Po instalaci kořenové certifikační autority nainstaluje většina organizací jednu nebo několik podřízených certifikačních autorit za účelem implementace omezení zásad pro infrastrukturu veřejného klíče (PKI) a vydávání certifikátů koncovým klientům. Použití minimálně jedné podřízené certifikační autority umožňuje chránit kořenovou certifikační autoritu před ohrožením.
Pokud bude k vydávání certifikátů uživatelům nebo počítačům s účty v doméně služby Active Directory použita podřízená certifikační autorita, umožní nainstalování podřízené certifikační autority jako podnikové certifikační autority použít existující data o účtu klienta ve službě AD DS (Active Directory Domain Services) k vydání a správě certifikátů a k publikování certifikátů do služby AD DS.
Tento postup mohou provést pouze členové místní skupiny Administrators nebo uživatelé s ekvivalentními oprávněními. Pokud se jedná o podnikovou certifikační autoritu, mohou tento postup provést pouze členové skupiny Domain Admins nebo uživatelé s ekvivalentními oprávněními. Další informace naleznete v tématu Implementace správy založené na rolích.
Instalace podřízené certifikační autority |
Otevřete nástroj Správce serveru, klikněte na možnost Přidat role, klikněte na tlačítko Další a klikněte na možnost Služba AD CS (Active Directory Certificate Services). Klikněte dvakrát na tlačítko Další.
Na stránce Vybrat služby rolí klikněte na možnost Certifikační autorita a klikněte na tlačítko Další.
Na stránce Zadat typ instalace klikněte na možnost Samostatný nebo Rozlehlá síť a klikněte na tlačítko Další.
Další informace naleznete v tématu Typy certifikačních autorit.
Poznámka Podmínkou instalace podnikové certifikační autority je síťové připojení k řadiči domény.
Na stránce Určit typ CA klikněte na možnost Podřízená certifikační autorita a potom klikněte na tlačítko Další.
Na stránce Nastavit privátní klíč klikněte na možnost Vytvořit nový privátní klíč a klikněte na tlačítko Další.
Na stránce Konfigurovat kryptografii vyberte zprostředkovatele kryptografických služeb, délku klíče a algoritmus hash. Klikněte na tlačítko Další.
Další informace naleznete v tématu Kryptografické možnosti pro certifikační autority.
Na stránce Podat žádost o certifikáty vyhledejte procházením kořenovou certifikační autoritu nebo pokud není kořenová certifikační autorita připojena k síti, uložte žádost o certifikát do souboru, aby mohla být zpracována později. Klikněte na tlačítko Další.
Poznámka Podřízenou certifikační autoritu nelze použít, dokud pro ni nebyl vydán certifikát kořenové certifikační autority a dokud tento certifikát nebyl použit pro dokončení procesu instalace podřízené certifikační autority.
Na stránce Konfigurovat název certifikační autority zadejte jedinečný název identifikující certifikační autoritu. Klikněte na tlačítko Další.
Další informace najdete v tématu Vytváření názvů certifikačních autorit.
Na stránce Nastavit období platnosti zadejte počet let nebo měsíců, po které bude certifikát certifikační autority platit. Klikněte na tlačítko Další.
Pokud nechcete zadat vlastní umístění databáze certifikátu a protokolu databáze certifikátu, přijměte výchozí umístění na stránce Konfigurovat databázi certifikátů. Klikněte na tlačítko Další.
Další informace najdete v tématu Databáze certifikátů.
Na stránce Potvrdit vybrané možnosti instalace zkontrolujte všechna nastavení konfigurace, která jste vybrali. Pokud chcete přijmout všechny vybrané možnosti, klikněte na tlačítko Instalovat a počkejte na dokončení procesu instalace.