Windows 2016 PKI CA Cert Server
Hogyan telepítsük a Microsoft Active Directory Certificate Services-t (AD CS) Windows 2016 Serverre?
Miért is jó ez? Azért mert a saját domain környezetünkben CA-t (certification Authory, hitelesítésszolgáltató) használunk. Ezáltal a domainban használt szervereink, klienseink automatikusan (GPO) kérnek és kapnak is a saját CA-tól tanúsítványokat.
Első lépésként adjuk hozzá szerverünkhöz az AD CS szerepkört:
Nyissuk meg a Server Manager-t, majd Manage -> Add Roles and Features
Role-based or feature-based installation, Next
Válaszd ki azt a szervert amire telepíteni szeretnéd, majd Next
Válaszd ki az Active Directory Certificate Services-t majd Next:
A felugró ablakban jelöld be az Include management tools-t, majd Add Features: 
Majd Next
Nem szükséges a következő ablakban semmit kijelölni, csak Next:
Csak Next:
Válaszd ki a szervizeket amiket telepíteni szeretnél. A Certificate Authority a minimum, majd Next:
Indítsa újra a szervert ha szükséges (nem lesz), majd Install:
Ha végzett a telepítéssel, Close:
AD CS Post-Deployment konfigurálás:
A Server Managerben az Értesítéseknél kattints a Configure the Active Directory Certificate Services on this server üzenetre:
Válasszuk ki azt a felhasználót, aminek a nevében konfiguráljuk a szerepkört, majd Next:
Válasszuk a Certification Authority-t (mivel domaines a cert server), majd Next:
Mivel nincs más PKI szerver a hálózatban, így válasszuk a Root CA, majd Next:
Készítsünk új privát kulcsot, majd Next:
Adjuk meg a titkosítási algoritmust, majd Next:
Ne válaszd az SHA1-et, mert elavult, helyette válasszuk ki az SHA256-ot
A mezők már ki vannak töltve, de változtathatod a Common Name-t ha szeretnéd, majd Next:
Adjuk meg az érvényességi időt, majd Next:
Ezeket hagyjuk alapértelmezetten, majd Next:
Ha mindent rendben találunk az összegző oldalon, nyomjuk meg a Configure-t:
Készen is volnánk. Close:
Certificate Template készítése a Workstation és Client authentikációhoz:
Ebben a fejezetben beállítjuk a Certificate Templatet, hogy a domainben található számítógépek tudjanak kérni certet a fent beállított szerverünktől.
Nyissuk meg a Control Panel -> Administrative Tools -> Certification Authority:
Jobb klikk a Certificate Templates-en, majd Manage:
Keressük meg a Workstation Authentication-t, jobb klikk, majd Duplicate Template:
A General Tab-on adjunk a Template-nek nevet és érvényességi időt. Jelöljük be a 2 boxot (Publish… Do not…):
A Security fülön a Domain Computers-nek Read és Autoenroll jogot kell adni:
Az Extensions fülön klikk az Application Policies majd Edit:
Klikk Add -> Server Authentication majd Ok:
A Server Authentication a listánkba kerül, klikk Ok:
A Subject Name fülön jelöljük be a ‘DNS name‘ és az ‘UPN‘-t., majd Apply és Ok:
Ezzel létre is hoztuk a saját Template-ünket. Ezt az ablakot be is zárhatjuk, készen vagyunk.
A következő bejegyzésben az imént elkészített template-el a domainben található összes (vagy amelyik OU-ra húzzuk a GPO-t) computers objektumra érvényesítjük a GPO-t, ezáltal az objektumok megkapják a cert serverünktől az érvényes, kiállított certeket. A certek felhasználhatóak pl IIS vagy RDP használatra. Domainen belül a kliensek nem fognak cert errort dobni, mivel a cert serverünk CA tanúsítványával lettek aláírva. A domainben található szerverek is a CA által kiállított certeket használják.
A következő cikkben pedig GPO-t hozunk létre a tanúsítványok automatikus kéréséhez és kiállításához