Действие 1: Как выдать новый сертификат с помощью собственного Центра сертификации

Далее представлены действия, которые необходимо выполнить для выдачи нового подчиненного сертификата.

Вариант A: Если ваш Центр сертификации доступен в вашей сети

  1. Security ControlsЗакройте .
  2. Используйте возможности вашей локальной системы для выдачи сертификата из вашего Центра сертификации.
    Убедитесь в том, что сертификат удовлетворяет всем требованиям.
  3. Сохраните новый сертификат на компьютере консоли в непосредственном хранилище центра сертификации.
  4. На консоли откройте окно командной строки от имени администратора и перейдите в каталог установки Security Controls.
    Каталог установки по умолчанию: C:\Program Files\Ivanti\Security Controls.
  5. Используйте утилиту командной строки STMgmt для выполнения команды select_subauthority -thumbprint <thumbprint> и указания того, что новый сертификат должен работать в качестве подчиненного.

    6. Пример: stmgmt.exe -select_subauthority -thumbprint 3e656d7ca744c131c2daba3e4fb4e8731784824e

    Обязательно включите параметр -thumbprint, который указывает Security Controls, что должен использоваться подчиненный сертификат. Метод получения отпечатка:

    1. Скопируйте отпечаток из нового сертификата в приложение, такое как Блокнот.
    2. Удалите любые пробелы и специальные символы.
    3. Сохраните файл в формате с кодировкой ANSI.
    4. Вставьте символ отпечатка из файла Блокнота в команду select_subauthority.

    Для получения дополнительной информации об использовании команды STMgmt, введите от имени администратора следующее в командной строке на компьютере консоли:

    C:\Program Files\Ivanti\Security Controls>stmgmt

  6. См. раздел Использование фильтра новых сертификатов в системе для получения информации о том, нужно ли ждать 30 дней до принятия нового сертификата.

Вариант B: Если ваш Центр сертификации недоступен в вашей сети (неактивен или отключен от сети)

  1. На консоли откройте окно командной строки от имени администратора и перейдите в каталог установки Security Controls.
    Каталог установки по умолчанию: C:\Program Files\Ivanti\Security Controls.
  2. Используйте утилиту командной строки STMgmt и выполните команду request_subauthority -of <requestfile> для создания запроса подчиненного сертификата.

    3. Пример: stmgmt.exe -request_subauthority -of samplerequestfilename.req

    Это запрос для выдачи нового подчиненного сертификата Security Controls. Он создает всю информацию, необходимую Центру сертификации для выдачи сертификата и сохранения его в файле. Данный файл является запросом сертификата PKCS10 в двоичном формате, который будет использоваться для создания сертификата в Центре сертификации. Возможно, вам придется преобразовать этот файл с использованием кодировки Base64 - зависит от вашего Центра сертификации.

  3. Переместите файл в Центр сертификации.
  4. Ваш Центр сертификации должен выдать новый подчиненный сертификат и сохранить его в файле.
    Убедитесь в том, что сертификат удовлетворяет всем требованиям.
  5. Переместите файл на компьютер и сохраните его в локальном каталоге.
  6. Используйте утилиту командой строки STMgmt для выполнения команды accept_subauthority -if <issuedcert>.

    7. Пример: stmgmt.exe -accept_subauthority -if sampleresponsefilename.cer

    Эта команда выполняет несколько действий. Она:

    • Принимает новый сертификат, который был создан в доверенном Центре сертификации
    • Выполняет его привязку с закрытым ключом на консоли
    • Указывает, что приложение Security Controls должно использовать сертификат в качестве подчиненного
    • Управляет установкой нового сертификата
  7. См. раздел Использование фильтра новых сертификатов в системе для получения информации о том, нужно ли ждать 30 дней до принятия нового сертификата.