Mengelola kepercayaan sertifikat
Sertifikat memainkan peran penting dalam melindungi dan memvalidasi autentikasi dan tugas terkait keamanan lainnya. Salah satu prinsip inti yang memungkinkan kemampuan ini adalah kepercayaan sertifikat. Agar sertifikat efektif, setiap pengguna, perangkat, atau aplikasi yang menggunakannya harus mempercayai CA yang mengeluarkannya.
Apa itu kepercayaan sertifikat?
Saat menggunakan sertifikat, penting bagi Anda untuk mempertimbangkan siapa atau apa yang mungkin perlu menilai keaslian dan validitasnya. Ada tiga jenis sertifikat yang dapat Anda gunakan:
- Sertifikat internal dari CA organisasi, seperti server yang menghosting peran AD CS.
- Sertifikat eksternal dari CA publik seperti organisasi yang menyediakan perangkat lunak keamanan siber komersial atau layanan identitas.
- Sertifikat yang ditandatangani sendiri
Jika Anda menerapkan Enterprise Root CA dan menggunakannya untuk mendaftarkan sertifikat ke perangkat pengguna yang bergabung dengan domain, perangkat ini akan menerima sertifikat terdaftar sebagai tepercaya. Namun, perangkat grup kerja apa pun akan menganggap sertifikat yang sama sebagai tidak tepercaya. Untuk mengatasi masalah ini, Anda dapat:
- Dapatkan sertifikat publik dari CA eksternal untuk perangkat grup kerja. Ini datang dengan biaya tambahan untuk sertifikat publik.
- Konfigurasikan perangkat grup kerja untuk memercayai Enterprise Root CA. Ini membutuhkan konfigurasi tambahan.
Kelola sertifikat dan kepercayaan sertifikat di Windows
Anda dapat mengelola sertifikat yang disimpan dalam sistem operasi Windows dengan menggunakan berbagai alat, termasuk Windows Admin Center, snap-in Konsol Manajemen Microsoft Sertifikat, Windows PowerShell, dan alat baris perintah certutil. Masing-masing memberi Anda akses ke penyimpanan sertifikat pengguna saat ini, komputer lokal, dan layanannya. Setiap penyimpanan terdiri dari beberapa folder, antara lain:
Toko
Keterangan
Pribadi
Berisi sertifikat yang dikeluarkan untuk pengguna lokal, komputer lokal, atau layanannya, tergantung pada toko yang Anda pilih.
Otoritas Sertifikasi Akar Tepercaya
Berisi sertifikat CA akar tepercaya.
Kepercayaan Perusahaan
Berisi daftar kepercayaan sertifikat untuk menerapkan kepercayaan sertifikat yang ditandatangani sendiri dari organisasi lain.
Otoritas Sertifikasi Menengah
Berisi sertifikat yang dikeluarkan untuk CA bawahan dalam hierarki sertifikasi.
Untuk memastikan bahwa perangkat grup kerja memercayai Enterprise Root CA Anda, ekspor sertifikatnya dari folder Otoritas Sertifikasi Root Tepercaya di komputer yang bergabung dengan domain dan impor ke folder yang sama di perangkat ini.
Catatan
Atau, Anda dapat memperoleh sertifikat CA Root Perusahaan dari bagian CertEnroll di server yang menghosting peran tersebut.
Buat sertifikat yang ditandatangani sendiri untuk tujuan pengujian
Meskipun sertifikat yang ditandatangani sendiri tidak cocok untuk skenario produksi, sertifikat tersebut dapat berguna untuk tujuan pengujian. Anda dapat menggunakan cmdlet New-SelfSignedCertificate Windows PowerShell untuk membuat sertifikat yang ditandatangani sendiri. Jika Anda menyertakan parameter CloneCert dan memberikan sertifikat yang ada, sertifikat baru akan memiliki pengaturan yang cocok dengan pengecualian kunci publik. Sebagai gantinya, cmdlet akan membuat kunci baru dengan algoritma dan panjang yang sama.
Contoh berikut membuat sertifikat server SSL yang ditandatangani sendiri di toko pribadi mesin lokal dengan nama alternatif subjek disetel ke www.fabrikam.com, www.contoso.com dan Subjek dan Nama penerbit disetel ke www.fabrikam.com.
New-SelfSignedCertificate -DnsName "www.fabrikam.com", "www.contoso.com" -CertStoreLocation "cert:\LocalMachine\My"