Здравствуйте.

Есть задача развернуть два корневых УЦ КриптоПРО 2.0 работающих с одним ЦР. Один УЦ для выпуска RSA-сертификатов, второй - для ГОСТовых.
Все это должно быть развернуто на 1 рабочей станции.

Сейчас у меня развернут один ЦР и один ЦС для выпуска RSA сертификатов. ГОСТовый ЦС создается (в разделе Серверы ЦС), но вот как его подключить к существующему ЦР?
В документации описания такой конфигурации не нашел.

Спасибо за предоставленную инструкцию. Возникли следующие проблемы:
1. Т.к. у меня все на одной рабочей станции, то при развертывании первого УЦ и ЦР я получил сертификат веб-сервера ЦС через мастер установки. И этот сертификат с CSP RSA.
2. Теперь же мне необходимо выпустить сертификат веб-сервера для добавляемого УЦ с ГОСТовым CSP. Сделать это через UI не получилось (при добавлении УЦ нет диалога по созданию сертификата веб-сервера, как при установке первого УЦ).
В Документации (ЖТЯИ.00078 01 90 02 ПАК КриптоПро УЦ 2.0. Руководство по установке.pdf п. 4.3.9) я нашел команду PS:
PS C:\> Get-PkiServer `
New-PkiRequest -CertTemplate PkiServer `
Send-PkiRequest -config 'localhost\ИмяУЦ' `
Receive-PkiResponse -config 'localhost\ИмяУЦ' `
Install-PkiResponse
Enable-PkiServer

После ее выполнения появился биодатчик и результат команды выдал значения Name, Oid и Rawdata.
Правильно ли я понимаю, что сертификат веб-сервера выпустился? Если да, то где его искать в виде, пригодном для экспорта в хранилище машины? КриптоПро CSP этот сертификат не видит.

Вернулся к задаче. Создаю все снова.
Есть стенд, где развернут и работает RSA-УЦ. На этой машине развернут и ЦР.
1. В оснастке "Диспетчер УЦ" выбираю Диспетчер ЦС ->Центры сертификации ->Добавить
2. Запускается мастер создания ЦС, в котором я определяю что мне нужен корневой ЦС, задаю его название и выбираю ГОСТовый криптопровайдер
3. Заполняю доп. атрибуты, расширения сертификатов администраторов ЦС.
4. Мастер создания сертификата веб-сервер при этом не появляется. Т.к. сертификат веб-сервера уже был создан при развертывании ЦС RSA.
5. Задаю имя администратора ЦС, создаю сертификат администратора (тоже ГОСТовый).
6. Далее появляется окно параметров центра регистрации (который, выходит сначала нужно создать, а потом уже переключить создаваемый ЦС на работу с другим ЦР). Задаю имя ЦР, машину (у меня она всего одна) и имя пользователя.
7. Далее появляется мастер создания сертификата клиентской аутентификации ЦР.
Исходя из Ваших ответов, этот сертификат должен быть изготовлен добавляемым ЦС, и должен быть помещен в локальное хранилище компьютера с привязкой к закрытому ключу.
Из поста #4 я понял, что CSP этого сертификата должно быть RSAшным. Т.к. я буду использовать этот сертификат для подключения к ЦР, того ЦС, который у меня уже развернут (там везде RSA)
В качестве CSP выбираю Microsoft Enhanced RSA and AES и жму Далее.
8. Вот тут появляется окно с предложением выбрать хранилище (Реестр) и затем биодатчик. Насколько я понимаю, сездался сертификат создаваемого ЦС с ГОСТовым CSP.
9. Мастер предлагает сохранить сертификат в файл ("Сертификат аутентификации ЦР.p7b)". Если открыть сохраненный файл, то в нем будут 2 сертификата для ЦС(Открытый ключ ГОСТ) и ЦР(Открытый ключ RSA, но алгоритм подписи и ХЭШ-алгоритм подписи ГОСТ).
10.Импортирую в хранилище машины сертификат ЦР из полученного в п.9 файла и связываю с закрытым ключом командой certutil -repairstore my "серийный номер сертификата"
11.Итого в машинном хранилище 3 сертификата с закрытыми ключами:
1. Сертификат аутентификации ЦР(появился при создании RSA ЦС и ЦР, выдан RSA-ЦС)
2. Сертификат аутентификации ЦР(появился при создании ГОСТ ЦС и ЦР, выдан ГОСТ-ЦС)
3. Сертификат Веб-сервер (появился при создании RSA ЦС)
У всех трех сертификатов открытый ключ - RSA(2048), но у сертификата #2 напомню, алгоритм подписи и ХЭШ-алгоритм подписи ГОСТовые.
12. Пробую в Командной строке управления УЦ выполнить указанные команды
$CAFullDnsName = "cpca21.lab.local"
$ClientCertificate = Get-Item 'Cert:\LocalMachine\My\"2e874bc6e550439ea994df3160c672facbfcc111"
$NameAddCA = "GOST CA"
Add-CAReference -AuthorityName <$NameAddCA> -Url 'https://cpca21.lab.local/CA' -ClientCertificate $ClientCertificate

Явно команды не выдают никакого результата об успехе/провале их выполнения. Правильно ли считать, что если я все сдела правильно, то у меня в разделе Серверы ЦС для в Добавленном GOST CA в разделе центры регистрации появился ЦР с отпечатком сертификата, который я указывал в командной строке PS?

Мне кажется ничего у меня не добавилось, т.к. в списке соединений (команда Get-CAReference) только один RSAшный ЦС, а при попытке проверки связи (Ping-CA –AuthorityName <имя экземпляра ЦС-ГОСТ>) ошибка "Не найдено целевое подключение"). В Консоли управления ЦР в разделе Центры сертификации отображается только RSA ЦС.

Можно ли как-то проверить результаты выполнения команд (записи в реестре или SQL-базе КриптоПро УЦ):
$CAFullDnsName = "cpca21.lab.local"
$ClientCertificate = Get-Item 'Cert:\LocalMachine\My\"2e874bc6e550439ea994df3160c672facbfcc111"
$NameAddCA = "GOST CA"

В частности, не понятно, что должно произойти при выполнении $ClientCertificate = Get-Item 'Cert:\LocalMachine\My\"2e874bc6e550439ea994df3160c672facbfcc111", нет ли ошибки в команде или может нужно указать какой-то доп. параметр (см скриншот). CPPS.png (5kb) загружен 150 раз(а).?

Да, все получилось.
Теперь и PS C:\> Get-CAReference выдает 2 ЦС и в UI тоже отображаются оба ЦС.

Спасибо за помощь!