instalar Autoridade de certificação no Windows Server 2008 R2

Sim, você pode ter sua própria Autoridade de Certificação (CA) e emitir certificados para clientes. A má notícia é que os certificados emitidos pela sua CA interna são confiáveis apenas por seus clientes internos ou por clientes que têm seu certificado raiz importado. Para aplicativos internos, sites etc. Isso é ouro, porque você não precisa por um certificado comercial, mas se você tiver um site HTTPS público, precisará de um certificado comercial. As autoridades de certificação podem ter várias ramificações ou níveis, como CA raiz, depois uma CA subordinada e a última é a CA emissora.Abaixo, criei um diagrama para uma melhor visualização.

a CA raiz emitirá certificados apenas para a CA subordinada e a CA subordinada emitirá certificados apenas para a emissão da CA. A CA emissora é a que emitirá certificados para clientes internos. Você pode, Fora do curso criar mais de três ramificações, mas mesmo essas autoridades de certificação comerciais não estão indo com mais de três. Agora, existem vários tipos de autoridades de certificação para domínios do Windows. O primeiro e o maior é o CA raiz da empresa e, em seguida, o Ca subordinado da empresa. Esses dois tipos são usados somente se você tiver um domínio do Windows implementado em sua rede. Os dois últimos são Ca autônomo empresarial e Ca autônomo subordinado. Eles são usados se você não tiver um domínio do Windows implementado. Agora, a diferença entre Enterprise e Standalone é que, com Enterprise, você tem modelos de certificado e o certificado raiz será implantado automaticamente em todos os clientes. Vou terminar esta introdução agora e começar a trabalhar.

para este guia, tenho um controlador de domínio (DC) executando o Windows Server 2008 R2 e outro Windows Server 2008 R2 (denominado Server-Cert) unido ao domínio, que será nossa CA raiz corporativa. Sim, estou indo com a versão Enterprise, porque é um domínio do Windows e, para pequenas empresas, é mais do que suficiente uma única CA raiz corporativa.

vá para Server-Cert e Open Server Manager; clique com o botão direito em funções e escolha Adicionar Funções.

clique em Avançar para pular a tela de boas-vindas. Na tela Funções, selecione os Serviços de certificado do Active Directory e clique em Avançar.

pule a introdução do AD CS. Na tela Serviços de função, temos a opção de instalar mais do que apenas o serviço de certificado. Para esta demonstração, vou instalar a inscrição na Web da Autoridade de certificação também. Isso nos dará uma página da web para solicitar certificados, e é ótimo, acredite em mim. Assim que você clicar na inscrição na Web da Autoridade de certificação, você será solicitado a instalar alguns pré-requisitos necessários. E, claro, um site para funcionar precisa de um servidor da web. Basta clicar em Adicionar Serviços de Funções necessárias e continuar o assistente.

como se trata de instalar a CA raiz da empresa, basta deixar os padrões aqui e clicar em Avançar.

novamente, deixe os padrões aqui para instalar uma CA raiz.

precisamos criar uma nova chave privada, então clique em Avançar para continuar.

para a CA raiz da empresa, geralmente escolho uma chave de comprimento de 4096 e deixo o restante como padrão.

dê um nome à sua raiz CA. Eu sempre mudo o nome, porque eu realmente odeio o padrão.

selecione um período de validade. Para a CA raiz da empresa, geralmente digito 30 anos.

se você tiver um motivo para alterar o log padrão e o local do banco de dados, faça-o usando os botões procurar. Agora vem a parte de instalação do IIS, basta ir com os padrões e terminar o assistente.

a instalação está concluída. Vá para Ferramentas Administrativas > Autoridade de certificação para abrir o console de gerenciamento dos Serviços de certificado. A partir deste console, você pode revogar certificados e criar modelos.

Para ver o certificado raiz, clique com o botão direito do rato o nome do servidor, escolha Propriedades e clique no botão Exibir Certificados

Abra um navegador e digite http://localhost/certsrv, e os Certificados de Serviços Web de Inscrição de página deve abrir. Usando esta página da web, os clientes podem solicitar certificados, se tiverem as permissões adequadas.

quer conteúdo como este entregue diretamente na sua caixa de entrada de e-mail

?

Leave a Reply

O seu endereço de email não será publicado.