Необхідність у створенні власного локального центру сертифікації з'являється в зв'язку зі зростаючою кількістю сервісів, що використовують захищені протоколи на підприємстві.
До таких сервісів можна віднести поштові, термінальні, сервіси обміну повідомленнями, web-сервіси, в тому числі панелі управління додатками.
Зазвичай цю роль встановлюють на один з контролерів домену, так як ця служба тісно пов'язана з AD, крім того після установки служби вже не можна буде змінювати ім'я комп'ютера і домен.
Тиснемо Next, Next, з'явиться вікно вибору додаткових служб. Додаємо Certification Authority Web Enrollment. Ця служба дозволяє автоматично продовжувати видаються сертифікати через веб-сервіси, тому при виборі відкриється вікно зі списком всіх встановлюваних служб, в тому числі IIS:
Тиснемо Add Required Role Services. Далі майстер пропонує вибрати тип установки - Enterprise (дані про сертифікати зберігаються в AD) або Standalone (дані зберігаються на даному сервері), вибираємо Enterprise.
У наступному вікні вказуємо, що цей сервер перший і кореневої (Root).
Далі вибираємо Create a new private key (Створення нового секретного ключа »).
У наступному вікні майстер пропонує вибрати CSP і алгоритм хешування. За умовчанням вибраний алгоритм SHA1, але виходячи з сьогоднішніх реалій, я б вибрав алгоритм SHA256. Деякі додатки сьогодні, той же Google Chrome, вважає алгоритм SHA1 недостатньо надійним і видає попередження при виявленні такого сертифіката.
У наступному вікні потрібно вибрати ім'я кореневого сертифіката, під яким він буде відображатися в списку кореневих сертифікатів комп'ютера.
Після вибору всіх параметрів видається попередження, що після установки служб сертифікації ім'я сервера і домен не можуть бути змінені!
Тиснемо Install і після установки служб перезавантажуємо сервер.
Повинно відобразитися вікно сервісу із зазначенням в заголовку імені кореневого сертифіката:
Переглядати список виданих сертифікатів та налаштовувати параметри роботи служби можна в оснащенні Certification Authority, яка з'явиться в розділі Administrative Tools.
Тепер можна перевірити, що кореневий сертифікат автоматично завантажився в сховище кореневих сертифікатів комп'ютера / сервера:
Для того, щоб центр сертифікації міг видавати за запитом особисті сертифікати, потрібно налаштувати можливість підключення до нього по https. Для цього запускаємо оснасткуInternet Information Services (IIS) Manager і вибираємо в лівому вікні сайт, в якому створилася служба certsrv, зазвичай це Default Web Site:
Тиснемо на цей сайт правою кнопкою миші і вибираємо Edit Bindings, далі тиснемо Add .... у вікні, в полі Type: вибираємо https, а в поле SSL certificate вибираємо сертифікат сервера, виданий нашим ЦС:
Тиснемо OK і правій панелі - Restart для перезапуску сайту. Після цього в правому вікні в розділі Browse Web Site повинна з'явитися строчка Browse *: 443 (https).
Тепер можна спробувати зайти на наш ЦС через https:
