A user with Enrollment Agent certificate is required in the Indeed Certificate Manager Axidian CertiFlow system so that the latter is able to request certificates for all the users on behalf of that user.
Сертификат может быть создан утилитой Cm.CertEnroll.MsCA из каталога IndeedCM.Server\Misc дистрибутива системы или в Диспетчере сертификатов пользователя (Certificates - Current User) (certmgr.
The certificate can be generated either with the utility from the installation package of Indeed CM server (Misc folder) or manually, using standard Microsoft Windows facilitiesmsc).
Cm.CertEnroll.MsCA
Для выпуска сертификата с назначением Enrollment Agent запустите от имени учетной записи с правами локального администратора на сервере Axidian CertiFlow утилиту Cm.CertEnroll.MsCA.exe с параметрами /e <userName> <password> /t <templateName> где:
- userName – имя сервисной учетной записи для работы с центрами сертификации (cfServiceCA).
- password – пароль сервисной учетной записи.
- templateName – имя шаблона сертификата Агента регистрации. Поддерживаются шаблоны с любыми именами, имеющие Улучшенный ключ (Extended Key Usage) Агент запроса сертификата (Certificate Request Agent).
| Code Block | ||||
|---|---|---|---|---|
| ||||
Cm.CertEnroll.MsCA.exe /e cfServiceCA p@ssw0rd /t=”AxidianEnrollmentAgent” |
| Code Block | ||||
|---|---|---|---|---|
| ||||
CA: msca.demo.local\Axidian-Demo-CA
Certificate has been enrolled successfully. |
Если запрос на сертификат должен быть одобрен оператором УЦ, то утилита предложит принять запрос и продолжить работу, указав при этом порядковый номер запроса и имя ключевого контейнера:
| Code Block | ||
|---|---|---|
| ||
CA: msca.demo.local\Axidian-Demo-CA
Certificate request is pending.
Request id: 27
Container name: lr-EnrollmentAgent-175d9490-7481-4a29-b567-503d39747354
Please accept request and then install certificate. |
После одобрения запроса оператором необходимо выполнить команду для установки сертификата в хранилище. Для этого запустите утилиту Cm.CertEnroll.MsCA.exe с параметром /i <userName> <password> <requestId> <containerName>, где:
- userName – имя сервисной учетной записи для работы с центрами сертификации (cfServiceCA).
- password – пароль сервисной учетной записи.
- requestId – порядковый номер запроса на сертификат.
- containerName – имя ключевого контейнера.
| Code Block | ||
|---|---|---|
| ||
Cm.CertEnroll.MsCA.exe /i cfServiceCA p@ssw0rd 27 lr-EnrollmentAgent-175d9490-7481-4a29-b567-503d39747354
CA: msca.demo.local\Axidian-Demo-CA
Certificate has been installed successfully. |
В результате работы утилиты в хранилище сертификатов компьютера, на котором установлен сервер системы, появится сертификат с назначением Агент запроса сертификатов (Enrollement Agent) с экспортируемым закрытым ключом и настроенными правами на управление закрытым ключом для учетной записи сервисного пользователя.
Если необходимо выпустить сертификат Агент регистрации (Enrollment Agent) с определенного центра сертификации (например, в домене развернуто несколько центров сертификации), то запустите утилиту с параметров /c, в котором укажите имя ЦС в формате <CAMachineName\CAName>, где:
- CAMachineName – DNS-имя сервера с ролью центра сертификации.
- CAName – имя центра сертификации.
| Code Block | ||
|---|---|---|
| ||
Cm.CertEnroll.MsCA.exe /e cfServiceCA p@ssw0rd /t=”AxidianEnrollmentAgent” /c=”msca.demo.local\Axidian-Demo-CA” |
Certificate issuance using the Certificates tool
1. Login to the system under service account (cfServiceCA) and open the Certificates tool for the User.
2. Run the New certificate issuance wizard.
3. Select the Enrollment Agent certificate type, maximize the Details section and click Properties button.
4. Switch to the Private key tab and expand the Key options menu and activate Make private key exportable option.
5. Move the issued certificate and its private key to certificate storage of the PC, where Indeed CM server is deployed.
6. Allow the service user (cfServiceCA) to read the private key of Enrollment Agent certificate.
- To do so, right-click the certificate in the Certificates tool of the PC.
- Select All tasks – Manage Private Keys...
- Item, click Add, specify the service account (cfServiceCA).
- Set Full control option.
- Click Apply.