Windows Server

⌘K
  2. Domů
  4. Dokumentace
  6. Windows Server
  8. Role serveru
  10. Nasazení certifikační autority (AD CS)

Nasazení certifikační autority (AD CS)

Certifikační autorita (CA) umožňuje vydávat, zneplatňovat a spravovat certifikáty v rámci prostředí Active Directory. Pokud plánuješ autoenrollment, šifrování, ověřování pomocí certifikátu nebo vlastní PKI, začíná se právě tady.

Požadavky

  • Člen domény s Windows Server (např. 2019 nebo 2022)
  • Admin oprávnění (Domain Admin nebo Enterprise Admin)
  • DNS správně nakonfigurovaný v síti
  • Doporučeno: vlastní statická IP, zapsané jméno v DNS

1. Instalace role AD CS

Spusť PowerShell jako administrátor:

Install-WindowsFeature ADCS-Cert-Authority -IncludeManagementTools

Alternativa: Server Manager → Add roles and features → Active Directory Certificate Services → role „Certification Authority“

2. Konfigurace certifikační autority

Po instalaci spusť konfiguraci role:

Install-AdcsCertificationAuthority -CAType EnterpriseRootCA -CryptoProviderName "RSA#Microsoft Software Key Storage Provider" -KeyLength 2048 -HashAlgorithmName SHA256 -ValidityPeriod Years -ValidityPeriodUnits 5 -Force

Pokud chceš GUI: Server Manager → Post-deployment configuration → Configure Active Directory Certificate Services

Základní volby:

  • CA type: Enterprise CA (integrovaná s AD)
  • Role: Root CA (většinou stačí)
  • Key length: 2048 bitů (minimum), doporučeno 4096 bitů v zabezpečených prostředích
  • Platnost certifikátu CA: 5–10 let (podle bezpečnostní politiky)

3. Ověření funkčnosti

Po dokončení:

  • Služba CertSvc by měla být spuštěná
  • Konzole certifikační autority: certsrv.msc
  • V logu Event Viewer zkontroluj chyby pod „AD CS“

4. Volitelné: publikace CRL a AIA

V prostředí bez internetu nastav CRL a AIA distribuci přes interní cestu:

  • Např. http://ca.firma.local/CertEnroll/
  • Nebo souborově: \\ca-server\CertEnroll

Nastavení v konzoli CA → pravý klik → Properties → Extensions

5. Přidání šablon

  • certsrv.msc → Certificate Templates → klik pravým → Manage
  • Aktivuj šablony: Computer, User, případně vlastní
  • Přidej práva Autoenroll pro Domain Computers nebo Domain Users

6. Využití CA

Po nasazení můžeš:

  • Aktivovat autoenrollment certifikátů přes GPO
  • Nasadit 802.1X Wi-Fi/RADIUS na základě certifikátů
  • Používat S/MIME nebo šifrování EFS
  • Vystavovat certifikáty pro servery (IIS, VPN, NPS…)
Štítky , , , ,

Jak Vám můžeme pomoci?