# Налаштування центру сертифікації в Active Directory

## **Як працює безпарольна автентифікація?**

{% hint style="info" %}
Вона базується на технології Microsoft Virtual Smart Card, яка дозволяє входити в облікові записи домену, використовуючи не фізичні, а віртуальні смарт-карти. Як і з звичайними смарт-картами, це можливе за умови налаштування контролера домену та центру сертифікації. Віртуальна смарт-карта створюється на робочій станції за допомогою модуля TPM.

При ініціалізації віртуальної смарт-карти частина інформації, необхідної для входу в акаунт (дані смарт-карти), передається до мобільного застосунку і зберігається там. Під час входу користувач сканує QR-код на екрані комп’ютера, що дозволяє встановити з’єднання між комп’ютером і телефоном, після чого дані смарт-карти передаються на комп’ютер, і ПК розблоковується.
{% endhint %}

## **Налаштування сертифікаційного центру Active Directory**

Для сертифікаційного центру потрібно створити шаблон сертифіката, який ви будете запитувати для віртуальної смарт-карти.

## **Щоб створити шаблон сертифіката:**

1. На вашому сервері відкрийте Microsoft Management Console (MMC). Один зі способів зробити це — ввести mmc.exe у меню "Пуск", клацнути правою кнопкою на mmc.exe і вибрати "Запустити від імені адміністратора".

<figure><img src="/files/PhNTRqpPij4idIdh1wEh" alt=""><figcaption></figcaption></figure>

2. Клацніть "Файл", а потім виберіть "Додати/Видалити снапін".
3. Додайте або видаліть снапін.

<figure><img src="/files/PAVq9nmvWod6xHNrAhky" alt=""><figcaption></figcaption></figure>

3. У списку доступних снапінів виберіть "Шаблони сертифікатів" і натисніть "Додати".
4. Снапін "Шаблони сертифікатів" тепер буде знаходитися під Console Root в MMC. Двічі клацніть, щоб переглянути всі доступні шаблони сертифікатів.
5. Клацніть правою кнопкою миші на шаблон "Smartcard Logon" і виберіть "Дублювати шаблон".

<figure><img src="/files/JufFJHVfDUMGt4GlN6lA" alt=""><figcaption></figcaption></figure>

6. На вкладці "Сумісність" у розділі "Certification Authority" перевірте вибір і при необхідності змініть його.

<figure><img src="/files/b3j9OnYNpNNfmrYcZwDH" alt=""><figcaption></figcaption></figure>

7. На вкладці "Загальні":

* Введіть назву, наприклад, "TPM Virtual Smart Card Logon".
* Встановіть період дії на бажану величину.

8. На вкладці "Обробка запитів":

* Встановіть "Призначення" на "Підпис" та "вхід через смарт-карту".
* Увімкніть "Запитати у користувача під час реєстрації".

9. На вкладці "Криптографія":

* Встановіть мінімальний розмір ключа на 2048.
* Виберіть "Запити повинні використовувати одного з наступних постачальників" і виберіть "Microsoft Base Smart Card Crypto Provider".

10. На вкладці "Безпека" додайте групу безпеки, якій ви хочете надати доступ до реєстрації. Наприклад, якщо ви хочете дати доступ усім користувачам, виберіть групу "Аутентифіковані користувачі" і надайте їм права на реєстрацію.
11. Клацніть "ОК", щоб завершити зміни та створити новий шаблон. Ваш новий шаблон тепер повинен з’явитися в списку шаблонів сертифікатів.
12. Виберіть "Файл", а потім "Додати/Видалити снапін", щоб додати снапін "Certification Authority" до вашої консолі MMC. Коли з’явиться запит на вибір комп’ютера для управління, виберіть комп’ютер, на якому знаходиться CA, ймовірно, це буде "Local Computer".

<figure><img src="/files/TN0Y7LzNJi3zMhC3kXqL" alt=""><figcaption></figcaption></figure>

13. Додайте снапін "Certification Authority".
14. У лівій панелі MMC розгорніть "Certification Authority (Local)", а потім розгорніть ваш CA у списку сертифікаційних центрів.

<figure><img src="/files/1HzVZemDDgq0FCihEm7x" alt=""><figcaption></figcaption></figure>

15. Клацніть правою кнопкою миші на "Шаблони сертифікатів", виберіть "Новий", а потім "Шаблон сертифіката для випуску". У списку виберіть новий шаблон, який ви тільки що створили (TPM Virtual Smart Card Logon), і натисніть "ОК".

<figure><img src="/files/etZ1cok2SrfwFe7KsNUN" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
**Примітка:** Може знадобитися деякий час, поки ваш шаблон буде репліковано на всі сервери і з’явиться в цьому списку.
{% endhint %}

17. Після реплікації шаблону в MMC, клацніть правою кнопкою миші в списку сертифікаційних центрів, виберіть "Усі завдання" і натисніть "Зупинити службу". Потім клацніть правою кнопкою на ім’я CA ще раз, виберіть "Усі завдання" і натисніть "Запустити службу".

<figure><img src="/files/ZmUILoF2RwrMhCFBGWuI" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://authenticator-ua.hideez.com/instrukciya-dlya-administratoriv/nalashtuvannya-dlya-bezparolnogo-vkhodu-v-robochu-stanciyu/nalashtuvannya-centru-sertifikaciyi-v-active-directory.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.