A Axidian CertiFlow must have a user with an Enrollment Agent certificate is required in the Axidian CertiFlow system so that the latter is able to request . On behalf of that user the system requests certificates for all the other users on behalf of that user.Сертификат может быть создан утилитой .
There are two ways to create the Enrollment Agent certificate:
- using the Cm.CertEnroll.MsCA
- utility (located in IndeedCM.Server\
- MiscCHANGE directory of Axidian CertiFlow package)
- using the Certificates
- (certmgr.msc)
Cm.CertEnroll.MsCA
Для выпуска сертификата с назначением Enrollment Agent запустите от имени учетной записи с правами локального администратора на сервере Axidian CertiFlow утилиту CmTo issue the Enrollment Agent certificate, run the IndeedCM.CertEnroll.MsCA.exe с параметрамиCHANGE utility with/e <userName> <password> /t <templateName> где: parameter as local administrator.
- userName – имя сервисной учетной записи для работы с центрами сертификации service account name for working with CAs (cfServiceCA).
- password – пароль сервисной учетной записи – service account password.
- templateName – имя шаблона сертификата Агента регистрации. Поддерживаются шаблоны с любыми именами, имеющие Улучшенный ключ (Extended Key Usage) Агент запроса сертификата (Certificate Request Agent)name of the Enrollment Agent certificate template. Templates with any name that have Extended Key Usage Certificate Request Agent are supported.
| Code Block | ||||
|---|---|---|---|---|
| ||||
Cm.CertEnroll.MsCA.exe /e cfServiceCA p@ssw0rd /t=”AxidianEnrollmentAgent” |
| Code Block | ||||
|---|---|---|---|---|
| ||||
CA: msca.demo.local\Axidian-Demo-CA Certificate has been enrolled successfully. |
Если запрос на сертификат должен быть одобрен оператором УЦ, то утилита предложит принять запрос и продолжить работу, указав при этом порядковый номер запроса и имя ключевого контейнераIf the certificate request must be approved by the CA operator, the utility will suggest to accept the request and continue with the request sequence number and key container name:
| Code Block | ||
|---|---|---|
| ||
CA: msca.demo.local\Axidian-Demo-CA Certificate request is pending. Request id: 27 Container name: lr-EnrollmentAgent-175d9490-7481-4a29-b567-503d39747354 Please accept request and then install certificate. |
После одобрения запроса оператором необходимо выполнить команду для установки сертификата в хранилище. Для этого запустите утилиту Once the operator approves the request, run the command to install the certificate in your storage. To do this, run theCm.CertEnroll.MsCA.exe с параметром /i <userName> <password> <requestId> <containerName>, где: utility with /i <service username> <password><requestId> <containerName> parameter:
- userName – service account name for working with CAs userName – имя сервисной учетной записи для работы с центрами сертификации (cfServiceCA).
- password – пароль сервисной учетной записиservice account password.
- requestId – порядковый номер запроса на сертификатcertificate request sequence number.
- containerName – имя ключевого контейнераkey container name.
| Code Block | ||
|---|---|---|
| ||
Cm.CertEnroll.MsCA.exe /i cfServiceCA p@ssw0rd 27 lr-EnrollmentAgent-175d9490-7481-4a29-b567-503d39747354 CA: msca.demo.local\Axidian-Demo-CA Certificate has been installed successfully. |
В результате работы утилиты в хранилище сертификатов компьютера, на котором установлен сервер системы, появится сертификат с назначением Агент запроса сертификатов (Enrollement Agent) с экспортируемым закрытым ключом и настроенными правами на управление закрытым ключом для учетной записи сервисного пользователя.
Если необходимо выпустить сертификат Агент регистрации (Enrollment Agent) с определенного центра сертификации (например, в домене развернуто несколько центров сертификации), то запустите утилиту с параметров /c, в котором укажите имя ЦС в формате <CAMachineName\CAName>, где:
- CAMachineName – DNS-имя сервера с ролью центра сертификации.
- CAName – имя центра сертификации.
The Enrollement Agent certificate will appear in the certificate store of the computer running the system server. This certificate features an exportable private key and the service user account now has permissions to manage this private key.
If you need to issue an Enrollment Agent certificate from a specific CA (e.g. there are several CAs deployed in the domain), run the utility with /c parameters, where you must specify the CA name in this format <CAMachineName\CAName>:
- CAMachineName – DNS name of the server with CA role.
- CAName – CA name.
| Code Block | ||
|---|---|---|
| ||
| Code Block | ||
| ||
Cm.CertEnroll.MsCA.exe /e cfServiceCA p@ssw0rd /t=”AxidianEnrollmentAgent” /c=”msca.demo.local\Axidian-Demo-CA” |
Certificates tool
1. Login to the system under Log in to Axidian CertiFlow under your service account (cfServiceCA) and open the Certificates tool for the User.
2. Run the New certificate issuance wizard.
3. Select the Enrollment Agent certificate type, maximize expand the Details section and click Properties button.
4. Switch Go to the Private key tab and expand the Key options menu and activate . Activate Make private key exportable option.
5. Move the issued certificate and its private key to certificate storage of the PC, where Indeed CM Axidian CertiFlow server is deployed.
6. Allow the service user (cfServiceCA) to read the private key of Enrollment Agent certificate.:
- RightTo do so, right-click the certificate in the Certificates tool of the PC.
- Select All tasks – →Manage Private Keys...
- ??Item, click Add, specify the service account (cfServiceCA).
- Set Full control option .Click and click Apply.