Installieren der Zertifizierungsstelle in Windows Server 2008 R2
Ja, Sie können Ihre eigene Zertifizierungsstelle (CA) haben und Zertifikate für Clients ausstellen. Die schlechte Nachricht ist, dass von Ihrer internen Zertifizierungsstelle ausgestellte Zertifikate nur von Ihren internen Clients oder von Clients, bei denen Ihr Stammzertifikat importiert wurde, als vertrauenswürdig eingestuft werden. Für interne Anwendungen, Websites usw. ist dies Gold wert, da Sie kein kommerzielles Zertifikat benötigen, aber wenn Sie eine öffentliche HTTPS-Site haben, benötigen Sie ein kommerzielles Zertifikat. Zertifizierungsstellen können mehrere Verzweigungen oder Ebenen haben, z. B. die Stammzertifizierungsstelle, dann eine untergeordnete Zertifizierungsstelle, und die letzte ist die ausstellende Zertifizierungsstelle.Unten habe ich ein Diagramm zur besseren Visualisierung erstellt.
Die Stammzertifizierungsstelle stellt Zertifikate nur für die untergeordnete Zertifizierungsstelle aus, und die untergeordnete Zertifizierungsstelle stellt Zertifikate nur für die ausstellende Zertifizierungsstelle aus. Die ausstellende Zertifizierungsstelle ist diejenige, die Zertifikate für interne Clients ausstellt. Sie können natürlich mehr als drei Verzweigungen erstellen, aber selbst diejenigen, die Zertifizierungsstellen sind nicht mit mehr als drei gehen. Jetzt gibt es mehrere Arten von Zertifizierungsstellen für Windows-Domänen. Die erste und die größere ist Enterprise Root CA, dann ist Enterprise Subordinate CA. Diese beiden Typen werden nur verwendet, wenn in Ihrem Netzwerk eine Windows-Domäne implementiert ist. Die letzten beiden sind Enterprise Standalone CA und Subordinate Standalone CA. Diese werden verwendet, wenn Sie keine Windows-Domäne implementiert haben. Der Unterschied zwischen Enterprise und Standalone besteht nun darin, dass Sie mit Enterprise über Zertifikatvorlagen verfügen und das Stammzertifikat automatisch für alle Clients bereitgestellt wird. Ich werde diese Einführung jetzt beenden und anfangen zu arbeiten.
Für dieses Handbuch habe ich einen Domänencontroller (DC), auf dem Windows Server 2008 R2 ausgeführt wird, und einen anderen Windows Server 2008 R2 (mit dem Namen Server-Cert), der der Domäne beigetreten ist, die unsere Unternehmensstammzertifizierungsstelle sein wird. Ja, ich werde mit der Enterprise-Version, weil ist eine Windows-Domäne, und für kleine Unternehmen ist mehr als ausreichend, um eine einzige Enterprise-Root-Ca.
Gehen Sie zu Server-Cert und öffnen Sie den Server-Manager.
Klicken Sie auf Weiter, um den Begrüßungsbildschirm zu überspringen. Wählen Sie auf dem Bildschirm Rollen die Active Directory-Zertifikatdienste aus, und klicken Sie auf Weiter.
Überspringen Sie die Einführung von AD CS. Auf dem Bildschirm Rollendienste haben wir die Möglichkeit, mehr als nur den Zertifikatdienst zu installieren. Für diese Demonstration werde ich auch die Web-Registrierung der Zertifizierungsstelle installieren. Dies gibt uns eine Webseite, um Zertifikate anzufordern, und es ist großartig, glauben Sie mir. Sobald Sie auf die Webregistrierung der Zertifizierungsstelle klicken, werden Sie aufgefordert, einige erforderliche Voraussetzungen zu installieren. Und natürlich braucht eine Website, um zu funktionieren, einen Webserver. Klicken Sie einfach auf Erforderliche Rollendienste hinzufügen und fahren Sie mit dem Assistenten fort.
Da es sich hier um die Installation der Stammzertifizierungsstelle für Unternehmen handelt, belassen Sie einfach die Standardeinstellungen hier und klicken Sie auf Weiter.
Lassen Sie die Standardeinstellungen hier, um eine Root-Zertifizierungsstelle zu installieren.
Wir müssen einen neuen privaten Schlüssel erstellen, also klicken Sie auf Weiter, um fortzufahren.
Für Enterprise Root CA wähle ich normalerweise einen Längenschlüssel von 4096 und überlasse den Rest dem Standard.
Geben Sie Ihrer Stammzertifizierungsstelle einen Namen. Ich ändere immer den Namen, weil ich den Standard wirklich hasse.
Wählen Sie einen Gültigkeitszeitraum. Für Enterprise Root CA tippe ich normalerweise 30 Jahre.
Wenn Sie einen Grund haben, den Standardprotokoll- und Datenbankspeicherort zu ändern, verwenden Sie die Schaltflächen Durchsuchen. Jetzt kommt der IIS-Installationsteil, gehen Sie einfach mit den Standardeinstellungen und beenden Sie den Assistenten.
Die Installation ist abgeschlossen. Gehen Sie zu Verwaltung > Zertifizierungsstelle, um die Verwaltungskonsole für die Zertifikatdienste zu öffnen. Über diese Konsole können Sie Zertifikate widerrufen und Vorlagen erstellen.
Um das Stammzertifikat anzuzeigen, klicken Sie einfach mit der rechten Maustaste auf den Servernamen, wählen Sie Eigenschaften und klicken Sie auf die Schaltfläche Zertifikat anzeigen
Öffnen Sie einen Browser und geben Sie http://localhost/certsrv ein. Über diese Webseite können Clients Zertifikate anfordern, wenn sie über die entsprechenden Berechtigungen verfügen.
Möchten Sie Inhalte wie diese direkt an Ihren
E-Mail-Posteingang senden?