Depois da instalação de uma CA (autoridade de certificação) raiz, muitas organizações instalam uma ou mais autoridades de certificação subordinadas para implementar restrições de diretiva na PKI (infraestrutura de chave pública) e emitir certificados para clientes finais. A utilização de pelo menos uma autoridade de certificação subordinada pode ajudar a proteger a autoridade de certificação raiz contra exposição desnecessária.
Se uma autoridade de certificação subordinada for usada para emitir certificados para usuários ou computadores com contas em um domínio do Active Directory, a instalação da CA subordinada como uma CA corporativa permitirá que você use os dados da conta existente do cliente no AD DS (Serviços de Domínio Active Directory) para emitir e gerenciar certificados e publicar certificados no AD DS.
Ser membro do grupo local Administradores, ou equivalente, é o mínimo necessário para concluir esse procedimento. Se a CA for corporativa, ser membro do grupo Admins. do Domínio, ou equivalente, é o mínimo necessário para concluir esse procedimento. Para obter mais informações, consulte Implementar a administração baseada em função.
 | Para instalar uma CA subordinada |
Abra Gerenciador do Servidor, clique em Adicionar Funções, clique em Avançar e em Serviços de Certificados do Active Directory. Clique duas vezes em Avançar.
Na página Selecionar Serviços de Função, clique em Autoridade de Certificação e em Avançar.
Na página Especificar Tipo de Configuração , clique em Autônoma ou Corporativa e clique em Avançar.
Para obter mais informações, consulte Tipos de Autoridades de Certificação.
Observação Você deve ter uma conexão de rede com um controlador de domínio para instalar uma CA corporativa.
Na página Especificar Tipo de CA, clique em Autoridade de Certificação Subordinada e em Avançar.
Na página Instalar Chave Privada, clique em Criar uma nova chave privada e em Avançar.
Na página Configurar Criptografia, selecione um provedor de serviços criptográficos, comprimento da chave e um algoritmo de hash. Clique em Avançar.
Para obter mais informações, consulte Opções criptográficas para autoridades de certificação.
Na página Solicitar Certificado, procure o local da autoridade de certificação raiz ou, se a CA raiz não estiver conectada à rede, salve a solicitação de certificado em um arquivo para que possa ser processada posteriormente. Clique em Avançar.
Observação A CA subordinada não pode ser usada até a emissão de um certificado da CA raiz e este certificado deve ser usado para concluir a instalação da CA subordinada.
Na página Configurar Nome da CA, crie em um nome exclusivo para identificar a CA. Clique em Avançar.
Para obter mais informações, consulte Nome da Autoridade de Certificação.
Na página Definir Período de Validade, especifique o número de anos ou meses de validade do certificado da CA. Clique em Avançar.
Na página Configurar Banco de Dados do Certificado, aceite os locais padrão, a menos que deseje especificar um local personalizado para o banco de dados do certificado e para o log do banco de dados do certificado. Clique em Avançar.
Para obter mais informações, consulte Banco de Dados de Certificados.
Na página Confirmar Opções de Instalação , examine todas as configurações selecionadas. Se desejar aceitar todas as opções, clique em Instalar e aguarde a conclusão do processo de configuração.