Добрый день!

Тема сертификации, на текущий момент, очень важна. Ни одна из бизнес систем Microsoft, систем безопасности различных вендоров, сетевых железяк не могут работать без сертификатов. Корпоративный центр сертификации - первый шаг на пути к повышению уровня безопасности корпоративной ИТ инфраструктуры.
В этой статье я хочу отобразить простую настройку центра сертификации для тестовых сред, для продуктивных сред данная конфигурация крайне не рекомендуется, так как очень небезопасна. Также, будет рассмотрена базовая настройка и создана политика автоматического распространения корневых сертификатов для участников сети.
Для экономии ресурсов, было принято установить ЦС на контроллере домена. Разворачиваемые роли:

• Certification Authority - сам центр сертификации
• Certification Authority Web Enrollment - веб сервис выдачи сертификатов по CSR (хеш сертификата)

1. Добавляем новую роль через Server Manager и пропускаем несколько страниц приветствия и ненужного текста.
2. Выбираем сервер, на котором будем разворачивать роль ЦС (текущий сервер):
   
3. Выбираем роль сервера - Active Directory Certification Authority:
   
4. Подтверждаем установку фьючерсов:
   
   и нажимаем Next.
5. Выбираем сервисы, которые мы хотим развернуть. Как я и писал ранее, это центр сертификации и веб-сервис выдачи сертификатов
   
6. Последний сервис требует установки IIS, соглашаемся:
   
7. Пропускаем ещё пару страниц и переходим к выбору необходимых параметров IIS, где ничего не трогаем и переходим далее.
   
8. Подтверждаем установку сервиса:
   
9. Сервис установлен:
   
10. В панели Server Manager, рядом с установкой новых ролей, нажимаем на флажок, который уведомляет о необходимости настройки сервиса:
    
11. Выбираем пользователя, от имени которого настраиваем сервис (подтверждаем, что от имени администратора домена):
    
12. Выбираем сервисы для настройки:
    
13. Определяем тип установки ЦС - Enterprise, так как он находится на сервере, который входит в домен и будет онлайн:
    
14. Определяем тип ЦС - корневой центр сертификации, т.е. данный сервер будет издавать и хранить корневые сертификаты, и на их основе будет выдавать клиентские сертификаты:
    
15. Создаём новый приватный ключ:
    
16. Выбираем параметры ключа (всё по умолчанию):
    
17. Определяем имя ЦС (как по мне - ненужная операция):
    
18. Определяем период, в течении которого будет валиден корневой сертификат - 5 лет, по умолчанию, с головой хватит:
    
19. Оставляем пути баз данных ЦС по умолчанию:
    
20. Резюмируем "настройки" и приступаем к настройке:
    
21. Сервис настроен:
    

Центр сертификации успешно настроен. Я предлагаю настроить политику распространения корневых сертификатов для всех участников домена:

1. Открываем Group Policy Management и создаём новую политику (Create a GPO in this domain, and Link it here...):
   
2. Назовём политику как-нибудь:
   
3. Проходим по пути: "Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies", где находим шаблон "Certificate Services Client - Auto-Enrollment"
   
4. Определяем параметры политики:
   

После создания данной политики, на работающей машине запускаем команду:

Запустить консоль:

1. mmc.exe
2. Certificate Snap-In
3. Computer account
4. Local computer
5. В дереве: Console root > Certificates > Trusted Root Certificates

На этом всё. Следующая статья - как настроить центр сертификации для продуктивной среды. Там всё гораааааздо сложнее