Pro vydávání certifikátů ve vaší organizaci s Microsoft Certification Authority (CA) máme několik způsobů. Nejlepší z nich je použití přímo konzoli certifikátu a její funkci pro request nového certifikátu, kde (tuším od Windows Vista) je k tomu hodně pěkně udělané "klikátko", které dnes již nahradilo starší webové rozhraní certifikační authority. Projdeme si cely postup.
Spustíme konzoli pro správu certifikátů. Na Windows 8 nebo Windows Server 2012 to uděláme jednoduše tím, že ve start nabídce vyhledáme položku Manage Computer Certificates (případně Manage user certificates) v sekci hledání Settings. Na starších Windows tyto odkazy nejsou, tak spustíme přímo mmc.exe. Dále zvolíme volbu File/Add/Remove Snap-in, vybereme Certificates a navolíme Computer account (případně My user account).
Vybereme Personal store certifikátů a nyní již spustíme vlastního průvodce pro vydání (enrollment) nového certifikátu volbou Request New Certificate. Vybereme přednastavenou enrollment politiku – šablonu certifikátu (certificate templates). V okně jsou nám nabídnuty ty, na které máme pro vydávání patřičná práva.
Zde můžete narazit na častý problém, že se vám nenabídnou šablony, na které si myslíte, že práva máte. Na serveru s certifikační autoritou ve správě šablon se podívejte (volbou manage na Certificate Templates v CA) na záložku Security požadované šablony. Právo pro zaslání požadavku Enroll (případně pro automatické vydávání certifikátu Autoenroll) musí být podle typu šablony nastaveno buď na uživatelé nebo na počítače. Tak například, aby byla šablona pro Web Server dostupná, musí být nastavena na konkrétní počítače nebo skupinu (např. Domain Computers), podobně, aby byla šablona dostupná na doménovém řadiči, musí být právo povoleno na ENTERPRISE DOMAIN CONTROLLERS. (Práva šablony lze také vypsat příkazem certutil -template)
Zpět v Certifcate Enrollment průvodci, pokud tedy máte práva správně nastavena, můžete vybrat požadovanou šablonu vydávaného certifikátu.
Popíšeme si postup vystavení certifikátu pro Webový server, zvolím tedy šablonu Web Server. Dále vyvoláme dialog na nastavení vlastností certifikátu. Tento dialog lze vyvolat vždy, ale u některých šablon je to nepovinné. U šablony Web Serveru to je naopak nutné, protože šablona vyžaduje v requestu nastavit povinný parametr Subject.
Zde můžeme podrobně určit parametry certifikátu Webového serveru přesně jak potřebujeme. Tak například pro certifikát s více jmény nastavíme první jméno do typu Common Name (CN) pole Subject a dále všechna jména, včetně toto prvního, dáme do pole Subject Alternative Name (SAN) do typy DNS.
Voleb a možností je v dialogu velké množství, já se ještě zmíním o jedné důležité, na záložce Private Key sekce Key options. Zde je volba Make private key exportable, kterou nastavíme tehdy, pokud chceme vytvořený certifikát z Windows certificate store exportovat i s jeho privátním klíčem, například abychom certifikát přenesli na jiný počítač. (Ve výchozím nastavení šablony Web Server je volba vypnutá.)
Pokud máme vše nastaveno zvolíme již volbu Enroll, žádost je vytvořena, předána na Certification Authority a pokud je to možné, tak je automaticky vyřízena (například pokud není v šabloně požadováno potvrzení od managera apod.).
Vytvořený certifikát je uložen do Personal store odkud ho můžeme rovnou použít například v IIS bindingu pro https.