آموزش شبکه: آموزش مایکروسافت، آموزش سیسکو

خانه / کد 640-70 / Active Directory certificate Services / نصب AD CS – نصب Enterprise Issuing CA – بخش دوم

نصب AD CS – نصب Enterprise Issuing CA – بخش دوم

در مرحله قبل، شما CA صادرکننده (issuing CA) را نصب کردید. اما به دلیل اینکه root CA آفلاین بوده و نتوانستیم برای issuing CA یک certificate دریافت کنیم تا سرور معتبر شود. اکنون بایستی certificate را روی issuing CA نصب کرده تا نصب این CA کامل شود. در محیط های واقعی، شما می بایست فایل درخواست certificate ای که قبلا ایجاد کرده اید را با فلش به root CA منتقل کنید اما چون در محیط آموزشی هستیم، از طریق یک پوشه share شده روی سرور root CA اینکار را انجام می دهیم. به هر حال، فایل درخواست را به سرور root CA منتقل کنید.

  • برای شروع، پس از اینکه فایل درخواست certificate را به root CA انتقال کردید، کنسول Certificate Authority را از Administrative Tools اجرا کنید.
  • در کنسول Certificate Authority روی نام root CA راست کلیک کرده و از بخش All Tasks گزینه Submit New Request را انتخاب کنید.

certificate services 25

  • حال از صفحه باز شده، به محل ذخیره فایل رفته و آن را انتخاب کنید.

certificate services 26

  • از همان root CA به پوشه Pending Requests رفته و روی درخواست درحال انتظار خود راست کلیک کنید و از All Tasks گزینه Issue را انتخاب کنید.

certificate services 27

  • به پوشه Issued Certificates رفته و روی certificate صادر شده راست کلیک کرده و Open کنید.

certificate services 28

  • در صفحه Certificate، به سربرگ Details رفته و روی Copy To File کلیک کنید تا certificate را بصورت فایل ذخیره شده دریافت کنید.

certificate services 29

  • در این قسمت، مراحل export کردن certificate اجرا خواهد شد. Next کرده تا به صفحه Export File Format برسید. در این بخش شما فرمت و نوع خروجی certificate را مشخص می کنید.

حال گزینه Cryptographic Message Syntax Standard – PKCS #7 Certificates (.P7B) را انتخاب و تیک گزینه Include All Certificates In The Certification Path If Possible را بزنید. در این صفحه، گزینه های بیشتری برای انتخاب وجود دارد که عبارتند از:

  • گزینه Distinguished Encoding Rules (DER) Encoded Binary X.509 گاها برای کامپیوترهایی استفاده می شود که سیستم عامل آنها ویندوز نیست. این گزینه certificate را با فرمت DER ایجاد می کند.
  • گزینه Base-64 Encoded X.509 supports S/MIME فرمتی ست که برای انتقال ایمیل ها بصورت امن، روی بستر اینترنت استفاده می شود. در سرورها، این فرمت معمولا برای سیستم عامل های غیر ویندوزی کاربرد دارد. فرمت ایجاد certificate این گزینه نیز بصورت DER است.
  • گزینه Cryptographic Message Syntax Standard (PKCS #7) برای انتقال certificate ها و مسیر زنجیره واره آنها از یک کامپیوتر به کامپیوتر دیگر است. فرمت این certificate بصورت P7B می باشد.
  • گزینه Personal Information Exchange (PKCS #12) برای انتقال certificate ها و مسیر آنها از یک کامپیوتر به کامپیوتر دیگر است، با این تفاوت که این فرمت، از انتقال private key به خوبی public key پشتیبانی می کند. از این فرمت با احتیاط استفاده کنید، زیرا انتقال private key می تواند آن را به خطر بیاندازد. فرمت آن PFX است.
  • گزینه Microsoft Serialized Certificate Store فرمت مخصوص مایکروسافت است که می بایست زمانی استفاده شود که می خواهید certificate های root CA را به کامپیوتر دیگری انتقال دهید. فرمت استفاده شده در آن SST است.

certificate services 30

  • در صفحه File To Export، روی Browse کلیک کرده و نامی برای certificate انتخاب و آن را در مسیری ذخیره کنید. برای مثال می توانید نام را بصورت Issuing-CA01.p7b بنویسید.

certificate services 31

  • در صفحه انتهایی تنظیمات را مشاهده کرده و finish کنید. با زدن کلید finish پیغامی مبنی بر export شدن موفقیت آمیز certificate دریافت می کنید.

certificate services 32

تا اینجا، certificate ای که قرار است issuing CA را معتبر سازد، توسط root CA ایجاد کردید. حال این فایل را به سرور issuing CA منتقل کنید.

  • در issuing CA، از Server Manager روی CA موجود کلیک کنید. در این سناریو، این CA بصورت ServerSetup-Issuing-CA نام گذاری شده است. حال روی آن راست کلیک کرده و از All Tasks گزینه Install CA Certificate را انتخاب نمایید.

certificate services 33

  • در صفحه پیش رو، به مسیر certificate ای که از root CA به این CA منتقل نموده اید، رفته و open کنید.

certificate services 34

  • برای اولین بار که یک issuing CA را فعال می کنید، ممکن است AD CS هشدار دهد که certificate مربوط به root CA قابل اعتماد نیست. کافیست آن را OK کرده تا به این certificate اعتماد کند و دیگر پیغام آن نمایش داده نشود. پس از تکمیل این مراحل، دقت کنید که سرویس CA فعال و start باشد. اگر اینگونه نبود روی CA راست کلیک کرده و Start Service را انتخاب کنید. اگر سرویس start باشد، تیک سبزرنگی در کنار CA دیده می شود.

اکنون issuing CA آماده صدور certificate است. در محیط های واقعی، می توانید از این پس root CA را آفلاین کنید.