encryption certificate.

Которые имеет срок своей жизни по умолчанию как и все выдаваемые сертификаты при установке CA 1 год.

 

Сначала необходимо удалить приватные ключи.

Открываем cmd.exe

certutil -store My %COMPUTERNAME%-MSCEP-RA

получаем нечто подобное

================ Certificate 0 ================
Serial Number: 61110df400000000000b
Issuer: CN=servern
NotBefore: 10.10.2014 11:53
NotAfter: 10.10.2015 12:03
Subject: CN=server-MSCEP-RA, C=RU
Certificate Template Name (Certificate Type): EnrollmentAgentOffline
Non-root Certificate
Template: EnrollmentAgentOffline
Cert Hash(sha1): 46 34 95 8d 46 e7 ae 53 4b 7b 97 71 cd d8 99 58 32 80 a3 11
Key Container = 46 34 95 8d 46 e7 ae 53 4b 7b 97 71 cd d8 99 58 32 80 a3 11

Simple container name: CertReq-j5n43j5h34jkk-5435-45434-b543a-4j5jk34h5jk4
Provider = Microsoft Enhanced Cryptographic Provider v1.0
Signature test passed

================ Certificate 2 ================
Serial Number: 611701e400000000000c
Issuer: CN=servern
NotBefore: 11.12.2014 11:59
NotAfter: 11.12.2015 12:09
Subject: CN=server-MSCEP-RA, C=RU
Certificate Template Name (Certificate Type): CEPEncryption
Non-root Certificate
Template: CEPEncryption
Cert Hash(sha1): 46 34 95 8d 46 e7 ae 53 4b 7b 97 71 cd d8 99 58 32 80 a3 11
Key Container = 6d311e4f613f62074179a1d2e1ee73dc_e597d8a9-553a-43af-b7aa-6b75e0eab0e5

Simple container name: CertReq-jh55jh5h5hj-0c2d-4827-bd540-99dhg5jh4c1
Provider = Microsoft RSA SChannel Cryptographic Provider
Encryption test passed
CertUtil: -store command completed successfully.

 

Нас интересует строка.  Key Container

Идем по адресу

C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys

находим файл с таким же значением и удаляем.

keycon

Затем можно удалить сертификаты из контейнера локального пк. А также отозвать сертификаты на CA.

 

Запрашиваем новые сертификаты.

Создаем файл запроса для EnrollmentAgentOffline назовем его ndes_enroll.inf и вставляем данные

 

[NewRequest]

Subject = “server_name”
Exportable = TRUE
KeyLength = 1024
KeySpec = 2
KeyUsage = 0x80
MachineKeySet = TRUE
ProviderName = “Microsoft Enhanced Cryptographic Provider v1.0”
ProviderType = 1

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.4.1.311.20.2.1

[RequestAttributes]
CertificateTemplate = EnrollmentAgentOffline

выполним преобразование в запрос на сертификат

certreq –f -new ndes_enroll.inf ndes_enroll.req

отправляем запрос в CA, выбираем при этом нужный нам CA

certreq –submit ndes_enroll.req ndes_enroll.cer

принимаем полученный сертификат в хранилище

certreq –accept ndes_enroll.cer

 

Создаем файл запрос для CEPEncryption назовем его ndes_CEPE.inf и вставляем данные

[NewRequest]

Subject = “server_name”

Exportable = TRUE
KeyLength = 1024
KeySpec = 1
KeyUsage = 0x20
MachineKeySet = TRUE
ProviderName = “Microsoft RSA Schannel Cryptographic Provider”
ProviderType = 12

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.4.1.311.20.2.1

[RequestAttributes]
CertificateTemplate = CEPEncryption

выполним преобразование в запрос на сертификат

certreq –f -new ndes_CEPE.inf  ndes_CEPE.req

отправляем запрос в CA, выбираем при этом нужный нам CA

certreq –submit ndes_CEPE.req ndes_CEPE.cer

принимаем полученный сертификат в хранилище

certreq –accept ndes_CEPE.cer

Далее необходимо установить права для службы NDES

Открываем mmc -> certificate -> personal certificates

Выбираем сертификаты NDES ->> All tasks ->> Manage private keys

keymanage

private key, security, manager, ndes, scep

 

 

Возможно потребуется перезапустить iis -> iisreset

Переходим на http://fqdn/certsrv/mscep_admin/

мы должны увидеть заветную страницу

certsrv/mscep_admin

Certificate Authority standalone, windows server 2008r2, pki, scep, ndes, certsrv/mscep_admin

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

You may use these HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">