SSL-сертификаты также можно создавать без обращения в официальный удостоверяющий центр, но такие сертификаты менее надежны. Их можно использовать, например, в рамках сети предприятия. В этом случае необходимо установить и настроить службу сертификации Active Directory для центра сертификации предприятия и сгенерировать сертификат.

Служба сертификации Active Directory – это служба для создания сертификатов открытых ключей и их управления, которые используются в системах безопасности программного обеспечения, где применяются технологии открытого ключа.

Чтобы получить SSL-сертификат:

1.Установите и настройте службу сертификации Active Directory на используемую ОС Microsoft Windows Server 2012/2012R2/2016. Подробнее см. в документации Microsoft статью Install the Certification Authority.

ПРИМЕЧАНИЕ. Настраивайте службу сертификации Active Directory и ее компоненты с учетом специфики политики безопасности предприятия.

2.Настройте действие по умолчанию при получении запроса на сертификат. Для этого откройте оснастку Центр сертификации и в дереве консоли выберите ваш центр сертификации. В меню Действие выберите Свойства. Затем на вкладке Модуль политики выберите Свойства и выберите нужный параметр:

•Присвоить запросу состояние ожидания, чтобы администратор центра сертификации мог просматривать каждый запрос на сертификат перед выдачей сертификата;

•Следовать параметрам, установленным в шаблоне сертификата, если они применимы, иначе автоматически выдавать сертификат, чтобы центр сертификации мог выдавать сертификаты на основе конфигурации шаблона сертификата.

После этого остановите и перезапустите центр сертификации.

Подробнее см. в документации Microsoft статью Set the Default Action Upon Receipt of a Certificate Request.

3.Установите сертификат центра сертификации на компьютерах с клиентскими приложениями Directum RX.

4.При необходимости создайте и разверните шаблоны сертификатов.

5.Создайте SSL-сертификат.

Требования к оборудованию и программному обеспечению для установки службы сертификации Active Directory см. в документации Microsoft статью AD CS Migration: Preparing to Migrate.

После окончания срока действия центра сертификации все сертификаты нужно выдавать заново.

Для обеспечения контроля доверия к сертификату, который используется для подписания в системе Directum RX, необходимо иметь актуальный список отозванных сертификатов (CRL), установленный на локальный компьютер. Подробнее см. в документации Microsoft статью Configuring Certificate Revocation.