После установки IIS необходима установить CA (Certification Authority). CA устанавливаем в режиме root enterprise CA, что позволяет использовать его в качестве сервера сертификации в AD.
Также желательно создать общую папку для хранения корневого сертификата данного CA. Администрирование CA проводится с помощью оснастки Administrative Tools -> Certification Authority. Необходимо добавить в шаблоны сертификатов (Certificate templates) несколько шаблонов (остальные необходимые добавлены автоматически):
- Smartcard User (пользователь со смарт-картой) — собственно для выдачи этого сертификата;
- Enrollment Agent (агент запросов) — выдается пользователю, который будет иметь право выдавать сертификаты другим пользователям через web-интерфейс. Такой же шаблон есть и для компьютера, соответственно все администраторы этого компьютера смогут выдавать сертификаты;
- Exchange User — необходим, если нужно также защищать почтовую переписку.
Далее необходимо провести настройку AD.
В Default Domain Policy необходимо указать доверенный центр сертификации
Делается это импортирование сертификата CA из общей папки, созданной на этапе установки CA. Если такая папка не была создана, то нужно заранее экспортировать этот сертификат из CA в файл. После этого надо из «параметров автоматического запроса сертификатов» убрать все запросы, кроме «контроллер домена».
Затем нужно настроить автоматическую подачу заявок, установив в автоматический режим и отметив все галочки.
Осталось только обновить политику безопасности на котроллерах домена и настройка AD будет закончена.