Postranní lišta

Příprava certifikátu pro použití na řadiči domény


Řadič domény při poskytování AD služeb používá, nebo může použít certifikát. Jako certifikační autoritu je možné použít roli Windows serveru.

Použité zkratky:

  • CA = Certifikační autorita
  • CSR = Certificate Signing Request (žádost o vydání certifikátu)
  • SAN = Subject Alternative Name - např. DNS jméno, které klient použije pro připojení
  • CNAME = Common Name - např. DNS jméno, které klient použije pro připojení
  • DC = Domain Controller (řadič domény)
  • FQDN = Fully Qualified Domain Name
  • LDAPs = LDAP over SSL/TLS, secured LDAP, LDAP-secured

Standalone CA, certifikát pro řadič domény

CA můžeme nainstalovat v PowerShell:

PS C:\>Install-WindowsFeature ADCS-Cert-Authority -IncludeManagementTools

Po instalaci CA je nutné provést její konfiguraci.

Video: Instalace a konfigurace Standalone CA


Standalone CA neobsahuje certificate templates a nepodporuje enrollment ze vzdáleného serveru. Je nutné vytvořit CSR a následně vygenerovat certifikát, který pro použití na DC musí obsahovat tyto položky:

1. Key usage

  • Digital Signature
  • Key Encipherment (a0)

2. Enhanced Key Usage

  • Client Authentication (1.3.6.1.5.5.7.3.2)
  • Server Authentication (1.3.6.1.5.5.7.3.1)
  • Smart Card Logon (1.3.6.1.4.1.311.20.2.2)
  • KDC Authentication (1.3.6.1.5.2.3.5)

3. CNAME: Server FQDN

4. SANs: Server FQDN, jméno domény a případně NetBIOS jméno řadiče domény

Video: Vytvoření CSR, vygenerování certifikátu


Po vygenerování certifikátu je potřeba tento certifikát importovat na řadiči domény a publikovat CA certifikát v AD.

Video: Import certifikátu na řadiči domény

Příkazy pro implementaci ROOT certifikátu (řadič domény):

certutil -enterprise -addstore NTAuth ca.cer
certutil -enterprise -addstore Root ca.cer

Příkaz pro závěrečnou kontrolu (řadič domény):

certutil -dcinfo verify



Enterprise CA, certifikát pro řadič domény

CA můžeme nainstalovat v PowerShell:

PS C:\>Install-WindowsFeature ADCS-Cert-Authority -IncludeManagementTools

Video: Instalace a konfigurace Enterprise CA


CA obsahuje certificate templates. Řadič domény by měl použít template Kerberos Authentication, který obsahuje všechny potřebné položky pro použití s Active Directory, to znamená:

  • Client Authentication (1.3.6.1.5.5.7.3.2)
  • Server Authentication (1.3.6.1.5.5.7.3.1)
  • Smart Card Logon (1.3.6.1.4.1.311.20.2.2)
  • KDC Authentication (1.3.6.1.5.2.3.5)

Video: Získání certifikátu pro DC (enrollment)

Pokud právě probíhá implementace, kroky jdou rychle za sebou a templates nejsou dostupné, tak je potřeba spustit příkaz gpupdate /force, kterým se certifikát CA stane důvěryhodným.


V případě, kdy řadič domény nemá připojení k Enterprise CA, je možné podobně jako se Standalone CA vytvořit CSR a následně vygenerovat certifikát.

Video: Získání certifikátu pro DC (ruční). Video obsahuje rovněž známé chyby a jejich řešení.


Při použití Enterprise CA je možné pomocí GPO zapnout autoenrollment certifikátů.

  1. Computer Configuration (User Configuration) > Windows Settings > Security Settings > Public Key Policies
  2. Vpravo otevřít Certificate Services Client - Auto-Enrollment
  3. Enablovat a vybrat:

Renew expired certificates, update pending certificates, and remove revoked certificates
Update certificates that use certificate templates


Obecné tipy pro certifikát

  • Signature Hash Algorithm = SHA256
  • Key Length = 2048
  • DNS jméno použité v CNAME musí být taky v SAN
  • Do CNAME a SAN se vkládají pouze FQDN, nikoliv IP adresy nebo zkrácená jména
  • Služba LDAPs požaduje pro Enhanced Key Usage pouze hodnotu Server Authentication (1.3.6.1.5.5.7.3.1)

Tento web používá cookies. Používáním těchto stránek souhlasíte s ukládáním cookies do vašeho počítače. Také berete na vědomí, že jste si přečetli a porozuměli našim Zásadám ochrany osobních údajů. Pokud nesouhlasíte s odchodem z webu.Více informací
ad_cer.txt · Poslední úprava: 2021/10/04 10:45 (upraveno mimo DokuWiki)

Nástroje pro stránku