catatan

setup certificate win-server (standalone)

I Gusti Ngurah Bagus Trisna Andika ·

Refrensi : https://support.n4l.co.nz/s/article/How-to-install-Certificate-Authority-CA-server-and-create-certificates

Intinya, untuk trafik TLS/SSL (Transport Layer Secure) dibutuhkan sebuah Certificate, biasanya terdiri dari CA Certificate, dan Client certifikate (Sertifikat yang akan dipakai)

Prosedurnya :

  • CA Server akan membuat sebuah ROOT CA/ Certifikate tersebut harus diinstall di setiap server sebagai trusted root certifikate
  • Setelah itu, kita buat file request misal untuk web helo.lks1.com. Nanti nya akan kegenerate file .csr (certificate sign request). Nantinya si server CA akan diminta untuk menandatangani/Sign certifikate tersebut agar valid
  • Import file .csr, lalu akan di sign oleh CA Server, yang nantinya akan menjadi output .pfx/.crt
  • Certificate akan bisa digunakan untuk https.

Common issue

Sering terjadi seperti untrusted padahal sudah https, itu bisa terjadi karena ROOT_CA tidak terimport secara sempurna di mesin Client. Contohnya,

Pasted image 20231008155602

Install

  1. Lanjut pilih Role-based

Add Role & Features, Klik next di bagian Before you begin

Pasted image 20231008155717Pasted image 20231008155840

  1. di Server Section pilih server yang akan diinstall CA Server, Klik next

Pasted image 20231008155936

  1. Pilih Active Directory Certificate Services, Klik next. Next di features bisa skip langsung next ke bagian AD CS

Pasted image 20231008160017

  1. Di section AD CS Klik next, di Role Services pilih Certificate Authority

Pasted image 20231008160137

  1. Klik next dan Install..

Setup

Setelah selesai install, biasanya akan ada notif untuk menyarankan setup seperti berikut, tinggal klik aja

Pasted image 20231008160331

  1. Credentials, bisa pake akun Administrator aja klik next.

Pasted image 20231008160406

  1. Role service bisa pilih Certificate Authority, klik next

Pasted image 20231008160446

  1. Karena win-server tidak dikonfigurasi domain, bisa langsung pilih Standalone CA. Poin positifnya, untuk CA Server tidak perlu di configurasi untuk ke internet

Pasted image 20231008160611

  1. Next, untuk CA Type, bisa pilih ROOT CA

Pasted image 20231008160720

  1. Private Key, bisa dibuat aja/Next aja

Pasted image 20231008160746

  1. Crypthograpy bisa next

Pasted image 20231008160819

  1. Di CA Name, bisa dikonfigurasi namanya untu CN nya apa. misal ca.ngurah.local/sesuaikan soal.

Pasted image 20231008160916

  1. Validity period sesuaikan dengan soal/biarkan default

Pasted image 20231008161000

  1. Di section CA Database bisa skip aja

Pasted image 20231008161031

  1. Di section Confirmation bisa cek kembali konfigurasi, dan jika sudah langsung Configure

Pasted image 20231008161138

Pastikan Result success. :) bisa di close aja.

Install Root CA di all server

Export Root CA first

  1. Cari Certificate di search

Pasted image 20231008161420

  1. Klik Certificates - Local Computer > Personal > Certificate

Pasted image 20231008161936

nanti akan muncul ROOT CA yang tadi telah dibuat, export root ca tersebut.

  1. Klik kanan di root ca yang udah dibuat tadi, pilih All Tasks > Export

Pasted image 20231008162117

  1. Klik Next

Pasted image 20231008162215

  1. Di Export Private keys Bisa pilih yes/no tergantung ingin si certificate + privkey/ Certificate doang. Tergantung kebutuhan, tapi saran pilih no aja biar universal bisa windows bisa linux

Pasted image 20231008162359

  1. Selanjutnya pilih next, sesuai soal

Pasted image 20231008162433

  1. Di file section, tinggal pilih dimana letak certificate akan di export

Pasted image 20231008162531

  1. Summary, kalo data udah bener, bisa langsung di finish

Pasted image 20231008162601

Read more