| Člověk někdy potřebuje certifikační autoritu (AD CS) a nechce se mu řešit milión detailů (například se o nich můžete dozvídat pět dnů na mém GOC173). Tady jsou moje doporučení, jak to udělat next-next-next a přitom si to zbytečně do budoucna nepokazit.
- nainstalujte si root online issuing AD CS na nějaké DC (Domain Controller, řadič domény). To je nejbezpečnější možné řešení. Nic citlivějšího na bezpečnost intranetu, než DC v síti nemáte, takže když na něho dáte AD CS, bude mít CA automaticky stejnou bezpečnost, jakou dáváte svým DC. Certifikační autorita pro vnitřní online AD použití nemůže mít vyšší rizikovost než libovolné jedinné DC (viz. tady).
- použijte ideálně Windows 2012, protože tam nerozhoduje edice operačního systému.
- klikejte to next-next-next, jenom si zadejte nějaké vlastní jméno, které nebude mít nic společného se jménem toho počítače. Až to budete někdy přenášet jinam, tak vám nezůstane nevhodné jméno. Dále si tam dejte nějakou dlouhou platnost. Akorát bych doporučil nedávat tam více než 100 let (možná ani ne přes rok 2100), měl jsem s tak dlouhou životností problém na Cisco ASA.
- až ji budete mít nainstalovanou, odstraňte ze seznamu Certificate Templates všechno. A přidejte tam jenom to, co opravdu potřebujete. Pokud něco potřebujete, ideálně si udělejte kopii výchozí šablony, ale nemusíte. Pokud chcete LDAPS například, dejte si tam šablonu Kerberos Authentication, nebo její kopii.
- pomocí Group Policy si povolte certifikačního klienta a autoenrollment. Nemusíte to dělat pro celou doménu, stačí pro počítače, které ty certifikáty potřebují.
- zapnete v Computer Configuration - Policies - Windows Settings - Security Settings - Public Key Policies - Certificate services client Autoenrollment
- zapněte tam Enabled
- zapněte tam Renew expired certificates, update pending certificates, and remove revoked certificates
- zapněte tam Update certificates that use certificate templates
A je to :-) |