installer certificeringsmyndighed i vinduer Server 2008 R2
Ja, du kan have din egen certificeringsmyndighed (CA) og udstede certifikater til klienter. Den dårlige nyhed er, at certifikater udstedt af din interne CA kun er tillid til af dine interne klienter eller af klienter, der har dit rodcertifikat importeret. Dette er guld, fordi du ikke behøver et kommercielt certifikat, men hvis du har et offentligt HTTPS-sted, skal du have et kommercielt certifikat. Certificeringsmyndigheder kan have flere forgreninger eller niveauer, som Root CA, derefter en underordnet CA, og den sidste er den udstedende CA.Nedenfor oprettede jeg et diagram for en bedre visualisering.
Root CA udsteder kun certifikater for underordnet CA, og den underordnede CA udsteder kun certifikater for udstedelse af CA. Den udstedende CA er den, der udsteder certifikater til interne kunder. Du kan selvfølgelig oprette mere end tre forgreninger, men selv disse reklamecertificeringsmyndigheder går ikke med mere end tre. Nu er der flere typer af certificeringsmyndigheder for vinduer domæner. Den første og den større er Enterprise Root CA, så er Enterprise underordnet CA. Disse to typer bruges kun, hvis du har et domænenavn implementeret i dit netværk. De sidste to er Enterprise Standalone CA og underordnet Standalone CA. Disse bruges, hvis du ikke har et domænenavn implementeret. Nu er forskellen mellem Enterprise og Standalone, at med Enterprise har du certifikatskabeloner, og rodcertifikatet vil automatisk blive implementeret til alle klienter. Jeg vil afslutte denne introduktion nu og begynde at arbejde.
til denne vejledning har jeg en domænecontroller (DC), der kører vinduer Server 2008 R2, og en anden vinduer Server 2008 R2 (navngivet Server-Cert) sluttede sig til domænet, som vil være vores Enterprise Root CA. Ja jeg har tænkt mig med Enterprise-versionen, fordi er et vinduer Domæne, og for små virksomheder er mere end tilstrækkelig en enkelt virksomhed rod CA.
gå til Server-Cert og åbn Server Manager; Højreklik på roller og vælg Tilføj roller.
Klik på Næste for at springe velkomstskærmen over. På skærmen roller skal du vælge Active Directory Certificate Services og klikke på Næste.
spring over introduktionen af AD CS. På skærmen Rolletjenester har vi muligheden for at installere mere end bare certifikattjenesten. Til denne demonstration vil jeg også installere Certificeringsmyndighedens Internettilmelding. Dette vil give os en hjemmeside til at anmode om certifikater, og det er fantastisk, tro mig. Så snart du klikker på Certificeringsmyndighedens tilmelding, bliver du bedt om at installere nogle nødvendige forudsætninger. Og selvfølgelig har en hjemmeside til at fungere brug for en internetserver. Bare klik på Tilføj nødvendige roller tjenester og fortsætte guiden.
fordi det handler om at installere Enterprise Root CA, skal du bare forlade standardindstillingerne her og klikke på Næste.
forlad igen standardindstillingerne her for at installere en Root CA.
vi skal oprette en ny privat nøgle, så klik på Næste for at fortsætte.
for Enterprise Root CA vælger jeg normalt en længdetast på 4096 og overlader resten til standard.
Giv din rod CA et navn. Jeg ændrer altid navnet, fordi jeg virkelig hader standard.
vælg en gyldighedsperiode. For Enterprise Root CA skriver jeg normalt 30 år.
hvis du har en grund til at ændre standardloggen og databaseplaceringen, skal du gøre det ved hjælp af knapperne Gennemse. Nu kommer IIS-installationsdelen, bare gå med standardindstillingerne og afslut guiden.
installationen er færdig. Gå til Administrative værktøjer > certificeringsmyndighed for at åbne administrationskonsollen for Certifikattjenesterne. Fra denne konsol kan du tilbagekalde certifikater og oprette skabeloner.
for at se rodcertifikatet skal du bare højreklikke på servernavnet, vælge Egenskaber og trykke på knappen Vis certifikat
Åbn en bro. ser, og skriv http://localhost/certsrv, og siden Tilmelding til Certifikattjenester skal åbnes. Ved hjælp af denne hjemmeside kan klienter anmode om certifikater, hvis de har de rette tilladelser.
ønsker indhold som dette leveret direkte til din
e-mail-indbakke?