zainstaluj urząd certyfikacji w systemie Windows Server 2008 R2
Tak, możesz mieć własny urząd certyfikacji (CA) i wydawać certyfikaty dla klientów. Złą wiadomością jest to, że certyfikaty wystawione przez wewnętrzny urząd certyfikacji są zaufane tylko przez klientów wewnętrznych lub klientów, którzy mają importowany certyfikat główny. W przypadku aplikacji wewnętrznych, witryn itp. Jest to złoto, ponieważ nie musisz mieć certyfikatu komercyjnego, ale jeśli masz publiczną witrynę HTTPS, będziesz potrzebował certyfikatu komercyjnego. Urzędy certyfikacji mogą mieć wiele konsekwencji lub poziomów, takich jak Główny Urząd certyfikacji, następnie podległy urząd certyfikacji, a ostatnim jest urząd certyfikacji wystawiający.Poniżej stworzyłem diagram dla lepszej wizualizacji.
główny urząd certyfikacji wystawia certyfikaty tylko dla podległego urzędu certyfikacji, a podległy urząd certyfikacji wystawia certyfikaty tylko dla wystawienia urzędu certyfikacji. Urząd certyfikacji wystawiający certyfikaty dla klientów wewnętrznych. Możesz oczywiście stworzyć więcej niż trzy konsekwencje, ale nawet te urzędy certyfikacji reklam nie będą miały więcej niż trzech. Obecnie istnieje wiele rodzajów urzędów certyfikacji dla domen Windows. Pierwszym i większym jest Enterprise Root CA, a następnie Enterprise Subsidential CA. Te dwa typy są używane tylko wtedy, gdy w sieci jest zaimplementowana domena systemu Windows. Dwa ostatnie to Enterprise Standalone CA i Subsidential Standalone CA. Są one używane, jeśli nie masz zaimplementowanej domeny Windows. Teraz różnica między Enterprise a Standalone polega na tym, że w Enterprise masz Szablony certyfikatów, a certyfikat główny zostanie automatycznie wdrożony dla wszystkich klientów. Zakończę to wprowadzenie i zacznę pracować.
W tym przewodniku mam kontroler domeny (DC) z systemem Windows Server 2008 R2, a inny Windows Server 2008 R2 (o nazwie Server-Cert) dołączył do domeny, która będzie naszym głównym OK. Tak, idę z wersją Enterprise, ponieważ jest domeną Windows, a dla małych firm jest więcej niż wystarczające pojedynczy korzeń przedsiębiorstwa CA.
przejdź do Server-Cert i otwórz Server Manager; kliknij prawym przyciskiem myszy role i wybierz Dodaj role.
kliknij Dalej, aby pominąć ekran powitalny. Na ekranie role wybierz Usługi certyfikatów Active Directory i kliknij przycisk Dalej.
Pomiń wprowadzenie AD CS. Na ekranie usługi ról mamy możliwość zainstalowania czegoś więcej niż tylko usługi certyfikatów. W tym celu zainstaluję również rejestrację internetową urzędu certyfikacji. To da nam stronę internetową z prośbą o certyfikaty, i to jest świetne, uwierz mi. Po kliknięciu rejestracji internetowej urzędu certyfikacji zostaniesz poproszony o zainstalowanie niektórych wymaganych warunków wstępnych. I oczywiście strona internetowa do działania potrzebuje serwera www. Wystarczy kliknąć Dodaj wymagane usługi ról i kontynuować Kreator.
ponieważ chodzi o instalację Enterprise Root CA, po prostu zostaw domyślne tutaj i kliknij Dalej.
ponownie pozostaw domyślne tutaj, aby zainstalować główny urząd certyfikacji.
musimy utworzyć nowy klucz prywatny, więc kliknij Dalej, aby kontynuować.
dla głównego CA przedsiębiorstwa zwykle wybieram klucz długości 4096 i pozostawiam resztę domyślną.
nadaj nazwę Root CA. Zawsze zmieniam nazwę, bo naprawdę nienawidzę tej domyślnej.
wybierz okres ważności. W przypadku Enterprise Root CA Zwykle wpisuję 30 lat.
jeśli masz powód, aby zmienić domyślną lokalizację dziennika i bazy danych, zrób to za pomocą przycisków Przeglądaj. Teraz przychodzi część instalacyjna usługi IIS, po prostu przejdź do ustawień domyślnych i zakończ Kreator.
Instalacja zakończona. Przejdź do Narzędzia administracyjne > urząd certyfikacji, aby otworzyć konsolę zarządzania dla usług certyfikatów. Z tej konsoli można odwołać certyfikaty i tworzyć szablony.
aby zobaczyć certyfikat główny, kliknij prawym przyciskiem myszy nazwę serwera, wybierz Właściwości i naciśnij przycisk Wyświetl certyfikat
Otwórz przeglądarkę i wpisz http://localhost/certsrv, a powinna zostać otwarta strona rejestracji internetowej usług certyfikatów. Korzystając z tej strony klienci mogą żądać certyfikatów, jeśli mają odpowiednie uprawnienia.
chcesz, aby takie treści były dostarczane bezpośrednio do twojej skrzynki e-mail
?