В. Нам необходимо экспортировать на одном из веб-серверов сертификат X.509 и связанный с ним закрытий ключ и затем импортировать их на всех остальных веб-серверах нашей фермы серверов. Для этого мы планируем использовать мастер экспорта сертификатов системы Windows, мастер импорта сертификатов и файл формата PKCS#12 (*.pfx), защищенный с помощью пароля.

О. Да, это так. Операционные системы Windows Server 2012 и Windows 8 поддерживают новую возможность, позволяющую обеспечивать защиту сертификата и его закрытого ключа, содержащихся в файле формата PKCS#12, с помощью учетной записи пользователя или группы Active Directory (AD). Данная возможность очень полезна при экспорте и импорте сертификатов и закрытых ключей, так как вам не нужно сообщать пароль всем участникам данного процесса.

Для поддержки такой возможности мастер экспорта сертификатов в системах Server 2012 и Windows 8 предоставляет новый вариант защиты, позволяющий защитить файл. pfx с помощью учетной записи пользователя или группы AD. Как показано на экране, в мастере на закладке Security появился новый параметр Group or user names (recommended). При выборе этого параметра вы можете добавить учетную запись AD с помощью кнопки Add. Логика мастера импорта сертификатов изменена таким образом, чтобы автоматически определять тот факт, что вы вошли в систему с действительной учетной записью AD, и разблокировать доступ к сертификату и закрытому ключу в файле. pfx без запроса на ввод пароля.

 

Страница Security мастера  Certificate Export Wizard
Экран. Страница Security мастера  Certificate Export Wizard

В действительности эта новая функция по-прежнему использует пароль, который генерируется автоматически для защиты файла. pfx. Данный пароль шифруется с помощью интерфейса API Windows Data Protection (DPAPI) и добавляется к файлу. pfx. Когда защищенный pfx-файл импортируется, Windows проверяет, присутствует ли учетная запись пользователя или компьютера, которые осуществляют импорт, в списке учетных записей, сформированном при создании файла. pfx. Если присутствует, то Windows автоматически расшифровывает пароль и предоставляет доступ к сертификату и закрытому ключу.

Эта функция работает только при экспорте сертификата и закрытого ключа на компьютерах с Windows Server 2012 или Windows 8, являющихся членами домена AD. Кроме того, компьютер, на котором вы импортируете сертификат и закрытий ключ, должен входить в домен, в котором имеется доступный контроллер домена с системой Server 2012.

Вы можете воспользоваться этой новой возможностью при создании файла. pfx в интерфейсе командной строки, применяя либо команду Export-PfxCertificate оболочки Windows PowerShell, либо утилиту командной строки Certutil. Оба инструмента поддерживают параметр -ProtectTo, позволяющий указать учетную запись AD, используемую для защиты сертификата и закрытого ключа.