Kort om Certificate Services herunder backup og restore
Certification Authority Snap-In
Når du har installert Certificate Services kan du operere denne ved bruk av Certification Authority Snap-In. I dette management consol-et kan du bla. tilbakekalle sertifikater, utstede sertifikater og godkjenne eller avvise sertifikat forespørsler. For øvrig kan du også administrere Certificate Services herunder stille rettigheter for brukere.
Figur 13 – Når du har installert MS Certificate Services kan du utføre management av denne med Certification Authority Snap-In. Klikk Start, Administrative tools og Certificate Authority.
Backup av CA
For å ta backup av Certificate Services kan du benytte NTBackup og/eller Certification Authority Backup Wizard. Den sistnevnte kopierer “the current state” for CAen til en katalog som du spesifiserer. Fra denne kan du så utføre en gjenoppretting.
Figur 14 – Du må starte Certificate Authority management panelet og høyreklikke sertifikat tjenesten. Deretter kan du velge Backup eller Restore.
Figur 15 – Her ser vi Items to Back Up wizard. Pass på og klikk i begge sjekk boksene dersom du skal ha en fullstendig backup.
Tips
Katalogen opprettes dersom den ikke finnes. Du må selvfølgelig skrive ned passordet som du blir bedt om å skrive inn i neste skjermbilde.
Restore av CA
Certificate Services kan gjenopprettes fra en Backup. Dette gjør du ved å velge Restore CA i figur 7. Når gjenoppretting blir foretatt stoppes tjenesten Certificate Services. For øvrig gjenopprettes det du har tatt backup av. Sjekk at tjenesten kjører etter en gjenopprettingen.
Tips
Dersom du gjenoppretter din CA, må du passe på å ta en ny backup. Gamle backups kan da ikke lenger benyttes. Kun de nye!
Web Enrollment Support Pages
Når du installerer MS Certificate Services får du også et nytt websted på serveren; Web Enrollment Support Pages. Dette Webstedet har følgende URL: http://ServerNavn/certsrv. Der servernavnet er navnet på SBS Serveren. Av URLen ser vi at denne ligger under Default Web Site. Vi vil i denne hvordan artikkelen benytte dette webstedet for å utstede sertifikater.
Tips
Sikkerheten på de nye webstedene under Default Web Site kan økes. Dersom du publiserer websteder på SBS Serveren til internett er det greit å vite at de nye webstedene bruker Integrated Windows Authentication pr default. Du kan også begrense tilgangen til disse webstedene ved å sette IP begrensninger for eks til kun å gjelde for interne IP adresser. Hvis du tar en titt på denne artikkelen her: Installasjon av SBS Server 2003 – Del 2 – ICW figur 14 og 15 forstår du hva jeg mener. Du kan også konfigurere webstedene til å kreve SSL. Hvis du kjører ICW bør du sjekke opp disse webstedene etterpå og påse at disse har korrekte konfigurasjoner. Webstedene er CertControl, CertEnroll og CertSrv. Jeg vil her kort vise noen raske skjermbilder på hvor dette gjøres.
Figur 16 – Her har jeg høyreklikket webstedet certsrv, valgt fanen Directory Security og klikket på Edit i under Authentication and access control. Vi ser her at dette webstedet krever Integrated Windows authentication for pålogging.
Figur 17 – Her har jeg høyreklikket Edit under IP address and domain name restriction. Her kan du legge inn IP begrensninger for å stoppe tilgang til dette webstedet fra internett. Hvis du har en default konfigurert SBS Server skal du legge inn ”Granted 192.168.16.2 (255.255.255.0) og Granted 127.0.0.1.
Figur 18 – Her har kan du konfigurere krav om bruk av SSL.