Installare l’autorità di certificazione in Windows Server 2008 R2
Sì, è possibile avere la propria Autorità di certificazione (CA) e rilasciare certificati per i clienti. La cattiva notizia è che i certificati emessi dalla CA interna sono considerati attendibili solo dai client interni o dai client a cui è stato importato il certificato principale. Per le applicazioni interne, i siti ecc. questo è oro, perché non è necessario un certificato commerciale, ma se si dispone di un sito HTTPS pubblico è necessario un certificato commerciale. Le autorità di certificazione possono avere ramificazioni o livelli multipli, come la CA principale, quindi una CA subordinata e l’ultima è la CA emittente.Qui sotto ho creato un diagramma per una migliore visualizzazione.
La CA principale emetterà certificati solo per la CA subordinata e la CA Subordinata emetterà certificati solo per la CA Emittente. La CA emittente è quella che emetterà certificati per i client interni. È possibile, fuori corso creare più di tre ramificazioni, ma anche quelle autorità di certificazione spot non stanno andando con più di tre. Ora ci sono più tipi di autorità di certificazione per i domini Windows. Il primo e il più grande è Enterprise Root CA, quindi è Enterprise Subordinate CA. Questi due tipi vengono utilizzati solo se si dispone di un dominio Windows implementato nella rete. Gli ultimi due sono la CA autonoma aziendale e la CA autonoma subordinata. Questi vengono utilizzati se non si dispone di un dominio Windows implementato. Ora la differenza tra Enterprise e Standalone è che con Enterprise hai modelli di certificato e il certificato principale verrà automaticamente distribuito a tutti i client. Finirò questa introduzione ora, e iniziare a lavorare.
Per questa guida ho un controller di dominio (DC) che esegue Windows Server 2008 R2 e un altro Windows Server 2008 R2 (denominato Server-Cert) unito al dominio, che sarà la nostra CA root aziendale. Sì, sto andando con la versione Enterprise, perché è un dominio Windows, e per le piccole imprese è più che sufficiente una singola CA radice aziendale.
Vai a Server-Cert e apri Server Manager; fai clic con il pulsante destro del mouse su Ruoli e scegli Aggiungi ruoli.
Fare clic su Avanti per saltare la schermata di benvenuto. Nella schermata Ruoli selezionare Active Directory Certificate Services e fare clic su Avanti.
Salta l’introduzione di AD CS. Nella schermata Servizi ruolo abbiamo la possibilità di installare più di un semplice servizio di certificato. Per questa dimostrazione ho intenzione di installare l’Autorità di certificazione Web Iscrizione troppo. Questo ci darà una pagina web per richiedere i certificati, ed è fantastico, credimi. Non appena si fa clic sull’Autorità di certificazione Web Iscrizione vi verrà chiesto di installare alcuni prerequisiti richiesti. E fuori corso un sito web per funzionare ha bisogno di un server web. Basta fare clic su Aggiungi servizi ruoli richiesti e continuare la procedura guidata.
Poiché si tratta di installare Enterprise Root CA, basta lasciare i valori predefiniti qui e fare clic su Avanti.
Ancora una volta lasciare i valori predefiniti qui per installare una CA Root.
Dobbiamo creare una nuova chiave privata, quindi fare clic su Avanti per continuare.
Per Enterprise Root CA di solito scelgo una chiave di lunghezza di 4096 e lascio il resto per impostazione predefinita.
Dai un nome alla tua Root CA. Cambio sempre il nome, perché odio davvero quello predefinito.
Selezionare un periodo di validità. Per la radice aziendale CA I di solito digita 30 anni.
Se si dispone di un motivo per modificare il registro di default e la posizione del database, farlo utilizzando i pulsanti Sfoglia. Ora arriva la parte di installazione di IIS, basta andare con i valori predefiniti e finire la procedura guidata.
L’installazione è fatta. Accedere a Strumenti di amministrazione > Autorità di certificazione per aprire la console di gestione per i servizi di certificazione. Da questa console è possibile revocare i certificati e creare modelli.
Per vedere il certificato principale basta fare clic destro sul nome del server, scegliere Proprietà e premere il pulsante Visualizza certificato
Aprire un browser e digitare http://localhost/certsrv, quindi aprire la pagina di registrazione Web Certificates Services. Utilizzando questa pagina Web i client possono richiedere certificati, se dispongono delle autorizzazioni appropriate.
Vuoi contenuti come questo consegnati direttamente alla tua casella di posta
?