Construindo um Laboratório de CM - Autoridade de Certificação [3]

Série Post 3, adicionando uma Autoridade de Certificação em seu laboratório (requer que você configure um DC primeiro), completamente opcional para seu ambiente.

Isso é um bônus, você pode fazer tudo o que quiser em seu laboratório sem esse recurso, mas adivinhe, se você vai fazer qualquer coisa que precise de HTTPS, ter sua própria Autoridade de Certificação (CA) torna isso muito mais engenhoso.

Criar um CA é simples, você escolhe a função e clica em Avançar algumas vezes. Estou adicionando ao meu DC, pois é um lugar fácil de colocá-lo.

Adicionar funções e funções de servidor de recursos — Você marcará a caixa “Serviços de Certificados do Active Directory, que irá abrir esta caixa de diálogo, clique em“ Adicionar Recursos ”

Assistente para adicionar funções e recursos — Este é o padrão

Adicionar funções e assistente de recursos

Criptografia de configuração AD CS — Eu deixei os padrões aqui

Período de validade da configuração do AD CS

Banco de dados de certificados de configuração AD CA

Ok, agora configuramos nosso CA e o configuramos. Nada muito especial, agora vamos criar um modelo de certificado. Neste exemplo, estarei criando um modelo de certificado para ser usado com nosso servidor da Web Recast Management Server, que será basicamente o mesmo para qualquer servidor da Web.

Autoridade de certificação de lançamento — Inicie a Autoridade de Certificação no Menu Ferramentas

Modelo de autoridade de certificação — Clique com o botão direito em Modelos de certificado e escolha Gerenciar

Console de modelo de certificado — Vamos fazer uma duplicata do modelo de servidor da Web para usar

Propriedades do novo modelo — Vou chamá-lo de Recast Web Server

Propriedades do servidor web Recast — Em Segurança, adicionei um Grupo AD “Registro de certificação de servidor da Web” e marquei as caixas “Registro e registro automático”

Propriedades de inscrição de certificado de servidor da Web — No AD, este é o grupo e os membros. Eu adicionei vários servidores que podem precisar do certificado e um que eu tenho certeza que precisa. Eventualmente, todos esses servidores obterão a certificação automaticamente porque estão configurados para inscrição automática.

Propriedades de administradores de certificados — O Grupo de Administradores de Certificados, qualquer pessoa neste grupo pode inscrever este novo certificado.

Agora que isso está feito, você terá que adicionar esses certificados a “Modelos de certificado” - caso contrário, você pode receber este erro:
“O modelo de certificado solicitado não é compatível com esta CA. Uma autoridade de certificação (CA) válida configurada para emitir certificados com base neste modelo não pode ser localizada, ou a CA não suporta esta operação, ou a CA não é confiável. ”

Isso me deixou louco por um tempo, então percebi que esqueci um passo. Todos os modelos que você duplicou e criou e deseja que este CA possa distribuir, você precisará adicionar aqui: [Mais informações]
‍

Desculpe, os nomes mudaram. Percebi isso após a postagem original e estou anexando isso do meu laboratório pessoal.

‍

Agora, no servidor, você pode se inscrever e adicionar o certificado.

Neste exemplo, terei o certificado registrado no Recast Management Server que hospeda nosso Recast Enterprise Server Web Service.

Atualmente, ele está usando um certificado auto-emitido que faz com que os clientes recebam um aviso quando você tenta se conectar.

Aviso de HTTPS não seguro — Você pode ver aqui que, embora seja HTTPS, ele emite um aviso “Não seguro”

Vá para “Gerenciar certificados de computador”. Em Pessoal, clique com o botão direito e escolha “Todas as Tarefas”, depois “Solicitar Novo Certificado”

Registro de certificado — Neste ponto, você deve ver o certificado “Recast Web Server” disponível.

Gerenciador de serviços de informações da Internet IIS — Agora que temos o certificado disponível, vamos dizer ao nosso site do servidor Recast para usar o nosso novo certificado
Abra o IIS, escolha o servidor de gerenciamento Recast, clique em Bindings, clique em “Editar” e escolha o certificado que foi emitido.

Servidor Recast — E agora, a partir do cliente, você pode ver que o erro desapareceu e não há mais solicitações.

‍
Portanto, agora temos uma configuração de CA e a usamos para melhorar a experiência em nosso servidor de gerenciamento Recast. O plano de longo prazo é usá-lo para habilitar HTTPS apenas em nosso servidor CM. Veremos isso em uma postagem futura.

‍