Po zainstalowaniu głównego urzędu certyfikacji wiele organizacji instaluje jeden lub więcej podrzędnych urzędów certyfikacji, aby zaimplementować ograniczenia zasad w infrastrukturze kluczy publicznych (PKI) oraz aby wystawiać certyfikaty klientom końcowym. Używanie co najmniej jednego podrzędnego urzędu certyfikacji ułatwia ochronę głównego urzędu certyfikacji przed niepotrzebnym ujawnieniem.

Jeśli do wystawiania certyfikatów użytkownikom lub komputerom mającym konta w domenie usługi Active Directory będzie używany podrzędny urząd certyfikacji, zainstalowanie podrzędnego urzędu certyfikacji jako urzędu certyfikacji przedsiębiorstwa umożliwia wystawianie certyfikatów, zarządzanie nimi i publikowanie ich w usługach domenowych w usłudze Active Directory (AD DS) przy użyciu danych istniejącego konta klienta w usługach AD DS.

Wymaganym minimum do wykonania tej procedury jest przynależność do lokalnej grupy Administratorzy lub równoważnej. W przypadku urzędu certyfikacji przedsiębiorstwa minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Administratorzy domeny lub równoważnej. Aby uzyskać więcej informacji, zobacz temat Implementowanie administrowania opartego na rolach.

Aby zainstalować podrzędny urząd certyfikacji
  1. Otwórz program Menedżer serwera, kliknij opcję Dodaj role, kliknij przycisk Dalej i kliknij opcję Usługi certyfikatów w usłudze Active Directory. Kliknij dwa razy przycisk Dalej.

  2. Na stronie Wybieranie usług ról kliknij opcję Urząd certyfikacji, a następnie kliknij przycisk Dalej.

  3. Na stronie Określanie typu instalacji kliknij opcję Autonomiczny lub Przedsiębiorstwo, a następnie kliknij przycisk Dalej.

    Aby uzyskać więcej informacji, zobacz temat Typy urzędów certyfikacji.

    Uwaga

    Do zainstalowania urzędu certyfikacji przedsiębiorstwa jest niezbędne połączenie sieciowe z kontrolerem domeny.

  4. Na stronie Określanie typu urzędu certyfikacji kliknij opcję Podrzędny urząd certyfikacji, a następnie kliknij przycisk Dalej.

  5. Na stronie Konfigurowanie klucza prywatnego kliknij opcję Utwórz nowy klucz prywatny, a następnie kliknij przycisk Dalej.

  6. Na stronie Konfigurowanie kryptografii wybierz dostawcę usług kryptograficznych, długość klucza i algorytm wyznaczania wartości skrótu. Kliknij przycisk Dalej.

    Aby uzyskać więcej informacji, zobacz temat Opcje kryptograficzne dla urzędów certyfikacji.

  7. Na stronie Żądanie certyfikatu znajdź główny urząd certyfikacji lub, jeśli główny urząd certyfikacji nie ma połączenia z siecią, zapisz żądanie certyfikatu w pliku, aby umożliwić jego przetworzenie w późniejszym czasie. Kliknij przycisk Dalej.

    Uwaga

    Nie można używać podrzędnego urzędu certyfikacji, dopóki główny urząd certyfikacji nie wystawi mu certyfikatu i dopóki ten certyfikat nie zostanie użyty do zakończenia instalacji podrzędnego urzędu certyfikacji.

  8. Na stronie Konfigurowanie nazwy urzędu certyfikacji utwórz unikatową nazwę służącą do identyfikowania urzędu certyfikacji. Kliknij przycisk Dalej.

    Aby uzyskać więcej informacji, zobacz temat Nazewnictwo urzędów certyfikacji.

  9. Na stronie Ustawianie okresu ważności określ liczbę lat lub miesięcy, przez które certyfikat urzędu certyfikacji będzie ważny. Kliknij przycisk Dalej.

  10. Na stronie Konfigurowanie bazy danych certyfikatów zaakceptuj domyślne lokalizacje, chyba że chcesz określić niestandardową lokalizację bazy danych certyfikatów i dziennika bazy danych certyfikatów. Kliknij przycisk Dalej.

    Aby uzyskać więcej informacji, zobacz temat Baza danych certyfikatów.

  11. Na stronie Potwierdzanie opcji instalacji przejrzyj wszystkie wybrane ustawienia konfiguracji. Jeśli chcesz zaakceptować wszystkie te opcje, kliknij przycisk Zainstaluj i zaczekaj na zakończenie procesu instalacji.


Spis treści