Necesitatea creării propriului centru de certificare locală apare în legătură cu numărul tot mai mare de servicii care utilizează protocoale securizate în cadrul întreprinderii.
Aceste servicii includ servicii poștale, terminale, de mesagerie, servicii web, inclusiv panouri de control al aplicațiilor.
De obicei, acest rol este instalat pe unul dintre controlerele de domeniu, deoarece acest serviciu este asociat îndeaproape cu AD, în plus, după instalarea serviciului, nu mai puteți schimba numele și domeniul computerului.
Faceți clic pe Următorul, Următorul, apare o fereastră pentru selectarea serviciilor suplimentare. Adăugați înscrierea pe web a autorității de certificare. Acest serviciu vă permite să reînnoiți automat certificatele emise prin intermediul serviciilor web, astfel încât atunci când îl selectați, se deschide o fereastră cu o listă a tuturor serviciilor pe care le instalați, inclusiv IIS:
Dați clic pe Adăugați servicii de roluri solicitate. Apoi, expertul vă oferă posibilitatea de a alege tipul de instalare - Enterprise (datele de certificat sunt stocate în AD) sau Standalone (datele sunt stocate pe acest server), selectați Enterprise.
În fereastra următoare, indicați că acest server este primul și rădăcina (Root).
Apoi, alegeți Crearea unei noi chei private.
În fereastra următoare, expertul vă cere să selectați algoritmul CSP și hash. În mod implicit, algoritmul SHA1 este ales, dar pe baza realităților de astăzi, aș alege algoritmul SHA256. Unele aplicații de astăzi, același Google Chrome, consideră că algoritmul SHA1 nu este suficient de fiabil și oferă un avertisment atunci când se găsește un astfel de certificat.
În fereastra următoare, trebuie să selectați numele certificatului rădăcină, sub care acesta va fi afișat în lista certificatelor rădăcină ale computerului.
După selectarea tuturor setărilor, se emite un avertisment că după instalarea serviciilor de certificare, numele serverului și domeniul nu pot fi modificate!
Faceți clic pe Instalați și după instalarea serviciilor, reporniți serverul.
Ar trebui să vedeți o fereastră de serviciu cu certificatul rădăcină din antet:
Puteți vizualiza lista certificatelor emise și configurați setările de servicii din modulul snap-in Autoritatea de certificare, care apare în secțiunea Instrumente de administrare.
Acum puteți verifica dacă certificatul rădăcină a fost încărcat automat în magazinul rădăcină rădăcină computer / server:
Pentru ca CA să emită certificate personale la cerere, trebuie să configurați abilitatea de a vă conecta la acesta prin https. Pentru aceasta, porniți modulul snap-in Manager Internet Services (IIS) Manager și selectați site-ul în care a fost creat serviciul certsrv în fereastra din stânga, de obicei site-ul Web implicit:
Faceți clic pe acest site cu butonul din dreapta al mouse-ului și selectați Editare legături, apoi faceți clic pe Adăugați .... în fereastra deschisă în câmpul Tip: selectați https, iar în câmpul certificat SSL selectați certificatul de server emis de CA:
Faceți clic pe OK și pe panoul din dreapta - Reporniți pentru a reporni site-ul. După aceea, în fereastra din dreapta din secțiunea Răsfoire site Web, ar trebui să vedeți linia Răsfoire *: 443 (https).
Acum puteți încerca să vizitați CA prin https:
