A szükséges Windows komponens feltelepítés után a Felügyeleti eszközök > Hitelesítő szervezet (Administrative Tools > Certification Authority) MMC konzollal lehet a további kezelést és beállításokat megvalósítani. Az alábbi lépések elvégzéséhez rendszergazdai jogosultságra van szükség.
Bizonyítvány szolgáltatások kiszolgálójának leállítása/elindítása
Leállításhoz kattintsunk a konzolfán a kiszolgáló nevére a jobboldali egérgombbal, majd Az összes feladat > Szolgáltatás leállítása (All Tasks > Stop Service) menüre. Ismételt elindításához pedig Az összes feladat > Szolgáltatás indítására (All Tasks > Start Service). Leállított szolgáltatás mellett nem igényelhető új bizonyítvány.
Bizonyítványok kezelésének pillanatnyi állapota
A farendszer kibontásával a különböző állapotban lévő bizonyítványok különböző mappákban kaptak helyet.
Ily módon láthatók a "Visszavont bizonyítványok" ("Revoked Certificates"), "Kiadott bizonyítványok" ("Issued Certificates"), "Várakozó kérelmek" ("Pending Request"), "Sikertelen kérelmek" ("Failed Request"). Például egy bizonyítvány visszavonásához kattintsunk a "Kiadott bizonyítványok" ("Issued Certificates") mappában rá a jobboldali egérgombbal, majd Az összes feladat > Bizonyítvány visszavonása (All Tasks > Revoke Certificate) menüpontra. A következő ablakban található legördülőmenüben jelöljük ki a visszavonás okát és kattintsunk az "Igen" ("Yes") gombra. Ezzel áthelyeződik a "Visszavont bizonyítványok" ("Revoked Certificates") tárolóba. Mikor van erre szükség? Például, ha egy olyan dolgozóhoz kapcsolódik, aki kilépett a cégtől vagy elveszítette a személyes kulcsát.
Közzététel
Minden hitelesítő szervezetnél szokás, hogy a visszavont bizonyítványokat egy bizonyos idő után közzéteszik. Ez történhet az Active Directory-ban és a fájlrendszerben is. Alapértelmezésben az Active Directory-ban való közzététel automatikusan megtörténik. Konfigurálásához kattintsunk a szervezet nevére a jobboldali egérgombbal és tallózzunk el a Tulajdonságok > Kilépési modul > Konfigurálás (Properties > Exit Module > Configure) oldalra. Két jelölőnégyzet segítségével szabályozható a közzététel engedélyezése. Már csak a visszavonás utáni időtartamot kell beállítani: kattintsunk a "Visszavont bizonyítványok" ("Revoked Certificates") tárolóra ismét a jobboldali egérgombbal és lépjünk a "Tulajdonságok" ("Properties") menüre. Az alapértelmezett beállítás 1 hét, igényeinknek megfelelően változtassunk rajta. A "Közzétételi ütemezés tiltása" ("Publication interval") bekapcsolásával letiltjuk az automatikus közzétételt. Lehetőség van arra is, hogy ne várjuk meg a beállított időszak elteltét, hanem azonnal végezzük el. Ehhez a kattintsunk a "Visszavont bizonyítványok" ("Revoked Certificates") tárolóra a jobboldali egérgombbal és Az összes feladat > Közzététel (All Tasks > Publish) menüre. Ha mindez nem a címtárba, hanem a fájlrendszerbe történik, akkor a "CertEnroll" megosztásba kerülnek a bizonyítványok, amely a %systemroot%\system32\CertSrv\CertEnroll mappáját jelenti. Az Active Directory tárolási mappája a szervezet tulajdonságlapjának "Tárolás" ("Storage") oldalán tekinthető meg.
Hitelesítő szervezet megújítása
A telepítés során meg kellett határozni a bizonyítványok szolgáltatásának lejárati dátumát (alapértelmezésben 2 év). Miután lejárt az időszak, a kiszolgáló által kiadott minden bizonyítvány érvénytelenné válik, ha nem újítjuk meg a kiszolgáló érvényességi időszakát. Honnan tudjuk meg, hogy mikor jár le az időszak? Kattintsunk a konzolfában a szervezet nevére a jobboldali egérgombbal és tallózzunk el a Tulajdonságok > Általános > Bizonyítvány megtekintése > Általános (Properties > General > View Certificate > General) oldalra, ahol a lap alján szerepel a lejárati dátum. Meghosszabbításához a szervezet nevén a jobboldali egérgombbal és Az összes feladat > CA-bizonyítvány megújítása (All Tasks > Renew CA Certificate) menüvel történik. Ezalatt a szolgáltatás szünetel.
Biztonsági mentés és helyreállítás
Miről lehet biztonsági mentést készíteni?
- A hitelesítési kiszolgáló személyes kulcsáról és bizonyítványáról.
- Konfigurációs információkról.
- Kiadott bizonyítványokról.
- Folyamatban lévő kérelmekről.
A változatosság kedvéért ismét kattintsunk a szervezet nevére a jobboldali egérgombbal, de ezúttal Az összes feladat > A hitelesítő szervezet biztonsági mentése (All Tasks > Backup CA) menüre. Elindul egy varázsló, aminek a második oldalán lévő jelölőnégyzetek segítségével állítsuk be a mentendő összetevőket. Adjuk meg a célmappa(!) nevét, ahová az adatok mentése történik. Bizonyos időszakonként, többször végzett mentésekkor nem kell mindig a teljes állományt újraképezni, elég csak az előzőhöz viszonyított különbséget. Ehhez aktivizáljuk a "Növekményes biztonsági mentés" ("Perform incremental backup") jelölőnégyzetet. Feltétel, hogy legyen előző mentés, különben hibaüzenetet kapunk.
A visszaállítás a mentéssel majdnem teljesen megegyező módon történik csak az elején a "CA visszaállítása" ("Restore CA") menüt kell választani. Ugyanúgy meg kell adnunk mappanevet és a komponenseket mint az előbb, de most nem mentődik, hanem helyreállítódik a kiszolgáló.
Igényelhető bizonyítványtípusok
Az "Irányelv-beállítások" ("Policy Settings") mappában kerülnek felsorolásra az igényelhető bizonyítvány típusok. A típus meghatározza, hogy milyen célra lehet a hozzá tartozó bizonyítványt használni.
A lista tagjait kijelölésükkel, majd a billentyűzet delete gombjának lenyomásával lehet törölni (vagy a Műveletek > Törlés (Action > Delete) menüvel). Például, ha meg akarjuk akadályozni, hogy bárki EFS helyreállító ügynöki bizonyítványt igényelhessen, akkor töröljük a listából. Meglévő készletből választva további típusokat - vagy korábban törölteket - adhatunk a listához, ha egy üres helyen kattintunk a jobboldali egérgombbal és az Új > Kibocsátandó bizonyítvány (New > Certificate to Issue) elemre kattintunk.
Webes felület az IIS-ben
Eddig minden műveletet MMC konzolban végeztünk. Ha fut a gépen IIS, akkor a szolgáltatás feltelepítése közben az "Alapértelmezett webhely" ("Default Web Site") kibővül egy "CertSrv" virtuális könyvtárral. Elérése így lehetséges:
http://kiszolgálónév/certsrv
Belépéshez nincs szükség rendszergazdai jogosultságra. Az oldalon megtekinthetők a bizonyítvány kérelmek, visszavont bizonyítványok, újat igényelhetünk. Mindezt mindenhol bőséges magyarázószövegekkel ellátva.