Windows Server2008R2に証明機関をインストールする
はい、独自の証明機関(CA)を持ち、クライアントに証明書を発行することができます。 悪いニュースは、内部CAによって発行された証明書は、内部クライアントまたはルート証明書がインポートされているクライアントによってのみ信頼され 内部アプリケーション、サイトなどの場合は、商用証明書を使用する必要がないため、これは金ですが、公開HTTPSサイトがある場合は商用証明書が必要です。 証明機関は、ルートCA、下位CA、および最後のcaのように、複数の影響またはレベルを持つことができ、最後のcaは発行元CAです。以下は、より良い視覚化のための図を作成しました。
ルートCAは下位CAに対してのみ証明書を発行し、下位CAはCAを発行するためだけに証明書を発行します。 発行元CAは、内部クライアントの証明書を発行するCAです。 あなたは、もちろん、三つ以上の影響を作成することができますが、でも、これらのコマーシャル認定当局は三つ以上で行くことはありません。 現在、Windowsドメインの証明機関には複数の種類があります。 最初のものと大きなものはエンタープライズルートCAであり、次にエンタープライズ下位CAです。 これらの2つのタイプは、ネットワークにWindowsドメインが実装されている場合にのみ使用されます。 最後の2つは、Enterprise Standalone CAと下位Standalone CAです。 これらは、Windowsドメインが実装されていない場合に使用されます。 EnterpriseとStandaloneの違いは、Enterpriseでは証明書テンプレートがあり、ルート証明書が自動的にすべてのクライアントに展開されることです。 私は今、この導入を終了し、作業を開始します。このガイドでは、Windows Server2008R2を実行しているドメインコントローラ(DC)と、別のWindows Server2008R2(Server-Certという名前)がドメインに参加しています。 はい、私はエンタープライズバージョンで行くよ,Windowsドメインであるため、,そして中小企業のために十分な単一のエンタープライズルートCA以上のものです.
Server-Certに移動し、サーバーマネージャを開きます。
“次へ”をクリックして、ようこそ画面をスキップします。 [役割]画面で、Active Directory証明書サービスを選択し、[次へ]をクリックします。
広告CSの導入をスキップします。 役割サービス画面では、証明書サービスだけでなく、複数のサービスをインストールするオプションがあります。 このデモでは、Certification Authority Web Enrollmentもインストールします。 これは私たちに証明書を要求するためのwebページを与えるでしょう、そしてそれは素晴らしいことです、私を信じてください。 Certification Authority Web Enrollmentをクリックするとすぐに、いくつかの必要な前提条件をインストールするように求められます。 そしてもちろん、機能するwebサイトにはwebサーバーが必要です。 必要な役割サービスの追加をクリックして、ウィザードを続行します。
これはEnterprise Root CAのインストールに関するものなので、ここでデフォルトのままにして次へをクリックします。
ここでもデフォルトのままにして、ルートCAをインストールします。
新しい秘密鍵を作成する必要があるため、[次へ]をクリックして続行します。
Enterprise Root CAの場合、通常は4096の長さキーを選択し、残りはデフォルトのままにします。
ルートCAに名前を付けます。 私は本当にデフォルトのものが嫌いなので、私はいつも名前を変更します。
有効期間を選択します。 エンタープライズルートCAの場合、私は通常30年と入力します。
デフォルトのログとデータベースの場所を変更する理由がある場合は、参照ボタンを使用して変更します。 今すぐIISのインストール部分が来て、ちょうどデフォルトで行くとウィザードを終了します。
インストールが完了しました。 管理ツール>証明機関に移動して、証明書サービスの管理コンソールを開きます。 このコンソールから、証明書を取り消したり、テンプレートを作成したりすることができます。
ルート証明書を表示するには、サーバー名を右クリックし、プロパティを選択し、[証明書の表示]ボタンを押します
ブラウザを開き、http://localhost/certsrvと入力すると、証明書サービスのWeb登録ページが開きます。 このwebページを使用すると、クライアントは適切な権限を持っている場合に証明書を要求できます。
このようなコンテンツをあなたの
電子メールの受信トレイに正しく配信したいですか?