Схемата, която ще изпълнява:

Зоната за корен ще бъде инсталиран на компютър на име RootCA.

За да се разгърне корен CA изисква компютър с Windows Server работи IIS версия 6.0 или по-висока. Необходимо е да се провери наличието на ASP за IIS. Компютърът не трябва да бъдат включени в този домейн. Свържете компютъра към мрежата, така че не е задължително, обаче, мрежовата карта на компютъра ви трябва да присъстват.

Инсталиране на СО се извършва по подразбиране. Това означава, че не трябва да се променя по време на инсталирането на никакви настройки. Ние се уверете, че е настроен да Самостоятелна корен CA

Единственото нещо, което трябва да се уточни - е името на нашия корен CA (го наричат ​​ROOT Калифорния).

Тъй като този компютър не е на разположение в мрежата, ние трябва да посочвате място в нашата мрежа, която ще се основава на файл, който съдържа списък с прекратени удостоверения. Да предположим, че крайната цел на данните е на сървъра, на който е инсталирана подчинен сертифициращ орган - е компютър с SubCA за името. За да направите това, ние трябва да се настроят на свойствата на органа по корен сертифициране.

1. Отиди на свойствата на органа по корен сертифициране.

Отидете в раздела Разширения

Моля, имайте предвид, че името на посочен общо (FQDN) домейн на компютъра.
С този ход, ние посочихме хранилището, което ще се основава файл, съдържащ списък с прекратени удостоверения на корен сървър.

След това е необходимо, за да изберете списъка на анулираните срок на годност сертификат (седмица по подразбиране), в противен случай ще трябва да публикуват всяка седмица нов CRL, и да го споделите в мрежата (както ни корен CA не е свързан към мрежата). За да направите това, щракнете с десния бутон прекратени удостоверения кликват върху контекстното меню изберете Properties.

След това, в прозореца, който се появява, Интервал за смяна на CRL Публикация на желаната стойност, например, в продължение на 1 година. (Това означава, че референтната лаборатория на Общността ще бъде валиден за една година).

След тези стъпки, списъкът с прекратени удостоверения може вече да не бъдат публикувани под формата на файл (може би това е функция, не е грешка), и тя ще трябва да бъде изнесено от регистъра (как да направите това ще бъде обсъдено по-долу).

След всички действия препоръчва да се претоварвайте сертифициращ орган.

В тази обстановка на Root CA е завършен. Но това все още имаме нужда да извлечете сертификата.

Когато инсталирате сертифициращ орган, трябва да се посочи, че нашия сървър е предприятие, подчинена CA

И го зададете име (например SUB Калифорния).

След инсталирането на подчинен удостоверяващия орган, който ще поиска главната СО, или да запишете на заявката за сертификат във файл. Тъй като корен СО не е на разположение в мрежата, ние си запазваме искане към файл.

След това се прехвърля към искането на файла на сертифицирането на корен CA (Root CA), внася искане до органа по сертифициране:

и след това раздават на удостоверението въз основа на внесени запитването:

След това удостоверение се изнася във файл.

След това публикува списък с анулирани сертификати (дори и ако ние нямаме сертификати за анулиране, операцията все още трябва да се извърши).

След това ние се нуждаем 3 файлове, прехвърлени от машина, където орган на корен по сертифициране на машина с подчинен орган за сертифициране:

• Файлът, съдържащ публичния ключ на органа по корен сертифициране, в нашия случай RootCA_ROOT CA.cer намира в корена на папката% система% \ system32 \ certsrv \ certenroll - той трябва да бъде единственият файла със сертификата, в името на който съдържа името на компютъра, както и името на сертифициращия орган.
• Файлът, съдържащ сертификата, издаден от подчинен сертифициращия орган при поискване. В нашия случай това SubCA.domian.local_SUB CA.cer. Местоположение на този файл е посочено когато експортирате сертификата към файл (както е описано по-горе).
• И последния файл е файл, който съдържа списък с прекратени удостоверения. Този файл се намира в% коренова система% \ system32 \ certsrv \ certenroll и има разширение .crl. В нашия случай това ROOT CA.crl (файл, съдържащ в края на името на файла знак "+", съдържа сертификат списъка с делта отмяна). Въпреки това, както е описано по-горе, файл, който съдържа списък с прекратени удостоверения, не може да бъде в тази папка, след това трябва да бъдат изнесени от системния регистър файл. За да направите това, отворете конзолата за управление на Удостоверение на локалния компютър и експортиране на списъка се изисква сертификат за отмяна на файл:

Както бе споменато по-горе, тези три файлове ние прехвърлят към главния сертификат CA на подчинените. Root CA сертификат за внос към компютър с подчинен орган за сертифициране (това е достатъчно просто да отворите файла сертификат и натиснете бутона "Install Certificate"). Файл, който съдържа списък с прекратени удостоверения е необходимо да го постави в основата на система%% \ system32 \ certsrv \ certenroll (това е пътят, по който сме се отбележи, че се променя свойствата на корен Калифорния). И също така трябва да импортирате на системния регистър с помощта на населените, - сертификати. Файлът, съдържащ сертификата за подчинен сертифициращ орган, който искате да импортирате в подчинен орган за сертифициране:

Сега тече подчинен орган за сертифициране.

След подчинен СО е започнал, в главната CA може да бъде изключен и ги поставя в сейф. След това може да се наложи в два случая:

• Ходим вземем още един подчинен Калифорния е на второ ниво;
• Имаме нужда от perevypisat сертификат за подчинен орган за сертифициране;

Сега трябва да конфигурирате подчинен сертифициращ орган.

В списъка с налични шаблони за издаване на сертификати, трябва да добавите две Записването Агент шаблон (компютър), и записване на представител, за това, кликнете с десния бутон върху Сертификат шаблони, от контекстното меню изберете New и след това на шаблон за сертификат за проблема.

В отворилия се прозорец изберете двете моделите сертификати Записването агент Записването агент (компютър) и натиснете "ОК".

И ние виждаме, че тези сертифициращи шаблони появяват в достъпна за издаване на сертификат за шаблоните за списък:

След това изберете Advanced искане сертификат:

Тогава Създаване и подава молба до този CA:

След това, от падащия списък изберете Записване Агент шаблон и кликнете върху Изпращане. След това задайте получи сертификат на компютъра.

За да се абонирате за други потребители сертификати са необходими или са Записването Агент сертификат е инсталиран в профила на потребителя, който ще издава сертификати или записване Agent (Компютър), инсталирани на компютъра, на който ще бъде издаване на сертификати.

За да поискате сертификат за записване агент или записване Agent (компютър) трябва да бъдат включени в групата Domain Administrators.

Потребителят, който ще издава сертификати на други хора да въведе групата Domain Администратори не е задължително да е достатъчно, за да влезете група потребители в домейна. Но той трябва да създаде права за достъп за четене и запис на удостоверяващия орган, както и правото да четат, пишат и въпросът avtovydachu шаблон, върху които са издадени сертификати. На локалната машина, потребителят трябва да влезе в групата на напредналите потребители, е необходимо да стартирате ActiveX komnonentov.

Може би е имало оглед не DeldaCRLAllowed и DeltaCRLAllowed