Creare un certificato SSL di durata maggiore di 2 anni tramite CA Server Windows

Installate la CA su di un Server di dominio facendo attenzione ad installare anche il ruolo di “Certification Authority Web Enrollment” e impostando il certificato della CA ad un valore di anni opportuno (e.g. se volete un certificato utente di 20 anni allora il certificato della rootCA deve essere di almeno 20 anni).

server_roles

Da un IIS generare una richiesta di certificato. Io la richiesta l’ho fatta direttamente dall’IIS (versione 7) della mia CA.

iis_request

Occorre andare a duplicare il Template WebServer (che di default ha validità dei certificati rilasciati di 2 anni) e mettere la validità a 20 anni.

template

template_20

A questo punto occorre accedere al webservice direttamente dalla CA o da un PC con le credenziali opportune per l’Enroll dei certificati

https://localhost/certsrv

e cliccare su “Request a Certificate“.

request

Scegliere la modalità avanzata

advanced_request

Mettere la richiesta (base64) generata in precedenza nel campo richiesto

submit_request

E scaricare il proprio certificato in formato .cer

Una volta scaricato il certificato l’ho importato nella mia CA nello snap-in  “Certificates” di mmc.

Una volta importato lo potete esportare in formato .pfx includendo la chiave privata.

In questo modo il certificato .pfx sarà pronto per poter essere installato sul server web per il quale era stata fatta la richiesta.

N.B. Attenzione che io sono risucito a generare un certificato con un template di 20 anni perchè il certificato della mia rootCA aveva validità ventennale. Se voi avete un certificato della vostra rootCA che ha validità X anni allora dovete generare un duplicato del template WebServer che abbia validità al massimo X anni!

Io ho anche modificato i valori dei seguenti registry:

reg_values

—————————-

Non ero subito riuscito a generare il certificato… ecco l post che avevo fatto su serverfault. Ho fatto varie prove di duplicazione template e generazione della richiesta.

Alla fine facendo tutto dalla CA (richiesta + installazione snap-in + export del certificato) sono riuscito ad avere il mio file .pfx da importare su IIS7 del server per il quale avevo richiesto il certificato.

http://serverfault.com/questions/689999/windows-server-2012-root-enterprise-certification-authority-issue-certificates-o/690858#690858

Creare un certificato SSL di durata maggiore di 2 anni tramite CA Server Windows

Exporting and importing Sites and App Pools from IIS 7 and 7.5

To Export the Application Pools on IIS 7 :

%windir%\system32\inetsrv\appcmd list apppool /config /xml > c:\apppools.xml

To import the Application Pools:
%windir%\system32\inetsrv\appcmd add apppool /in < c:\apppools.xml

To Export all you’re website:
%windir%\system32\inetsrv\appcmd list site /config /xml > c:\sites.xml

To Import the website:
%windir%\system32\inetsrv\appcmd add site /in < c:\sites.xml

To export/import a single application pool:
%windir%\system32\inetsrv\appcmd list apppool “MyAppPool” /config /xml > c:\myapppool.xml

For further information: Exporting and Importing Sites and App Pools from IIS

Exporting and importing Sites and App Pools from IIS 7 and 7.5