Lokální certifikační autorita

Generování certifikátu za pomocí lokální certifikační autority.
Žádost z r. 2023 se asi může použít opakovaně - každý rok.

Umístěna na doménovém serveru DC.
Certifikační autorita - CA, je nainstalovaná jako Standalone.

Popis instalace certifikační autority: https://www.virtuallyboring.com/setup-microsoft-active-directory-certificate-services-ad-cs/

Certifikát je použitý na serveru VSSQL05 pro přístup do https://vssql05/gt2/ a https://vssql05/creditas

Vytvoření žádosti jsem provedl na VSSQL05(není podmínkou) dle postupu https://sidfishes.wordpress.com/2020/03/06/preventing-browser-security-warnings-for-an-intranet-site-using-an-ssl-certificate-generated-by-a-windows-domain-ca/

CN = vssql05
OU = griffteam
L = Prague
S = Czech
C = CZ

DNS = vssql05

Obr. 1

Obr. 2

Obr. 3

Obr. 4

Obr. 5
Rozbalit „Details“ a kliknout na Properties

Obr. 6

Obr. 7

Obr. 8

Obr. 9
Pozor - DNS jen jméno serveru např.: vssql05

Obr. 10

Obr. 11

Obr. 12
Exportovat jako Base64

Žádost jsem překopíroval na DC a v CA jsem vytvořil nový certifikát

• import žádosti o certifikát

Obr. 13

Obr. 14

Obr. 15

Obr. 16
Certifikát se objeví ve složce „Pending Request“

Obr. 17
Certifikát je potřeba přesunout do složky „Issued Certificates“

Obr. 18
Export certifikátu v binárním tvaru

Obr. 19

Obr. 20
Exportovat jako soubor „cer“

Vygenerovaný certifikát překopírovat na VSSQL05 naimportovat do IIS a připojit do

Obr. 21
Zde importovat do správce certifikátů - „Local Machine“ do složky „Personal“

Obr. 22
Vyexportovat certifikát včetně privátního klíče ve formátu „pfx“ - je vyžadováno heslo

SAN - žádost o certifikát pro více DNS jmen

Návod popisuje postup pro generování žádosti programem certreq.exe a inf souboru

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff625722(v=ws.10)