# Налаштування центру сертифікації Active Directory (Active Directory Certification Authority)
### Як працює автентифікація без пароля?
Автентифікація без пароля базується на технології **Microsoft Virtual Smart Cards**. Це дозволяє входити в акаунт домену використовуючи віртуальні смарткартки. Як і у випадку зі звичайними (фізичними) смарткартками, це можливо якщо ви налаштували домен контролер і центр сертифікації. Віртуальна смарткартка створюється на робочій станції за допомогою **TPM** модулю.
Під час ініціалізації віртуальної смарткартки частина інформації, необхідної для входу в обліковий запис (облікові дані смарткартки), передається на мобільний застосунок і зберігається там. Під час входу в систему користувач сканує QR-код на екрані комп’ютера, що дозволяє встановити з’єднання між комп’ютером і телефоном. Після чого облікові дані смарткартки передаються зі смартфона на комп’ютер і далі відбувається розблокування ПК.
### Налаштування центру сертифікації Active Directory
1. Відкрийте на своєму сервері **Microsoft Management Console (MMC)**. Один зі способів зробити це, ввести **mmc.exe** у меню **Пуск**, натиснути правою кнопкою миші на **mmc.exe** і вибрати **Запустити від імені адміністратора**.
2. Натисніть **Файл**, потім **Додати/видалити оснастку.**
Для створення шаблону сертифіката виконайте наступні кроки:
Вам потрібно створити шаблон сертифіката в Центрі сертифікації, який Ви будете запитувати для віртуальної смарткартки.
3. У списку доступних оснасток виберіть **Шаблони сертифікатів**, а потім натисніть **Додати**.\
4. Шаблони сертифікатів тепер знаходяться в **Кореневому каталозі консолі** в MMC. Двічі натисніть на нього, щоб переглянути всі доступні шаблони сертифікатів.
5. Натисніть правою кнопкою миші на шаблон **Вхід за допомогою смарткартки** й оберіть **Продублювати шаблон**.\
\
6. На вкладці **Сумісність** у розділі **Центр сертифікації,** перегляньте вибір і за потреби змініть його.\
\
7. У вкладці **Основні:**
1\. Укажіть назву, наприклад **TPM Virtual Smart Card Logon**.
2\. Встановіть бажане значення для терміна дії.
8. У вкладці **Обробка запитів:**
1\. Встановіть для **Мети** значення **Підпис і вхід за допомогою смарткартки.**
2\. Натисніть **Запитувати користувача при реєстрації**.
9. У вкладці **Криптографія:**
1\. Встановіть мінімальний розмір ключа (до 2048).
2\. Натисніть **Запити мають використовувати одного з наведених нижче постачальників** і оберіть **Microsoft Base Smart Card Crypto Provider**.
10. У вкладці **Безпека**, додайте групу користувачів, до якої ви бажаєте надати доступ для реєстрації. Наприклад, якщо вам потрібно надати доступ усім користувачам оберіть групу **Автентифіковані користувачі,** потім оберіть **Зареєструвати,** щоб надати доступ для них.
11. Натисніть **OK,** щоб завершити зміни та створити новий шаблон. Тепер ваш новий шаблон має з’явитися у списку **Шаблонів сертифікатів.**
12. Оберіть **Файл**, потім натисніть **Додати/видалити оснастку**, щоб додати оснастку Центру Сертифікації до консолі MMC. Коли вас запитають, яким комп’ютером ви бажаєте керувати, виберіть комп’ютер, на якому розташований Центр Сертифікації, можливо це буде **Локальний Комп’ютер.**\
\
13. У лівій панелі консолі керування MMC розгорніть розділ **Центр сертифікації (локальний).** В списку оберіть ваш Центр Сертифікації та розгорніть його.\
\
14. Натисніть правою кнопкою миші **Шаблони сертифікатів**, виберіть команду **Створити**, потім виберіть пункт **Шаблон сертифіката для видачі**.\
15. У списку виберіть щойно створений шаблон (**TPM вхід із віртуальною смарткарткою**) і натисніть кнопку **ОК**.
**Примітка:** Може знадобитися деякий час, поки ваш шаблон скопіюється на всі сервери та стане доступним у цьому списку.
16. Після копіювання шаблону в MMC натисніть правою кнопкою миші на список Центру сертифікації, виберіть **Усі завдання**, а потім - **Зупинити службу**. Потім знову натисніть правою кнопкою миші, на ім'я Центру Сертифікації, виберіть **Усі завдання**, а потім - **Запустити службу**.
