Доверенные корневые центры сертификации для доверия федерации
Чтобы установить доверительное отношение федерации между организацией Microsoft Exchange Server 2013 и системой проверки подлинности Microsoft Entra, необходимо установить цифровой сертификат, установленный на сервере Exchange Server, используемом для создания доверия. Настоятельно рекомендуется использовать самозаверяющий сертификат. Самозаверяющий сертификат создается и устанавливается автоматически при использовании мастера включения доверия федерации в Центре администрирования Exchange (EAC).
Если вы не хотите использовать самозаверяющий сертификат, необходимо запросить и установить сертификат X.509 SSL из центра сертификации, которому доверяет корпорация Майкрософт. Хотя сертификаты, выданные другими центрами сертификации, также могут использоваться для установления доверия федерации с системой проверки подлинности Microsoft Entra, на сегодняшний день они не сертифицированы корпорацией Майкрософт.
В таблице ниже перечислены центры сертификации, которые в настоящее время являются доверенными в корпорации Майкрософт. Для этих центров сертификации была проверена правильность работы с Exchange 2013.
Понятное имя центра сертификации | Выдан | Назначения |
---|---|---|
Autoridade Certificadora Raiz Brasileira | Autoridade Certificadora Raiz Brasileira | Проверка подлинности сервера, проверка подлинности клиента |
Comodo | Центр сертификации Comodo | Проверка подлинности сервера, проверка подлинности клиента |
CyberTrust | Центр выдачи корневых сертификатов Baltimore CyberTrust | Проверка подлинности сервера, проверка подлинности клиента |
DigiCert | Корневой центр сертификации Digicert Global | Проверка подлинности сервера, проверка подлинности клиента |
Сертификат Digicert высокой надежности | Корневой центр сертификации Digicert Global | Проверка подлинности сервера, проверка подлинности клиента |
Entrust | Центр сертификации Entrust.net Secure Server | Проверка подлинности сервера, проверка подлинности клиента |
Entrust (2048) | Центр сертификации Entrust.net Secure Server | Проверка подлинности сервера, проверка подлинности клиента |
Equifax | Центр сертификации Equifax Secure | Проверка подлинности сервера, проверка подлинности клиента |
GlobalSign | Центр сертификации GlobalSign | Проверка подлинности сервера, проверка подлинности клиента |
Go Daddy | Центр сертификации Go Daddy Class 2 | Проверка подлинности сервера, проверка подлинности клиента |
Network Solutions | Центр сертификации Network Solutions | Проверка подлинности сервера, проверка подлинности клиента |
PositiveSSL | Центр сертификации Comodo | Проверка подлинности сервера, проверка подлинности клиента |
SECOM | Центр сертификации SECOM Trust Systems | Проверка подлинности сервера, проверка подлинности клиента |
UTN-UserFirst-Hardware | Центр сертификации Comodo | Проверка подлинности сервера, проверка подлинности клиента |
Verisign | Центр сертификации Class 3 Public Primary | Проверка подлинности сервера, проверка подлинности клиента |
Verisign | VeriSign Trust Network | Проверка подлинности сервера, проверка подлинности клиента |
Дополнительные сведения о требованиях к сертификатам для федерации см. в разделе Федерация.
Требования к программе — Программа доверенных корневых сертификатов Майкрософт
Программа корневых сертификатов Microsoft поддерживает распространение корневых сертификатов, позволяя клиентам доверять продукции Windows. На данной странице описаны общие и технические требования Программы.
- Для получения информации о самых последних поставленных обновлениях см. https://aka.ms/rootupdates
- Добавьте данную страницу в закладки как: https://aka.ms/RootCert
2. Постоянные требования программы
Требования аудита
- Участники программы должны предоставить Майкрософт свидетельство Квалифицированного аудита (см. https://aka.ms/auditreqs) для каждого корневого, неограниченного подчиненного ЦС и перекрестно подписанного сертификата до начала коммерческих операций, а затем на ежегодной основе.
- Участники программы должны взять на себя ответственность за обеспечение соответствия всех неограниченных подчиненных центров сертификации и перекрестно подписанных сертификатов Требованиям аудита программы.
- Центры сертификации должны публично раскрывать все отчеты аудита для неограниченных подчиненных центров сертификации.
Требования к коммуникации и раскрытию информации
- Участники Программы должны предоставить Microsoft идентификационные данные по крайней мере двух «Доверенных агентов», которые выступают в качестве представителей Программы, и один общий псевдоним электронной почты. Участники программы должны сообщить Майкрософт об удалении или добавлении персонала в качестве доверенного агента. Участники программы соглашаются получать уведомления по электронной почте и должны предоставить Майкрософт адрес электронной почты для получения официальных уведомлений. Участники программы должны согласиться с тем, что уведомление вступает в силу, когда Майкрософт отправляет электронное или официальное письмо. По крайней мере, один из предоставленных контактов или псевдонимов должен быть круглосуточным контролируемым каналом связи для запросов на отзыв или других ситуаций управления инцидентами.
- Участник программы должен ежегодно раскрывать Microsoft полную иерархию PKI (неограниченный подчиненный ЦС, перекрестно подписанные незарегистрированные корневые ЦС, подчиненные ЦС, EKU, ограничения сертификатов), включая сертификаты, выданные ЦС, управляемым внешними третьими сторонами в рамках CCADB. Участники программы должны хранить эту информацию в CCADB в точности, когда происходят изменения. Если подчиненный ЦС не раскрывается или не проверяется публично, он должен быть ограничен доменом.
- Участники программы должны проинформировать Майкрософт по электронной почте не менее чем за 120 дней до передачи права собственности на зарегистрированный корневой или подчиненный ЦС, который связан с зарегистрированным корневым центром, другому юридическому или физическому лицу.
- Код причины должен быть включен в отзывы для промежуточных сертификатов. При отзыве любых промежуточных сертификатов центры сертификации должны обновить CCADB в течение 30 дней.
- Участники программы соглашаются с тем, что Майкрософт может связываться с клиентами, на которых, по мнению Майкрософт, может существенно повлиять ожидающее удаление корневого центра сертификации из Программы.
Прочие требования
- Коммерческие ЦС не могут регистрировать корневой ЦС в Программе, которая предназначена в первую очередь для внутреннего доверия внутри организации (т. е. ЦС предприятия).
- Если ЦС использует субподрядчика для управления каким-либо аспектом своего бизнеса, ЦС берет на себя ответственность за бизнес-операции субподрядчика.
- Если Майкрософт по своему усмотрению идентифицирует сертификат, использование или атрибуты которого определены как противоречащие целям Программы доверенных корневых сертификатов, Майкрософт уведомит ответственный центр сертификации и потребует отозвать сертификат. Центр сертификации должен либо отозвать сертификат, либо запросить исключение у Майкрософт в течение 24 часов с момента получения уведомления Майкрософт. Майкрософт рассмотрит представленные материалы и сообщит ЦС о своем окончательном решении предоставить или отклонить исключение по своему собственному усмотрению. Если Майкрософт не предоставляет исключение, центр сертификации должен отозвать сертификат в течение 24 часов после отклонения исключения.
3. Технические требования к программе
Все центры сертификации в программе должны соответствовать Техническим требованиям программы. Если Майкрософт определит, что ЦС не соответствует приведенным ниже требованиям, Майкрософт исключит данный ЦС из Программы.
А. Требования к корневому сертификату
- Корневые сертификаты должны быть сертификатами x.509 версии 3.
- Атрибут CN должен идентифицировать издателя и быть уникальным.
- Атрибут CN должен быть на языке, который подходит для рынка CA и читается типичным покупателем на этом рынке.
- Расширение базовых ограничений: значение должно быть cA = true.
- Расширение использования ключа ДОЛЖНО присутствовать и ДОЛЖНО быть помечено как критически важное. ДОЛЖНЫ быть установлены битовые позиции для KeyCertSign и cRLSign. Если закрытый ключ корневого CA используется для подписи ответов OCSP, то ДОЛЖЕН быть установлен бит digitalSignature.
- Размеры корневого ключа должны соответствовать требованиям, изложенным в разделе «Требования к ключу».
- DV 2.23.140.1.2.1
- OV 2.23.140.1.2.2
- EV 2.23.140.1.1.
- IV 2.23.140.1.2.3
- Подписывание кода EV 2.23.140.1.3
- Подписывание не-EV кода 2.23.140.1.4.1
B. Требования к подписи
Алгоритм Все виды использования, за исключением подписи кода и отметки времени Использование подписи кода и отметки времени Алгоритмы дайджеста SHA2 (SHA256, SHA384, SHA512) SHA2 (SHA256, SHA384, SHA512) RSA 2048 4096 (только новые корни) ECC / ECDSA NIST P-256, P-384, P-521 NIST P-256, P-384, P-521 C. Требования к отзыву
- ЦС должен иметь документированную политику отзыва и иметь возможность отозвать любой выданный им сертификат.
- Центры сертификации, которые выдают сертификаты проверки подлинности сервера, должны поддерживать следующие требования ответа OCSP:
- Минимальный срок действия восемь (8) часов; Максимальный срок действия семь (7) дней; а также
- Следующее обновление должно быть доступно как минимум за восемь (8) часов до истечения текущего периода. Если срок действия превышает 16 часов, то следующее обновление должно быть доступно через ½ периода действия.
D. Требования к корневому сертификату для подписи кода
- Корневые сертификаты, поддерживающие использование подписи кода, могут быть удалены Программой из распространения через 10 лет с даты распространения заменяющего корневого сертификата одновременного нажатия клавиш или раньше, если этого потребует ЦС.
- Корневые сертификаты, которые остаются в дистрибутиве для поддержки использования только подписи кода после срока их защиты алгоритма (например, RSA 1024 = 2014, RSA 2048 = 2030), могут быть отключены в ОС Windows 10.
Д. Требования EKU
- Центры сертификации должны предоставить бизнес-обоснование для всех EKU, назначенных их корневому сертификату. Обоснование может быть в форме публичного свидетельства текущего бизнеса по выдаче сертификатов определенного типа или типов или бизнес-плана, демонстрирующего намерение выпустить эти сертификаты в ближайшем будущем (в течение одного года с момента распространения корневых сертификатов Программой).
- Майкрософт будет включать только следующие EKU:
- Проверка подлинности сервера = 1.3.6.1.5.5.7.3.1
- Проверка подлинности клиента = 1.3.6.1.5.5.7.3.2
- Защищенная электронная почта EKU = 1.3.6.1.5.5.7.3.4
- Отметка времени EKU = 1.3.6.1.5.5.7.3.8
- Подписание документа EKU = 1.3.6.1.4.1.311.10.3.12
- Данный EKU используется для подписания документов в Office. Это не требуется для других целей подписания документов.
Е. Требования к подписи кода режима ядра Windows 10 (KMCS)
Windows 10 предъявляет повышенные требования к проверке драйверов режима ядра. Драйверы должны быть подписаны как Microsoft, так и партнером по программе с использованием требований расширенной проверки. Все разработчики, которые хотят, чтобы их драйверы режима ядра были включены в Windows, должны следовать процедурам, изложенным группой разработки оборудования Майкрософт. Дополнительные сведения см. в Центре партнеров для оборудования Windows
Хранилище сертификатов для локального компьютера и текущего пользователя
Каждое из системных хранилищ сертификатов имеет следующие типы:
- Хранилище сертификатов локального компьютера Этот тип хранилища сертификатов является локальным для компьютера и глобальным для всех пользователей на компьютере. Это хранилище сертификатов находится в реестре в корневом каталоге HKEY_LOCAL_MACHINE.
- Хранилище сертификатов текущего пользователя Этот тип хранилища сертификатов является локальным для учетной записи пользователя на компьютере. Это хранилище сертификатов находится в реестре в корневом каталоге HKEY_CURRENT_USER.
Сведения о конкретных расположениях реестров хранилищ сертификатов см. в разделе Расположения системных хранилищ.
Имейте в виду, что все хранилища сертификатов текущего пользователя, за исключением хранилища Текущий пользователь или личное, наследуют содержимое хранилищ сертификатов локального компьютера. Например, если сертификат добавляется в хранилище сертификатов доверенных корневых центров сертификации локального компьютера, все хранилища сертификатов доверенных корневых центров сертификации текущего пользователя (с указанным выше предостережением) также содержат этот сертификат.
Проверка подписи драйвера во время установки Plug and Play (PnP) требует, чтобы корневые сертификаты и сертификаты Authenticode, включая тестовые сертификаты, находились в хранилище сертификатов локального компьютера.
Дополнительные сведения о добавлении или удалении сертификатов из системных хранилищ сертификатов см. в разделе CertMgr.
Добавление сертификатов в хранилище доверенных корневых центров сертификации для локального компьютера
Чтобы добавить сертификаты в хранилище доверенных корневых центров сертификации локального компьютера, выполните следующие действия.
- Первый шаг. Откройте мастер импорта сертификатов одним из описанных далее способом и нажмите «Далее >».
Установка через Internet Explorer:
- Запустите iexplorer. В главном меню выберите Сервис / Свойства обозревателя.
- Откройте «Свойства обозревателя» через Пуск / Панель управления.
- Переключитесь на вкладку «Содержание».
- Откроется окно «Сертификаты». Переключитесь на вкладку «Доверенные корневые центры сертификации».
- Нажмите кнопку «Импорт».
- Запустите файл сертификата как программу. Появится окно «Сертификат».
- Нажмите кнопку «Установить сертификат».
Через консоль MS Windows
Внимание! Данный вариант — ЕДИНСТВЕННЫЙ работоспособный для Windows 7!
-
- Запустите консоль mmc, для этого выполните следующие действия: Войти в «Пуск / Выполнить», в строке «Найти программы и файлы» пропишите mmc, Разрешите внести изменения — кнопка Да.
- Появится окно консоли. В главном меню выберите Консоль / Добавить или удалить оснастку
- Появится окно «Добавить или удалить оснастку». Нажмите кнопку «Добавить…»
- В списке оснастки выберите «Сертификаты» и нажмите «Добавить».
- В окне «Оснастка диспетчера сертификатов» оставьте значения по умолчанию и нажмите «Готово»
- Закройте окно «Добавить изолированную оснастку» (кнопка «Закрыть»)
- В окне «Добавить или удалить оснастку» нажмите «ОК»
- В дереве консоли появится запись «Сертификаты». Раскройте ее и найдите раздел «Доверенные корневые центры сертификации», «Сертификаты»
- На строке «Сертификаты» нажмите правую кнопку мыши и в контекстном меню выберите Все задачи / Импорт
- На шаге «Импортируемый файл» (Шаг может быть пропущен, в зависимости от варианта запуска мастера) с помощью кнопки «Обзор…» выберите корневой сертификат и нажмите «Далее >».
- На шаге «Хранилище сертификатов» установите опцию «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор».
- В окне выбора хранилища установите флаг «Показать физические хранилища», раскройте «ветку» (+) «Доверенные корневые центры сертификации» и выберите место хранения сертификата:
- «Реестр» — для пользования корневым сертификатом только текущим пользователем под данной операционной системой.
- «Локальный компьютер» — для пользования корневым сертификатом всеми пользователями операционной системой.
- После нажатия кнопок «Ок», «Далее >» и «Готово» может появиться предупреждение о безопасности (зависит от внутренних настроек операционной системы) с вопросом «Установить данный сертификат?», нажмите «Да».
- Появится сообщение — «Импорт успешно выполнен», корневой сертификат добавлен в доверенные корневые центры сертификации для вашей или для всех учетных записей.
Вам также может быть интересно