Bước 1: Cài đặt và cấu hình Standalone CA
Mở Server Manager:
Sau khi đăng nhập vào máy chủ Windows Server 2019, mở Server Manager từ thanh Start Menu.
Thêm Roles và Features:
Chọn Manage ở góc trên cùng bên phải, sau đó chọn Add Roles and Features.
Cửa sổ Before You Begin hiện ra, bạn nhấn Next.
Chọn Role-based or feature-based installation và nhấn Next.
Chọn máy chủ hiện tại từ danh sách Server Selection và nhấn Next.
Chọn Role
Tại màn hình Server Roles, tìm và tích chọn vào Active Directory Certificate Services.
Khi có một cửa sổ pop-up hiện ra yêu cầu thêm các tính năng liên quan, bạn nhấn Add Features.
Tiếp tục nhấn Next.
Chọn Role Services
Tại màn hình Role Services, bạn sẽ thấy nhiều tùy chọn.
Hãy tích chọn vào Certificate Authority và Certificate Authority Web Enrollment. Đây là hai dịch vụ cần thiết để có thể yêu cầu chứng chỉ qua trình duyệt web.
Nhấn Next và sau đó Install để bắt đầu quá trình cài đặt.
Bước 2: Cấu hình Standalone CA và Web Enrollment
Sau khi cài đặt xong, bạn sẽ thấy một biểu tượng cảnh báo màu vàng trên thanh công cụ của Server Manager.
Bắt đầu cấu hình:
Nhấp vào biểu tượng cảnh báo và chọn Configure Active Directory Certificate Services.
Chọn Role Service to Configure:
Tại màn hình này, bạn sẽ thấy danh sách các dịch vụ bạn đã cài đặt. Tích chọn cả Certificate Authority và Certificate Authority Web Enrollment. Nhấn Next.
Setup Type:
Đây là bước quan trọng nhất. Bạn phải chọn Standalone CA thay vì Enterprise CA.
Nhấn Next.
CA Type:
Chọn Root CA. Vì đây là CA duy nhất và cao nhất trong hệ thống của bạn.
Nhấn Next.
Private Key:
Chọn Create a new private key để tạo khóa riêng mới.
Nhấn Next.
Cryptography for CA:
Giữ nguyên các cài đặt mặc định: CSP (Cryptographic Service Provider), Hash Algorithm (khuyến nghị SHA256), và Key length (khuyến nghị 2048 hoặc 4096).
Nhấn Next.
CA Name:
Nhập tên cho CA của bạn. Ví dụ: homelab-CA. Tên này sẽ xuất hiện trên tất cả các chứng chỉ do CA này cấp.
Nhấn Next.
Validity Period:
Đặt thời gian hiệu lực cho chứng chỉ Root CA (ví dụ: 5 năm).
Nhấn Next.
Certificate Database:
Giữ nguyên vị trí lưu trữ mặc định.
Nhấn Next.
Confirmation:
Kiểm tra lại tất cả các cài đặt và nhấn Configure để hoàn tất.
Xuất chứng chỉ gốc (Root CA) để sau này cài đặt cho các máy client
Mở Certification Authority từ Administrative Tools trên máy chủ CA.
Nhấp chuột phải vào tên CA, chọn Properties, sau đó View Certificate.
Trong tab Details, nhấp vào Copy to File để xuất chứng chỉ gốc dưới dạng RootCA_Homelab
.cer
.Chuyển file này sang các máy client (máy tính cá nhân, laptop) và cài đặt nó vào kho lưu trữ Trusted Root Certification Authorities.
Bước 3: Đăng ký chứng chỉ cho vCenter và ESXi
Sau khi CA Server đã hoạt động, bạn sẽ sử dụng trang web Certificate Authority Web Enrollment để tạo và cấp chứng chỉ.
Trên vCenter/ESXi:
Nếu bạn muốn tạo CSR thông qua giao diện web, bạn sẽ cần thực hiện các bước sau:
Đăng nhập vào vCenter Server qua trình duyệt web.
Vào menu Administration > Certificate Management.
Chọn mục Machine SSL Certificate.
Nhấn vào nút Actions và chọn Generate Certificate Signing Request.
Trong cửa sổ mới hiện ra, bạn sẽ được yêu cầu điền các thông tin:
Organization: homelab
Organization Unit: IT
Country: VN
State/Province: Binh Duong
Locality: Ben Cat
Common Name: vcenter.homelab.local
Email: admin@homelab.local
Subject Alternative Name (Optional): SAN:DNS=vcenter.homelab.local,IP=192.168.1.13
Nhấn Generate để tạo CSR. Giao diện sẽ hiển thị nội dung của CSR, bạn cần sao chép toàn bộ nội dung này và lưu lại.
Gửi CSR đến CA Server:
Sử dụng trình duyệt web trên bất kỳ máy tính nào có thể truy cập được đến CA Server của bạn, truy cập vào địa chỉ:
http://<IP_hoặc_Tên_Máy_Chủ_CA>/certsrv
Bạn sẽ được yêu cầu đăng nhập bằng tài khoản có quyền truy cập.
Sau khi đăng nhập, chọn Request a certificate > advanced certificate request.
Sao chép toàn bộ nội dung của CSR đã tạo ở bước trên và dán vào khung Base-64-encoded certificate request.
Trong phần Certificate Template, chọn Web Server.
Nhấn Submit.
Xử lý yêu cầu trên CA Server:
Mở Certificate Authority từ Server Manager > Tools trên CA Server.
Trong khung bên trái, chọn Pending Requests.
Nhấp chuột phải vào yêu cầu vừa gửi, chọn All Tasks > Issue.
Tải chứng chỉ về:
Quay lại trang web
http://<IP_hoặc_Tên_Máy_Chủ_CA>/certsrv
trên trình duyệt.Chọn View the status of a pending certificate request
> > Base 64 encoded hoặc DER encoded. >> save file CA đã ký>> Saved-Request Certificate (8/15/2025 9:58:57 PM)
Cài đặt chứng chỉ trên vCenter/ESXi:
Certificate Management >> import & Replace Certificate >>Replace with external CA certificate where CSR is generated from vCenter Server (private key embedded) >>Machine SSL Certificate ( chọn file CA đã ký) >>Chain of trusted root certificates (chọn file Root CA từ CA server)
Tải Chứng chỉ Root CA
Mở trình duyệt web trên máy tính Windows client.
Truy cập vào trang web cấp phát chứng chỉ của CA Server:
http://<IP_hoặc_Tên_Máy_Chủ_CA>/certsrv
.Trên trang web, chọn Download a CA certificate, certificate chain, or CRL.
Ở màn hình tiếp theo, chọn Download CA certificate để tải file chứng chỉ gốc (
.cer
).
Cài đặt Chứng chỉ Root CA trên máy client
Mở file
.cer
vừa tải về. Một cửa sổ Certificate sẽ hiện ra.Nhấn vào nút Install Certificate....
Chọn Local Machine để chứng chỉ được cài đặt cho tất cả người dùng trên máy tính. Nhấn Next.
Ở màn hình Certificate Store, chọn Place all certificates in the following store.
Nhấn Browse..., sau đó chọn Trusted Root Certification Authorities.
Nhấn OK, sau đó Next.
Nhấn Finish để hoàn tất quá trình cài đặt.
Truy cập vcenter để kiểm tra xem đã được trust chưa nhé!
No comments:
Post a Comment