instalați Autoritatea de certificare în Windows Server 2008 R2
Da, puteți avea propria autoritate de certificare (CA) și puteți emite certificate pentru clienți. Vestea proastă este că certificatele emise de CA-ul dvs. intern sunt de încredere numai de clienții dvs. interni sau de clienții care au importat certificatul dvs. root. Pentru aplicații interne, site-uri etc Acest lucru este de aur, pentru că nu trebuie să printr-un certificat comercial, dar dacă aveți un site HTTPS publice veți avea nevoie de un certificat comercial. Autoritățile de certificare pot avea mai multe ramificații sau niveluri, cum ar fi ca rădăcină, apoi ca subordonată, iar ultima este ca emitentă.Mai jos am creat o diagramă pentru o vizualizare mai bună.
Root CA va emite certificate numai pentru ca subordonat, iar ca subordonat va emite certificate numai pentru emiterea CA. CA emitent este cel care va emite certificate pentru clienții interni. Puteți, desigur crea mai mult de trei ramificații, dar chiar și acele reclame autoritățile de certificare nu merg cu mai mult de trei. Acum există mai multe tipuri de autorități de certificare pentru domeniile Windows. Primul și cel mai mare este Enterprise Root CA, apoi este Enterprise subordonate ca. Aceste două tipuri sunt utilizate numai dacă aveți un domeniu Windows implementat în rețeaua dvs. Ultimele două sunt Enterprise Standalone ca și subordonate Standalone ca. Acestea sunt utilizate dacă nu aveți un domeniu Windows implementat. Acum, diferența dintre Enterprise și Standalone este că cu Enterprise aveți șabloane de certificate, iar certificatul root va fi implementat automat tuturor clienților. Voi încheia această introducere acum și voi începe să lucrez.
pentru acest ghid am un controler de domeniu (DC) care rulează Windows Server 2008 R2 și un alt Windows Server 2008 R2 (numit Server-Cert) alăturat domeniului, care va fi rădăcina noastră de întreprindere CA. Da, merg cu versiunea Enterprise, deoarece este un domeniu Windows, iar pentru întreprinderile mici este mai mult decât suficientă o singură rădăcină de întreprindere CA.
accesați Server-Cert și deschideți Server Manager; faceți clic dreapta pe roluri și alegeți Adăugați roluri.
Faceți clic pe Următorul pentru a sări peste ecranul de întâmpinare. Pe ecranul roluri selectați Active Directory Certificate Services și faceți clic pe Următorul.
săriți introducerea AD CS. Pe ecranul servicii de rol avem opțiunea de a instala mai mult decât serviciul de certificate. Pentru această demonstrație am de gând să instalați Autoritatea de certificare Web Înscriere prea. Acest lucru ne va oferi o pagină web pentru a solicita certificate și este minunat, credeți-mă. De îndată ce faceți clic pe Autoritatea de certificare Înscriere Web vi se va cere să instalați unele cerințe preliminare necesare. Și, desigur, un site web pentru a funcționa are nevoie de un server web. Doar faceți clic pe Adăugați servicii de roluri necesare și continuați expertul.
deoarece este vorba despre instalarea Enterprise Root CA, lăsați valorile implicite aici și faceți clic pe Următorul.
lăsați din nou valorile implicite aici pentru a instala o rădăcină ca.
trebuie să creăm o nouă cheie privată, așa că faceți clic pe Următorul pentru a continua.
pentru Enterprise Root CA aleg de obicei o cheie de lungime de 4096 și Las restul la implicit.
dă rădăcină ca un nume. Întotdeauna schimb numele, pentru că îl urăsc cu adevărat pe cel implicit.
Selectați o perioadă de valabilitate. Pentru Enterprise Root ca am de obicei Tip 30 ani.
dacă aveți un motiv pentru a schimba Jurnalul implicit și locația bazei de date, faceți-o folosind butoanele Răsfoire. Acum vine partea de instalare IIS, trebuie doar să mergeți cu valorile implicite și să terminați expertul.
instalarea se face. Accesați Instrumente Administrative > Autoritatea de certificare pentru a deschide consola de administrare pentru serviciile de Certificate. Din această consolă puteți revoca certificatele și crea șabloane.
pentru a vedea certificatul rădăcină, faceți clic dreapta pe numele serverului, alegeți Proprietăți și apăsați butonul Vizualizați certificatul
deschideți un browser și tastați http://localhost/certsrv, iar pagina de înscriere Web Certificate Services ar trebui să se deschidă. Folosind această pagină web, clienții pot solicita certificate, dacă au permisiunile corespunzătoare.
doriți ca acest conținut să fie livrat direct în căsuța de e-mail
?