Az alábbi lépések végrehajtásához rendszergazdai jogosultságra és Active Directory tartományra lesz szükségünk.
A hitelességi bizonyítványokat az egész világon az erre szakosodott hitelesítési szervezetek kezelik. Tőlük lehet újakat igényelni, megfelelő űrlapok kitöltésével és benyújtásával. Egy hálózatban felmerülhetnek olyan belső igények, amelyekhez nem kifejezetten van szükség a szervezetek közreműködésére, megoldható a dolog "házon belül". A Windows 2000 Server biztosítja a hozzávalókat, de alapértelmezésben nem telepíti őket. Ránk vár a feladat, hogy egy kiszolgálót bizonyítványkezelő kiszolgálóvá léptessünk elő.
Következmények
Az előléptetésnek nem csak az lesz a következménye, hogy felállítottunk egy helyi hitelesítési szervezetet, hanem más is:
- ettől kezdve nem nevezhetjük át az adott gépet
- nem távolíthatjuk el a tartományból
- nem csatlakoztathatjuk másik tartományhoz.
A megvalósítás lépései
Keressük meg a következő helyet:
Vezérlőpult > Programok telepítése/törlése > Windows összetevők hozzáadása vagy eltávolítása > Bizonyítványszolgáltatások (Control Panel > Add/Remove Programs > Add/Remove Windows Components > Certificate Services).
Aktivizáljuk a név előtti jelölőnégyzetet, ekkor megjelenik egy figyelmeztetés a fenti korlátozásokra vonatkozóan. Válaszoljunk az "Igen" ("Yes") gomb lenyomásával és továbblépve végezzük el a komponens telepítését. Közben szükségünk lehet a Windows 2000 Server telepítő lemezére. Rögtön a telepítés alatt történik a konfigurálás is. Első momentum, hogy meghatározzuk a leendő kiszolgáló típusát, mely lehet gyökér szintű vagy közbenső. Ha még nincs ilyen jellegű kiszolgáló a hálózatban, akkor gyökér szintűre lesz szükségünk. Ha már van és az a gyökér, akkor választhatjuk a közbenső típust is, de élő kapcsolatban kell lenni a gyökérrel, mert tőle kapunk működési jogot (szintén egy hitelességi bizonyítvány formájában).
Az oldal alján található "Speciális beállítások" ("Advanced options") jelölőnégyzet aktiválásával a varázsló következő oldalán titkosítási algoritmust választhatunk. Csak a legkülönlegesebb esetben kell eltérni az alapértelmezésektől. Itt állítható titkosításszolgáltató (CSP) a bizonyítványszolgáltatáshoz, de tartsuk szem előtt, hogy más gyártók termékeit nem használhatjuk, csak a beépített lehetőségek közül választhatunk. Ujjlenyomat algoritmust is cserélhetünk, amelyek tulajdonképpen adatok kódolására kifejlesztett matematikai algoritmusok. A beállított SHA-1 a 160 bites kódolásának köszönhetően megfelelő biztonságot képes nyújtani a cég belső hálózatának. Ha előzőleg már létezett bizonyítvány szolgáltatásokat kezelő kiszolgálónk és ezt akarjuk áttelepíteni egy másik gépre vagy újratelepítettük az operációs rendszert, akkor átvehetők a meglévő nyilvános és személyes kulcsok, ha bejelöljük a "Létező kulcsok használata" ("Use existing keys") jelölőnégyzetet. A program által felismert szervezetek az alatta található jelölőnégyzetben kerülnek felsorolásra. Itt jelölhetjük ki, hogy melyik által tárolt kulcsokat akarjuk átvetetni vagy kattintsunk az "Import" gombra és töltsük be fájlból őket. Utóbbihoz szükséges, hogy a korábbi rendszerben először exportáljuk valamennyit. A "Kulcshosszra" ("Key length") vonatkozó beállítás alapértelmezett értéke egyben a legrövidebb szám, az 512 bit. Nagyobb értékekkel (max. 4096) elvileg nagyobb biztonságot érünk el, de az 512 sem kevés.
Tegyük fel, hogy a "Vállalati gyökér" ("Enterprise root CA") típust választottuk és nem igényeljük a titkosítási algoritmus módosítását. Lépjünk tovább a következő oldalra.
Egy űrlapot kell kitöltenünk megadva néhány céges adatot. Ha a speciális beállításoknál a létező kulcsok használatát választottuk, akkor a korábbi beállításoknak megfelelően előre kitöltődnek a bejegyzések. Egyébként a kitöltést nem árt, ha komolyan vesszük, mert a kiszolgáló által kiadott bizonyítványokban jól látható helyen jelennek meg. Az ablak alján beállítható a kiszolgálónk érvényességi időtartama, ami alapértelmezésben két év. Ez nem egyezik meg a kiállított bizonyítványok élettartamával. Lényege, hogy a szervezet ne állítson ki saját lejárati dátumán túl érvényes bizonyítványt, ezért minden bizonyítvány élettartama automatikusan lejár, ha a szervezet élettartama is lejár. Megakadályozandó, hogy lejárt és esetleg megszűnt szervezetek által kibocsátott bizonyítványokat továbbra is használjanak. A bizonyítványok élettartama tehát maximum az itt beállított értéket érheti el.
Ezt követően az adatok tárolási helyét lehet megadni, a gyakorlatban nem szükséges az alapértelmezéstől eltérni. Lépjünk tovább. Ha fut az Internet Information Services (IIS) szolgáltatás a gépünkön, akkor le kell állítani. A telepítő fel is ajánlja ezt a lehetőséget egy ablakban. Válaszoljunk az "OK" gomb lenyomásával és a leállítás/újraindítás automatikusan megtörténik. Élesben működő Web szerveren vegyük figyelembe ezt a tényt.
Kiszolgáló visszaminősítése
A telepítés kezdeti lépéseivel ellentétesen töröljük a jelölést a Vezérlőpult > Programok telepítése/törlése > Windows összetevők hozzáadása vagy eltávolítása > Bizonyítványszolgáltatások (Control Panel > Add/Remove Programs > Add/Remove Windows Components > Certificate Services) jelölőnégyzetből. Ezzel egyben a fenti korlátozások is feloldódnak.