====== Lokální certifikační autorita ====== Generování certifikátu za pomocí lokální certifikační autority.\\ Žádost z r. 2023 se asi může použít opakovaně - každý rok.\\ Při případném vytváření žádosti je potřeba zkontrolovat správné zadání DNS parametru: ''vssql05'' Umístěna na doménovém serveru DC.\\ Certifikační autorita - CA, je nainstalovaná jako **Standalone**. Popis instalace certifikační autority: https://www.virtuallyboring.com/setup-microsoft-active-directory-certificate-services-ad-cs/ ===== Vytvoření nového certifikátu ===== Certifikát je použitý na serveru VSSQL05 pro přístup do https://vssql05/gt2/ a https://vssql05/creditas ==== Žádost ==== Vytvoření žádosti jsem provedl na VSSQL05(není podmínkou) dle postupu https://sidfishes.wordpress.com/2020/03/06/preventing-browser-security-warnings-for-an-intranet-site-using-an-ssl-certificate-generated-by-a-windows-domain-ca/ CN = vssql05\\ OU = griffteam\\ L = Prague\\ S = Czech\\ C = CZ\\ DNS = vssql05\\ Obr. 1\\ {{:pasted:20240515-213908.png}} Obr. 2\\ {{:pasted:20231120-085713.png}} Obr. 3\\ {{:pasted:20231120-085838.png}} Obr. 4\\ {{:pasted:20231120-085910.png}} Obr. 5\\ Rozbalit "Details" a kliknout na Properties\\ {{:pasted:20231120-090145.png}} Obr. 6\\ {{:pasted:20231120-090215.png}} Obr. 7\\ {{:pasted:20231120-090317.png}} Obr. 8\\ {{:pasted:20231120-090643.png}}\\ Obr. 9\\ **Pozor** - DNS jen jméno serveru např.: vssql05 {{:pasted:20240515-214558.png}}\\ Obr. 10\\ {{:pasted:20231120-090918.png}}\\ Obr. 11\\ {{:pasted:20231120-091036.png}}\\ Obr. 12\\ Exportovat jako Base64\\ {{:pasted:20231120-091207.png}}\\ Žádost jsem překopíroval na DC a v CA jsem vytvořil nový certifikát * import žádosti o certifikát Obr. 13\\ {{:pasted:20231120-091508.png}} Obr. 14\\ {{:pasted:20221022-091254.png}} Obr. 15\\ {{:pasted:20221022-091312.png}} Obr. 16\\ Certifikát se objeví ve složce "Pending Request"\\ {{:pasted:20241126-134113.png}} Obr. 17\\ Certifikát je potřeba přesunout do složky "Issued Certificates"\\ {{:pasted:20241126-134324.png}} Obr. 18\\ Export certifikátu v binárním tvaru {{:pasted:20241126-134528.png}} Obr. 19\\ {{:pasted:20241126-134627.png}} Obr. 20\\ Exportovat jako soubor "cer"\\ {{:pasted:20241126-134731.png}} Vygenerovaný certifikát překopírovat na VSSQL05 naimportovat do IIS a připojit do Obr. 21\\ Zde importovat do správce certifikátů - "Local Machine" do složky "Personal" {{:pasted:20241126-135556.png}} Obr. 22\\ Vyexportovat certifikát včetně privátního klíče ve formátu "pfx" - je vyžadováno heslo\\ {{:pasted:20241126-135645.png}} {{:pasted:20221022-091755.png}} {{:pasted:20221022-091822.png}} ===== How to Request a Certificate With a Custom Subject Alternative Name ===== SAN - žádost o certifikát pro více DNS jmen Návod popisuje postup pro generování žádosti programem ''certreq.exe'' a ''inf'' souboru https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff625722(v=ws.10)