Role:

• AD Certificate Services
• web enrollment
• Online responder (alternativa k revocation listu)

Cert. templates

• druhy certifikátů, které dokáže vygenerovat
• Manage, Duplicate stávající šablony a edit…
• zál. Security - o tento cert může požádat jen user s právem Read a Enroll (přidává se účet počítače pro server)
• šablona cert se musí přidat do Certificate Templates (rigtclick - new - issue…)

Příklad vystavení pro IIS:

• IIS - Server certificates - Create Domain Cert. (CN musí být skutečné jméno nebo IP)

Příklad man. žádosti:

• certmgr.msc (pro current usera)
• certlm.msc (pro lokální pc)
• nebo mmc, add snap-in, certificates, pc/user rigtclick na personal - request new certificate - vybrat šablonu

Uživatelské certifikáty:

• žádá přes mmc, Certificates, user certificates
• nebo přes web: https://<nazev-serveru-CA>/CertSrv (cestu lze najit v IIS na CA serveru)
• Při zašifrování souboru, je možné jej dešifrovat jen priv. klíčem uživatele nebo recovery klíčem (priv.klíč administrátora, který je na prvním DC serveru)
• Data recovery key by se měl uložit do trezoru a z DC serveru smazat.
• je možnost ještě priv. klíče uživatelů ukládat v CA, pro případ ztráty klíčů a násl. obnovy zašifrovaných souborů.
• konzistenci cert na více PC zajistí jen roaming profil