installera certifikatutfärdare i Windows Server 2008 R2
Ja, du kan ha din egen certifikatutfärdare (CA) och utfärda certifikat för kunder. Den dåliga nyheten är att certifikat som utfärdats av din interna certifikatutfärdare endast är betrodda av dina interna klienter eller av klienter som har ditt rotcertifikat importerat. För interna applikationer, webbplatser etc är detta guld, eftersom du inte behöver med ett kommersiellt certifikat, men om du har en offentlig HTTPS-webbplats behöver du ett kommersiellt certifikat. Certifieringsmyndigheter kan ha flera förgreningar eller nivåer, som Root CA, sedan en underordnad CA, och den sista är den utfärdande CA.Bellow jag skapade ett diagram för en bättre visualisering.
rotcertifikatutfärdare utfärdar certifikat endast för underordnade certifikatutfärdare, och underordnade certifikatutfärdare utfärdar certifikat endast för utfärdande av certifikatutfärdare. Den utfärdande CA är den som kommer att utfärda certifikat för interna kunder. Du kan naturligtvis skapa mer än tre förgreningar, men även de reklamcertifieringsmyndigheterna kommer inte med mer än tre. Nu finns det flera typer av certifieringsmyndigheter för Windows-domäner. Den första och den större är Enterprise Root CA, då är Enterprise underordnad CA. Dessa två typer används endast om du har en Windows-domän implementerad i ditt nätverk. De två sista är Enterprise Standalone CA och underordnad fristående CA. Dessa används om du inte har en Windows-domän implementerad. Nu är skillnaden mellan Enterprise och Standalone att med Enterprise har du certifikatmallar, och rotcertifikatet distribueras automatiskt till alla klienter. Jag kommer att avsluta denna introduktion nu, och börja arbeta.
för den här guiden har jag en domänkontrollant (DC) som kör Windows Server 2008 R2 och en annan Windows Server 2008 R2 (namngiven Server-Cert) ansluten till domänen, som kommer att vara vår Enterprise Root CA. Ja, jag går med Enterprise-versionen, för är en Windows-domän, och för småföretag är mer än tillräckligt en enda Enterprise Root CA.
gå till Server-Cert och öppna Server Manager; högerklicka på roller och välj Lägg till Roller.
klicka på Nästa för att hoppa över välkomstskärmen. På skärmen Roller väljer du Active Directory Certificate Services och klickar på Nästa.
hoppa över introduktionen av AD CS. På skärmen Rolltjänster har vi möjlighet att installera mer än bara certifikattjänsten. För denna demonstration ska jag också installera Certifikatutfärdarens webbregistrering. Detta ger oss en webbsida för att begära certifikat, och det är bra, tro mig. Så snart du klickar på Certifikatutfärdarens webbregistrering kommer du att bli ombedd att installera några nödvändiga förutsättningar. Och naturligtvis en webbplats för att fungera behöver en webbserver. Klicka bara på Lägg till nödvändiga roller tjänster och fortsätta guiden.
eftersom det handlar om att installera Enterprise Root CA, lämna bara standardinställningarna här och klicka på Nästa.
återigen lämna standardinställningarna här för att installera en Root CA.
vi måste skapa en ny privat nyckel, så klicka på Nästa för att fortsätta.
för Enterprise Root CA väljer jag vanligtvis en längdnyckel på 4096 och lämnar resten till standard.
ge din rot CA ett namn. Jag ändrar alltid namnet, för jag hatar verkligen standard.
välj en giltighetsperiod. För Enterprise Root CA skriver jag vanligtvis 30 år.
om du har en anledning att ändra standardloggen och databasplatsen gör du det med hjälp av bläddringsknapparna. Nu kommer IIS-installationsdelen, gå bara med standardinställningarna och avsluta guiden.
installationen är klar. Gå till Administrationsverktyg > certifikatutfärdare för att öppna hanteringskonsolen för Certifikattjänsterna. Från den här konsolen kan du återkalla certifikat och skapa mallar.
för att se rotcertifikatet högerklickar du bara på servernamnet, väljer Egenskaper och trycker på knappen Visa certifikat
öppna en webbläsare och skriv http://localhost/certsrv, och Certificate Services Web Enrollment-sidan ska öppnas. Med hjälp av denna webbsida kan klienter begära certifikat, om de har rätt behörigheter.
vill innehåll som detta levereras direkt till din e-postinkorg
?