Installate la CA su di un Server di dominio facendo attenzione ad installare anche il ruolo di “Certification Authority Web Enrollment” e impostando il certificato della CA ad un valore di anni opportuno (e.g. se volete un certificato utente di 20 anni allora il certificato della rootCA deve essere di almeno 20 anni).
Da un IIS generare una richiesta di certificato. Io la richiesta l’ho fatta direttamente dall’IIS (versione 7) della mia CA.
Occorre andare a duplicare il Template WebServer (che di default ha validità dei certificati rilasciati di 2 anni) e mettere la validità a 20 anni.
A questo punto occorre accedere al webservice direttamente dalla CA o da un PC con le credenziali opportune per l’Enroll dei certificati
https://localhost/certsrv
e cliccare su “Request a Certificate“.
Scegliere la modalità avanzata
Mettere la richiesta (base64) generata in precedenza nel campo richiesto
E scaricare il proprio certificato in formato .cer
Una volta scaricato il certificato l’ho importato nella mia CA nello snap-in “Certificates” di mmc.
Una volta importato lo potete esportare in formato .pfx includendo la chiave privata.
In questo modo il certificato .pfx sarà pronto per poter essere installato sul server web per il quale era stata fatta la richiesta.
N.B. Attenzione che io sono risucito a generare un certificato con un template di 20 anni perchè il certificato della mia rootCA aveva validità ventennale. Se voi avete un certificato della vostra rootCA che ha validità X anni allora dovete generare un duplicato del template WebServer che abbia validità al massimo X anni!
Io ho anche modificato i valori dei seguenti registry:
—————————-
Non ero subito riuscito a generare il certificato… ecco l post che avevo fatto su serverfault. Ho fatto varie prove di duplicazione template e generazione della richiesta.
Alla fine facendo tutto dalla CA (richiesta + installazione snap-in + export del certificato) sono riuscito ad avere il mio file .pfx da importare su IIS7 del server per il quale avevo richiesto il certificato.