instalace certifikační autority v systému Windows Server 2008 R2
Ano, můžete mít vlastní certifikační autoritu (CA) a vydávat certifikáty pro klienty. Špatnou zprávou je, že certifikátům vydaným vaší interní CA důvěřují pouze interní klienti nebo klienti, kteří mají importovaný kořenový certifikát. Pro interní aplikace, weby atd. je to zlato, protože nemusíte komerčním certifikátem, ale pokud máte veřejný web HTTPS, budete potřebovat komerční certifikát. Certifikační orgány mohou mít více důsledků nebo úrovní, jako Root CA, pak podřízený CA, a poslední je vydávající CA.Níže jsem vytvořil diagram pro lepší vizualizaci.
Root CA vydá certifikáty pouze pro podřízené CA a podřízené CA vydá certifikáty pouze pro vydání CA. Vydávající CA je ten, který vydá certifikáty pro interní klienty. Můžete samozřejmě vytvořit více než tři důsledky, ale ani tyto reklamy certifikační autority nejdou s více než třemi. Nyní existuje několik typů certifikačních autorit pro domény Windows. První a větší je Enterprise Root CA, pak je Enterprise podřízený CA. Tyto dva typy se používají pouze v případě, že máte v síti implementovanou doménu Windows. Poslední dva jsou Enterprise Standalone CA, a podřízený samostatný CA. Používají se, pokud nemáte implementovanou doménu systému Windows. Nyní je rozdíl mezi Enterprise a Standalone v tom, že s Enterprise máte šablony certifikátů a kořenový certifikát bude automaticky nasazen všem klientům. Ukončím tento úvod nyní, a začít pracovat.
pro tuto příručku mám řadič domény (DC) se systémem Windows Server 2008 R2 a další systém Windows Server 2008 R2 (s názvem Server-Cert) se připojil k doméně, což bude náš podnik Root CA. Ano, jdu s verzí Enterprise, protože je doména Windows, a pro malé firmy je více než dostačující jediný podnik Root CA.
přejděte na Server-Cert a otevřete Správce serverů; klepněte pravým tlačítkem myši na role a zvolte Přidat role.
klepnutím na tlačítko Další přeskočíte uvítací obrazovku. Na obrazovce role vyberte Služby certifikátu Active Directory a klikněte na další.
přeskočte zavedení AD CS. Na obrazovce služby rolí máme možnost nainstalovat více než jen certifikační službu. Pro tuto demonstraci budu instalovat certifikační autority Web zápis příliš. To nám poskytne webovou stránku pro vyžádání certifikátů a je to skvělé, věřte mi. Jakmile kliknete na webovou registraci certifikační autority, budete požádáni o instalaci některých požadovaných předpokladů. A samozřejmě web, který má fungovat, potřebuje webový server. Stačí kliknout na Přidat požadované role služby a pokračovat v průvodci.
protože se jedná o instalaci Enterprise Root CA, nechte zde výchozí nastavení a klikněte na další.
opět zde ponechte výchozí nastavení pro instalaci kořenového CA.
musíme vytvořit nový soukromý klíč, takže pokračujte kliknutím na tlačítko Další.
Pro Enterprise Root CA obvykle volím klíč délky 4096 a zbytek nechám na výchozí.
Dejte svému kořenovému CA jméno. Vždy měním jméno, protože opravdu nenávidím výchozí.
Vyberte dobu platnosti. Pro Enterprise Root CA obvykle píšu 30 let.
pokud máte důvod změnit výchozí protokol a umístění databáze, proveďte to pomocí tlačítek Procházet. Nyní přichází instalační část služby IIS, stačí jít s výchozími hodnotami a dokončit průvodce.
instalace je dokončena. Přejděte na Nástroje pro správu > certifikační autorita a otevřete konzolu pro správu certifikačních služeb. Z této konzoly můžete zrušit certifikáty a vytvářet šablony.
Chcete-li zobrazit kořenový certifikát, klikněte pravým tlačítkem myši na název serveru, vyberte Vlastnosti a stiskněte tlačítko Zobrazit certifikát
otevřete prohlížeč a zadejte http://localhost/certsrv a měla by se otevřít stránka Registrace certifikátů. Pomocí této webové stránky mohou klienti požadovat certifikáty, pokud mají správná oprávnění.
chcete takový obsah doručit přímo do vaší e-mailové schránky
?