Помимо добавления в корневой сертификат политику сертификата высокой надежности необходимо включить также в сертификаты, выданные веб-сайтам интрасети, и все сертификаты, выпущенные центром сертификации и указанные в пути сертификации.

В ходе этой процедуры изменяется шаблон сертификата, который используется для выдачи сертификатов веб-сервера в организации, или любой шаблон сертификата, соответствующий следующим требованиям:

• шаблон сертификата относится к версии 2 или версии 3;
  
  
• в назначение сертификата включены подпись и шифрование;
  
  
• в расширение политики применения входит проверка подлинности сервера.
  
  

Выдающий сертификаты центр сертификации должен соответствовать следующим требованиям.

• Путь сертификации центра сертификации включает корневой сертификат, содержащий политику сертификата высокой надежности.
  
  
• Сертификат центра сертификации включает все политики выдачи и политику сертификата высокой надежности.
  
  
• Центр сертификации является центром сертификации предприятия.
  
  

Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы предприятия.

Добавление политики сертификата высокой надежности в шаблон сертификата

1. На сервере выдающего сертификаты центра сертификации откройте диспетчер сервера. В дереве консоли разверните последовательно узел Роли и узел Службы сертификации, а затем выберите пункт Шаблоны сертификатов.

2. Дважды щелкните шаблон, который используется для выдачи сертификатов веб-сайтам интрасети.

3. Перейдите на вкладку Расширения.

4. Щелкните Политики применения, затем нажмите кнопку Изменить, чтобы открыть диалоговое окно Изменение расширения политик применения.

5. Нажмите кнопку Добавить, чтобы открыть диалоговое окно Добавление политики применения.

6. Нажмите кнопку Создать, чтобы открыть диалоговое окно Новая политика применения.

7. Введите имя политики сертификата высокой надежности. Это имя отображается в расширениях выданных сертификатов и свойствах шаблона в оснастке «Шаблоны сертификатов».

8. Уникальное значение идентификатора объекта формируется автоматически. Скопируйте значение идентификатора объекта, чтобы использовать его дальше в ходе процедуры. Нажмите кнопку ОК.

9. В списке Политики применения выберите созданную политику. Нажмите кнопку ОК.

10. Чтобы сохранить расширение политики применения, нажмите кнопку ОК. На вкладке Расширения убедитесь, что политика сертификата высокой надежности отображается в поле Описание политик применения.

11. Перейдите на вкладку Безопасность. Проверьте, есть ли у пользователей и групп, запрашивающих сертификаты для веб-сайтов, разрешения Чтение и Заявка.

12. Чтобы сохранить шаблон сертификата, нажмите кнопку ОК.

13. В дереве консоли дважды щелкните центр сертификации.

14. В дереве консоли щелкните правой кнопкой мыши узел Шаблоны сертификатов, выберите команду Создать, затем щелкните Выдаваемый шаблон сертификата, чтобы открыть диалоговое окно Включение шаблонов сертификатов.

15. Выберите шаблон сертификата с политикой сертификата высокой надежности и нажмите кнопку ОК.

Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы предприятия.

Добавление политики сертификата высокой надежности в корневой сертификат

1. Нажмите кнопку Пуск и выберите пункт Выполнить. Введите gpmc.msc и нажмите кнопку ОК, чтобы открыть консоль управления групповыми политиками.

2. В дереве консоли разверните лес и домен, содержащий изменяемую политику, затем щелкните узел Объекты групповой политики.

3. Щелкните правой кнопкой мыши политику, которую нужно изменить, и выберите команду Изменить.

4. В дереве консоли в разделе Конфигурация компьютера последовательно разверните узлы Политики, Параметры Windows, Параметры безопасности, Политики открытого ключа и Доверенные корневые центры сертификации.

5. Если корневые сертификаты не отображаются, экспортируйте сертификат центра сертификации из корневого центра сертификации и импортируйте его в объект Доверенные корневые центры сертификации. См. раздел Экспорт сертификата.

6. Щелкните правой кнопкой мыши корневой сертификат, выберите команду Свойства и перейдите на вкладку Высокая надежность.

7. Введите значение идентификатора объекта, представляющего политику сертификата высокой надежности в организации. Если политика сертификата высокой надежности создана с использованием описанной ранее процедуры, используйте то же значение идентификатора объекта.

8. Нажмите кнопку Добавить OID, а затем кнопку ОК, чтобы сохранить изменения.

	Примечание
	Изменения групповой политики применяются членами домена периодически в соответствии с интервалом обновления групповой политики, во время запуска компьютера и при входе пользователя в систему. По умолчанию интервал обновления составляет 90 минут. Чтобы обновить групповую политику для члена домена немедленно, выполните команду Gpupdate.

Чтобы запросить и установить сертификат высокой надежности на веб-сервере интрасети, выполните процедуры, описанные в указанных ниже разделах.

• На веб-сервере интрасети откройте оснастку «Сертификаты» для локального компьютера. См. раздел Добавление оснастки «Сертификаты» в консоль MMC.
  
  
• Запросите сертификат высокой надежности. См. раздел Запрос сертификата с помощью мастера запроса сертификатов.
  
  
• Настройте привязку веб-сайта. См. страницу «Диалоговое окно добавления или изменения привязки сайта» (http://go.microsoft.com/fwlink/?LinkId=143106 (страница может быть на английском языке)).
  
  

Дополнительные источники информации

• SSL-сертификаты высокой надежности (http://go.microsoft.com/fwlink/?LinkId=142392 (страница может быть на английском языке)).
  
  
• Просмотр свойств сертификата