域環境部署PKI與證書服務
阿新 • • 發佈:2019-03-07
工具 服務器名稱 intern form ddc 機構 當前 數字證書 企業級 在 Windows server 2016操作系統中,證書服務不是Windows默認服務,需要在系統安裝完成後手動添加證書服務,在其具體操作步驟如下。
(1)打開“服務器管理器”窗口,單擊“添加角色功能”
(2)在“開始之前”窗口中,單擊“下一步”按鈕
(3)在“選擇安裝類型”窗口中,選擇“基於角色或基於功能的安裝”單選按鈕,單擊“下一步”按鈕
(4)在“選擇目標服務器”窗口中,在服務器池中選擇當前服務器,單擊“下一步”按鈕
(5)在“選擇服務器角色”窗口中,選擇“Active Directory證書服務”復選框,並在彈出的“添加角色和功能向導”對話框中單擊“添加功能”按鈕,然後單擊“下一步”按鈕
(6)在“選擇功能”窗口中,保持默認設置,單擊“下一步”按鈕
(7)在“Active Directory證書服務”窗口中,可以查看有關證書頒發機構命名的註意事項,然後單擊“下一步”按鈕
(8)在“選擇角色服務”窗口中,選擇“證書頒發機構”和“證書頒發機構Web註冊”兩個復選框,然後單擊“下一步”按鈕,“證書頒發機構web註冊”復選框用於使用用戶通過web瀏覽器連接到CA,以便申請證書或檢索證書吊銷列表
(9)在“確認安裝所選內容”窗口中,確認安裝的摘要信息,單擊“安裝”按鈕,
(10)安裝完成後,單擊 關閉按鈕
配置證書服務
(1)單擊服務器管理器的通知按鈕,在展開的菜單中選擇配置目標服務器上的Active Directory證書服務
(2)在憑據窗口中可以看到,若安裝證書頒發機構web註冊和企業證書頒發機構,則分別需要本地administrator組和enterprise admins組的權限,默認位當前登錄的域管理員,權限滿足,單擊下一步按鈕
(3)在角色服務窗口中,選擇證書頒發機構和證書頒發機構web註冊,兩個復選框,單擊下一步按鈕
(4)在設置類型窗口中,選擇企業CA單選按鈕,然後單擊下一步
(5)在CA類型窗口中,選擇根CA單選按鈕,單擊下一步按鈕
(6)在私鑰窗口中,選擇創建新的私鑰單選按鈕,單擊下一步按鈕
(7)在CA加密窗口中,使用默認CSP(加密提供程序),哈希算法和密鑰長度,單擊下一步按鈕
(8)在CA名稱窗口中使用默認配置,單擊下一步按鈕
(9)在有效期窗口中使用默認配置,單擊下一步按鈕
(10)在CA數據庫窗口中,可以修改數據庫存放的位置和數據庫日誌存放的位置,使用默認配置,單擊下一步按鈕
(11)在確認窗口中,查看角色,角色服務器或功能的配置信息,確認無誤後單擊配置按鈕
(12)配置完成後,在結果窗口中單擊關閉按鈕
(13)配置完成後可以從服務器管理器窗口的工具菜單中選擇證書頒發機構,打開證書頒發機構管理器,管理證書的頒發
證書申請和頒發
申請證書
(1)在web服務器上,打開Internet information services(IIs)管理器窗口,在左側窗口中選擇服務器名稱,雙擊中間窗格的服務器證書,
(2)單擊右側窗格的創建證書申請
(3)在可分辨名稱屬性窗口中輸入證書的必須信息,單擊下一步按鈕
(4)在加密服務提供程序屬性窗口中,使用默認的加密程序和密鑰長度,單擊下一步按鈕
(5)在文件名窗口中,位該證書申請指定一個文件名和保存位置,單擊完成按鈕,完成證書申請的創建,
(6)打開證書申請文件C:\webcer.txt 可見證書申請文件是base64編碼
提交申請證書
通過瀏覽器可以訪問certsrv虛擬目錄提交申請
(1)復制證書申請文件的全部內容
(2)使用瀏覽器http://ip/certsrv 連接刀證書服務器,在彈出的對話框中輸入域管理員的賬號和密碼,打開證書服務的歡迎頁面,單擊申請證書
(3)在申請一個證書頁面中,單擊高級證書申請
(4)在高級證書申請頁面中,選擇第二項使用base64編碼的證書申請
(5)在提交一個證書申請或續訂申請頁面,降第一步復制的證書申請內容粘貼到保存的申請文本框中,在證書模板下拉列表框中選擇web服務器 單擊提交按鈕
頒發證書
域環境企業級CA申請的證書,提交申請後會自動頒發,並直接進入證書已頒發頁面,在證書已頒發頁面中,選擇base64編碼單選按鈕,單擊下載證書,將證書保存在本地
在web服務器上安裝證書
(1)打開web服務器,打開服務器證書,單擊完成證書申請鏈接
(2)在指定證書頒發機構響應對話框中,輸入CA響應文件(已下載的數字證書文件)的路徑和文件名,並給該文件起個好記的名稱,單擊確定按鈕,完成證書的申請
配置安全通道SSL
(1)展開Internet information services(IIs)管理器,窗口左側窗格的節點樹,選擇需要使用該證書的站點,單擊右側操作窗格中的綁定按鈕
(2)在網站綁定對話框中,單擊添加按鈕
(3)在添加網站綁定對話框中選擇類型類https,選擇ssl證書位先前安裝的證書web使用默認443端口,單擊確定按鈕
(4)當為站點設置https類型的綁定後,還需要修改該站點的ssl設置,展開Internet information services(IIS)管理器 窗口左側窗格的節點樹,選擇需要配置SSL的站點,雙擊中間窗格中的ssl設置,進入ssl設置頁面
使用https協議訪問網站
用戶可以使用https方式(https//)和站點建立連接,
單擊繼續瀏覽此網站(不推薦)後即可訪問目標網站
客戶端訪問首先把客戶端加入域,客戶端DNS指向域的IP地址
(1)打開“服務器管理器”窗口,單擊“添加角色功能”
(2)在“開始之前”窗口中,單擊“下一步”按鈕
(3)在“選擇安裝類型”窗口中,選擇“基於角色或基於功能的安裝”單選按鈕,單擊“下一步”按鈕
(4)在“選擇目標服務器”窗口中,在服務器池中選擇當前服務器,單擊“下一步”按鈕
(5)在“選擇服務器角色”窗口中,選擇“Active Directory證書服務”復選框,並在彈出的“添加角色和功能向導”對話框中單擊“添加功能”按鈕,然後單擊“下一步”按鈕
(6)在“選擇功能”窗口中,保持默認設置,單擊“下一步”按鈕
(7)在“Active Directory證書服務”窗口中,可以查看有關證書頒發機構命名的註意事項,然後單擊“下一步”按鈕
(8)在“選擇角色服務”窗口中,選擇“證書頒發機構”和“證書頒發機構Web註冊”兩個復選框,然後單擊“下一步”按鈕,“證書頒發機構web註冊”復選框用於使用用戶通過web瀏覽器連接到CA,以便申請證書或檢索證書吊銷列表
(9)在“確認安裝所選內容”窗口中,確認安裝的摘要信息,單擊“安裝”按鈕,
(10)安裝完成後,單擊 關閉按鈕
配置證書服務
(1)單擊服務器管理器的通知按鈕,在展開的菜單中選擇配置目標服務器上的Active Directory證書服務
(2)在憑據窗口中可以看到,若安裝證書頒發機構web註冊和企業證書頒發機構,則分別需要本地administrator組和enterprise admins組的權限,默認位當前登錄的域管理員,權限滿足,單擊下一步按鈕
(3)在角色服務窗口中,選擇證書頒發機構和證書頒發機構web註冊,兩個復選框,單擊下一步按鈕
(4)在設置類型窗口中,選擇企業CA單選按鈕,然後單擊下一步
(5)在CA類型窗口中,選擇根CA單選按鈕,單擊下一步按鈕
(6)在私鑰窗口中,選擇創建新的私鑰單選按鈕,單擊下一步按鈕
(7)在CA加密窗口中,使用默認CSP(加密提供程序),哈希算法和密鑰長度,單擊下一步按鈕
(8)在CA名稱窗口中使用默認配置,單擊下一步按鈕
(9)在有效期窗口中使用默認配置,單擊下一步按鈕
(10)在CA數據庫窗口中,可以修改數據庫存放的位置和數據庫日誌存放的位置,使用默認配置,單擊下一步按鈕
(11)在確認窗口中,查看角色,角色服務器或功能的配置信息,確認無誤後單擊配置按鈕
(12)配置完成後,在結果窗口中單擊關閉按鈕
(13)配置完成後可以從服務器管理器窗口的工具菜單中選擇證書頒發機構,打開證書頒發機構管理器,管理證書的頒發
證書申請和頒發
申請證書
(1)在web服務器上,打開Internet information services(IIs)管理器窗口,在左側窗口中選擇服務器名稱,雙擊中間窗格的服務器證書,
(2)單擊右側窗格的創建證書申請
(3)在可分辨名稱屬性窗口中輸入證書的必須信息,單擊下一步按鈕
(4)在加密服務提供程序屬性窗口中,使用默認的加密程序和密鑰長度,單擊下一步按鈕
(5)在文件名窗口中,位該證書申請指定一個文件名和保存位置,單擊完成按鈕,完成證書申請的創建,
(6)打開證書申請文件C:\webcer.txt 可見證書申請文件是base64編碼
提交申請證書
通過瀏覽器可以訪問certsrv虛擬目錄提交申請
(1)復制證書申請文件的全部內容
(2)使用瀏覽器http://ip/certsrv 連接刀證書服務器,在彈出的對話框中輸入域管理員的賬號和密碼,打開證書服務的歡迎頁面,單擊申請證書
(3)在申請一個證書頁面中,單擊高級證書申請
(4)在高級證書申請頁面中,選擇第二項使用base64編碼的證書申請
(5)在提交一個證書申請或續訂申請頁面,降第一步復制的證書申請內容粘貼到保存的申請文本框中,在證書模板下拉列表框中選擇web服務器 單擊提交按鈕
頒發證書
域環境企業級CA申請的證書,提交申請後會自動頒發,並直接進入證書已頒發頁面,在證書已頒發頁面中,選擇base64編碼單選按鈕,單擊下載證書,將證書保存在本地
在web服務器上安裝證書
(1)打開web服務器,打開服務器證書,單擊完成證書申請鏈接
(2)在指定證書頒發機構響應對話框中,輸入CA響應文件(已下載的數字證書文件)的路徑和文件名,並給該文件起個好記的名稱,單擊確定按鈕,完成證書的申請
配置安全通道SSL
(1)展開Internet information services(IIs)管理器,窗口左側窗格的節點樹,選擇需要使用該證書的站點,單擊右側操作窗格中的綁定按鈕
(2)在網站綁定對話框中,單擊添加按鈕
(3)在添加網站綁定對話框中選擇類型類https,選擇ssl證書位先前安裝的證書web使用默認443端口,單擊確定按鈕
(4)當為站點設置https類型的綁定後,還需要修改該站點的ssl設置,展開Internet information services(IIS)管理器 窗口左側窗格的節點樹,選擇需要配置SSL的站點,雙擊中間窗格中的ssl設置,進入ssl設置頁面
使用https協議訪問網站
用戶可以使用https方式(https//)和站點建立連接,
單擊繼續瀏覽此網站(不推薦)後即可訪問目標網站
客戶端訪問首先把客戶端加入域,客戶端DNS指向域的IP地址
域環境部署PKI與證書服務