![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(288, 56.00000000000001%, 37%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EB%3C/text%3E%3C/svg%3E)
Dotazy: 13
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 25%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EGM%3C/text%3E%3C/svg%3E)
__2. Certifikační služba (AD CS)__1. Předpoklady: Pokud instalujeme Enterprise CA, musí být server členem domény s Active Directory a účet oprávněný (Enterprise Admins). Pro Standalone CA může být server v pracovní skupině či samostatný.
- Instalace role AD CS: Ve Správci serveru zvolíme Add Roles and Features. Na listu Select server roles zaškrtneme __Active Directory Certificate Services__. Potvrdíme přidání potřebných funkcí. Dále klikneme Next přes informační stránky.
- Konfigurace AD CS: Po dokončení instalace se zobrazí možnost Configure Active Directory Certificate Services on the destination server. Spustíme ji.
- Role services: Zaškrtneme Certification Authority (případně Certification Authority Web Enrollment, pokud chceme webové rozhraní pro žádosti).
- Typ instalace: Vybereme Enterprise CA, pokud je server v doméně (tím umožníme používat šablony). Pokud instalujeme bez AD, zvolíme Standalone CA.
- Typ CA: Zvolíme Root CA (pokud nejde o podřízenou CA).
- Soukromý klíč: Vybereme Create a new private key. Doporučené nastavení: CSP = RSA#Microsoft Software Key Storage Provider, délka klíče 2048 bit, hash algoritmus SHA256.
- Název CA: Můžeme ponechat navržený nebo upravit. Jakmile ho jednou nastavíme, nelze změnit.
- Doba platnosti: Defaultní 5 let se obvykle používá. Lze zadat jinou délku platnosti (v letech)
- Úložiště databáze: (volitelné) Nastavíme umístění souborů databáze certifikátů (většinou ponecháme výchozí).
- Dokončení: Na závěrečné stránce potvrdíme Configure, počkáme na dokončení a pak Close. CA je nyní připravena.
- Kontrola služby: Otevřeme konzoli Certification Authority v Server Manager > Tools. Měli bychom vidět novou CA a log z instalace. CA vydává kořenový certifikát, který se automaticky přidá do důvěryhodných kořenů v doméně (pro Enterprise CA).
- Úložiště databáze: (volitelné) Nastavíme umístění souborů databáze certifikátů (většinou ponecháme výchozí).
- Doba platnosti: Defaultní 5 let se obvykle používá. Lze zadat jinou délku platnosti (v letech)
- Název CA: Můžeme ponechat navržený nebo upravit. Jakmile ho jednou nastavíme, nelze změnit.
- Soukromý klíč: Vybereme Create a new private key. Doporučené nastavení: CSP = RSA#Microsoft Software Key Storage Provider, délka klíče 2048 bit, hash algoritmus SHA256.
- Typ CA: Zvolíme Root CA (pokud nejde o podřízenou CA).
- Typ instalace: Vybereme Enterprise CA, pokud je server v doméně (tím umožníme používat šablony). Pokud instalujeme bez AD, zvolíme Standalone CA.
- Role services: Zaškrtneme Certification Authority (případně Certification Authority Web Enrollment, pokud chceme webové rozhraní pro žádosti).
3. Vydávání certifikátů
3.1. Prostředí s Active Directory
- V doméně lze využít šablony certifikátů a automatické vystavování:
- Otevřeme konzoli Certification Authority, pravým tlačítkem klikneme Certificate Templates → Manage.
- Najdeme šablonu RAS and IAS Server (pro VPN/IKEv2) nebo Web Server (pro HTTPS). Pravým klikem zvolíme Duplicate Template.
- V dialogu vlastností šablony na kartě Security vybereme skupinu či server (např. Domain Computers pro automatické udělení všem strojům) a povolíme Enroll a případně Autoenroll. Uložte změny.
- V konzoli Certification Authority vybereme opět Certificate Templates, klikneme New → Certificate Template to Issue a vybereme nově vytvořenou šablonu. Tím se šablona zpřístupní CA.
- Získání certifikátu: Na server, který certifikát potřebuje (např. VPN server nebo webový server), otevřeme mmc.exe → Certificates (Local Computer) → Personal, pravým klikem All Tasks → Request New Certificate. Spustí se průvodce, kde zvolíme šablonu a dokončíme žádost. Certifikát se z CA nainstaluje na server automaticky.
- Pokud potřebujeme, můžeme certifikát exportovat/importovat na jiný server.
- Webový portál pro certifikáty (volitelné): Na CA serveru je možné nainstalovat Certification Authority Web Enrollment (Role service Web Enrollment). To umožní uživatelům (např. z jiných strojů) zadávat žádosti přes web [https://<CAservername>/certsrv]. Na této stránce uživatel nahraje žádost (.req) a stáhne vygenerovaný certifikát. (Upozorňujeme, že pro správnou funkci je třeba mít na IIS webu CA nasazené HTTPS a certifikát.)
- Získání certifikátu: Na server, který certifikát potřebuje (např. VPN server nebo webový server), otevřeme mmc.exe → Certificates (Local Computer) → Personal, pravým klikem All Tasks → Request New Certificate. Spustí se průvodce, kde zvolíme šablonu a dokončíme žádost. Certifikát se z CA nainstaluje na server automaticky.
- V konzoli Certification Authority vybereme opět Certificate Templates, klikneme New → Certificate Template to Issue a vybereme nově vytvořenou šablonu. Tím se šablona zpřístupní CA.
- V dialogu vlastností šablony na kartě Security vybereme skupinu či server (např. Domain Computers pro automatické udělení všem strojům) a povolíme Enroll a případně Autoenroll. Uložte změny.
- Najdeme šablonu RAS and IAS Server (pro VPN/IKEv2) nebo Web Server (pro HTTPS). Pravým klikem zvolíme Duplicate Template.
- Otevřeme konzoli Certification Authority, pravým tlačítkem klikneme Certificate Templates → Manage.
3.2. Prostředí bez Active Directory
- Instalace Standalone CA: Spustíme Add Roles stejně jako výše, ale v průvodci CA zvolíme Standalone CA místo Enterprise. Ostatní kroky konfigurace jsou obdobné (root CA, nový klíč apod.). Tento server nepotřebuje členství v doméně.
- Vydávání certifikátů: V tomto případě není možné využít automatického vydávání z AD, musíme žádosti řešit manuálně:
- Pokud jsme nainstalovali Web Enrollment, otevřeme na klientském počítači webový prohlížeč a zadáme https://<CAserver>/certsrv. Uživatel vybere „Request a certificate“ (Žádost o certifikát) a zadá parametry nebo nahraje požadavek generovaný třeba nástrojem certreq.
- Po odeslání žádosti ji na serveru v konzoli Certification Authority schválíme (pomocí Pending Requests → pravým tlačítkem → Issue).
- Klient na webu pak může certifikát stáhnout a importovat do svého úložiště certifikátů.
- Případně lze použít nástroj certreq na klientovi – vytvořit .inf žádost a odeslat příkazem certreq -submit žádost.req.
- Poznámka: Bez AD nelze spoléhat na šablony a autoenroll. Certifikáty musí být ručně spravovány (úroveň zabezpečení i validace je stejná, jen chybí integrace do AD).
- Klient na webu pak může certifikát stáhnout a importovat do svého úložiště certifikátů.
- Po odeslání žádosti ji na serveru v konzoli Certification Authority schválíme (pomocí Pending Requests → pravým tlačítkem → Issue).
- Pokud jsme nainstalovali Web Enrollment, otevřeme na klientském počítači webový prohlížeč a zadáme https://<CAserver>/certsrv. Uživatel vybere „Request a certificate“ (Žádost o certifikát) a zadá parametry nebo nahraje požadavek generovaný třeba nástrojem certreq.