证书服务器是Windows网络基础架构中重要组成部分,因为证书服务特性(不能更改计算机名称、网络参数),因此在部署证书服务器时建议独立部署,不要和域控制器部署在同一台服务器中。否则在迁移或者升级证书服务时,首先要迁移域控制器以及相关的服务(Acitve Directory集成区域DNS服务、DHCP服务、WINS服务等),还要通过策略更改已经部署的系列服务,然后迁移或者升级证书服务,迁移周期将延长甚至影响网络的正常运行。所以好的网络基础架构对证书服务器迁移与升级尤其重要。本章将在域中部署Windows Server 2012企业根,以及最常见的IIS站点应用。
部署ADCS服务
网络中部署AD DS域服务,域控制器中部署ADCS证书服务。在实际应用环境中,建议将证书服务器独立部署,不建议和域控制器部署在同一台服务器中。部署ADCS服务,需要域管理员权限。
根类型
Windows Server 2012中提供两种根:企业根和独立根
·企业根:安装在AD DS域服务环境中的根,与Acitve Directory集成。部署企业根后,不需要单独配置策略发布企业根证书,AD DS域服务会自动通过组策略将企业根证书发送到域内所有计算机中,也就是说域内所有计算机自动信任企业根。
·独立根:安装在独立服务器中,或者安装在成员服务器中的独立根,执行安装ADCS服务的用户不具备访问AD CS域服务的权限,需要通过“受信任的根证书颁发机构”策略,将独立根的证书通过策略发送到域内所有计算机中。
在部署AD DS域服务环境中,建议部署企业根。本书中部署的根模式为企业根。
安装ADCS服务
第1步,以域管理员身份登录域控制器。启动“添加角色和功能向导”,根据向导提示打开“选择服务器角色”对话框,“角色”列表中选择“Active Directory证书服务”选项。
第2步,单击“下一步”。提醒管理员安装ADCS服务同时需要安装的管理组件。单击“添加功能”按钮,返回到“选择服务器角色”对话框
第3步,单击“下一步”按钮。“功能”列表中根据需要选择需要安装的功能。
第4步,单击“下一步”按钮,显示部署ADCS服务的注意事项。
第5步,单击“下一步”按钮。“角色服务”列表中选择需要部署的功能,本例中选择“证书办法机构”和“证书办法机构Web注册”选项。
第6步,单击“下一步”按钮,显示“Web服务器角色(IIS)”对话框。显示部署ADCS服务同时需要安装IIS Web服务角色,并启用相应的功能。
第7步,单击“下一步”按钮,显示“选择角色服务”对话框。设置Web服务器需要的功能列表,建议使用默认值即可。
第8步,单击“下一步”按钮,显示“确认安装所选内容”对话框。显示安装ADCS服务组件列表。选择“如果需要,自动重新启动目标服务器”选项。
第9步,单击“安装”按钮,开始安装Acitve Directory证书服务。
配置ADCS服务
第1步,单击“配置目标服务器上的Acitve Directory证书服务”超链接,启动“AD CS配置”向导,显示“凭据”对话框。默认使用当前登录用户作为管理员。
第2步,单击“下一步”按钮,显示“角色服务”对话框。“选择要配置的角色服务”列表中,选择需要配置的证书功能,本例中“证书颁发机构”和“证书颁发机构Web注册”功能选项。
第3步,单击“下一步”按钮,显示“设置类型”对话框。设置部署CA类型。本例中选择“企业CA”选项,部署为企业根模式必须和Acitve Directory绑定。证书服务器至少是域成员服务器。
第4步,单击“下一步”按钮。设置企业根类型,本例中部署为“根”,不是从属CA。
第5步,单击“下一步”按钮,显示“私钥”对话框。如果没有私钥,选择“创建新的私钥”选项;如果已有私钥,可以选择“使用现有私钥”选项。本例中选择前者。
第6步,单击“下一步”按钮,显示“CA的加密”对话框。设置证书加密使用的程序、密钥长度以及使用的算法。建议使用默认值即可。
第7步,单击“下一步”按钮,显示“CA名称”对话框。设置CA服务器的公用名称,注意该名称必须是唯一的。“可分辨名称后缀”文本框中,默认使用当前域的DN名称,“此CA的公用名称”和“可分辨名称后缀”组成证书服务器的完整可分辨名称。
第8步,单击“下一步”,显示“有效期”对话框。默认设置为5年,根据需要调整发布证书的有效期。
第9步,单击“下一步”,显示“CA数据库”对话框。设置证书数据库以及日志文件的存储位置。
第10步,单击“下一步”按钮,显示“确认”对话框。显示设置的证书服务器信息。
第11步,单击“配置”按钮,开始配置证书服务,配置成功后显示“结果”对话框。单击“关闭”按钮,完成证书服务设置。
证书日常管理
ADCS服务企业根部署成功,以域用户身份登录计算机后,将企业根自动添加到“受信任的证书颁发机构”中,不需要通过策略将企业根证书发布到网络中的所有计算机中。当网络中的客户端计算机数量比较多时,由于使用者计算机水平参差不齐,让每个用户通过手动方式通过IE浏览器申请证书,会遇到问题。为了解决该问题,域管理员可以通过组策略自动完成证书申请操作,让用户从申请证书工作中解脱出来。
“证书颁发机构”管理工具
Windows Server 2012 ADCS服务部署成功后,域管理员可以通过“证书颁发机构”管理域用户申请的证书。管理员可以通过“开始”屏幕的“证书颁发机构”此贴或者“服务器管理器”中的“工具”菜单启动“证书颁发机构”管理窗口。
1.吊销的证书
选择“吊销的证书”选项后,右侧列表中显示CA服务器已经吊销的证书。“吊销原因”列表中显示证书被吊销的原因。
如果确认证书吊销错误,右击处于“证书待定”状态的证书,在弹出的快捷菜单中选择“所有任务”选项,在弹出的级联菜单中选择“解除吊销证书”命令,命令执行后,重新发布证书,证书被转移到“颁发的证书”列表中。
2.颁发的证书
选择“颁发的证书”选项后,右侧列表中显示CA服务器已经颁发的证书。已经颁发的证书包括用户证书、服务器证书以及客户端计算机证书,用户可以通过Web方式申请证书,也可以通过组策略自动发布证书,对于特殊应用的服务器(IIS服务器),可以通过“Intenet信息服务(IIS)管理器”内置的证书申请、续订功能完成证书申请。
如果已经颁发的证书过期或者其他原因申请新的证书,CA管理员需要吊销已经发布的证书,使证书无效。例如用户“demo”证书由于申请新证书,需要禁用已有的证书。右击目标证书,在弹出的快捷菜单中选择“所有任务”选项,在弹出的级联菜单中选择“吊销证书”命令。
命令执行后,显示所示的“证书吊销”对话框。在“理由码”列表中选择证书被吊销的原因,“日期和时间”列表中设置吊销证书生效时间。
参数设置完成后,单击“是”按钮,禁用选择的证书,证书转移到“吊销的证书”列表中。
3.挂起的证书
选择“挂起的申请”选项后,右侧列表中显示用户正在申请的证书。该页面CA管理员可以对申请的证书进行批复:拒绝或者同意。
本例中有2个正在申请的证书,右击任何一个正在申请的证书,在弹出的快捷菜单中选择“所有任务”选项,在弹出的级联菜单中选择“颁发”或者“拒绝”命令。命令执行后,成功颁发的证书转移到“颁发的证书”列表中,拒绝的证书转移到“吊销的证书”列表中。
4.失败的申请
选择“失败的申请”选项后,右侧列表中显示用户申请失败的证书,该页面中CA管理员可以对失败的证书进行手动批复。
右击任何一个申请失败的证书,在弹出的快捷菜单中选择“所有任务”选项,在弹出的级联菜单中选择“颁发”命令。命令执行后,成功颁发的证书转移到“颁发的证书”列表中。
5.证书模板
“证书模板”选项中,显示当前CA服务器加载的证书模板。用户在申请证书时,只有该列表中的模板可用。
“证书模板”管理工具
CA管理员只能通过“MMC”加载“证书模板”管理单元的方式管理,Windows Server 2012没有提供独立的管理工具。
加载成功后,显示CA服务器中所有可用的证书模板。
本例中发布一个全新的用户模板,由于证书颁发机构中已经存在一个名称为“用户”的证书模板,在该基础上复制生产新模板属性后发布到组策略环境中,使用户能够自动注册用户证书。
1.制作证书模板
第1步,通过“MMC”加载“证书模板”管理单元,加载成功后。本例中已有的模板“用户”为基础创建一个新的模板。
第2步,右击“用户”模板,在弹出的快捷菜单中选择“复制模板”命令,命令执行后,打开“新模板的属性”对话框。切换到“常规”选项卡,设置模板显示名称、有效期、续订期以及选择“Acitve Directory中发布证书”选项。
第3步,切换到“请求处理”选项卡,选择“允许导出私钥”以及“注册证书使用者时无须用户输入”选项。
第4步,切换到“使用者名称”选项卡,选择“用户Acitve Directory中的信息生成”选项,根据需要设置电子邮件名、DNS名、用户主体名称以及服务的主体名称选项
第5步,切换到“安全”选项卡,“组或者用户名”列表中选择“Authenticated Users”组,“Authenticated Users的权限”列表中选择“读取”、“写入”、“注册”、“自动注册”选项。单击“确定”按钮,完成新用户模板设置。
2.启用新证书模板
打开“证书颁发机构”控制台,左侧导航窗格中选择“证书模板”选项,右侧窗格中显示当前已经启用的所有证书模板。本例中使用新建的模板为用户分配证书,因此需要删除正常使用的证书模板“用户”。
右击名称为“用户”的模板,在弹出的快捷菜单中选择“删除”命令,命令执行后,根据提示删除已有的“用户模板”。
右击“证书模板”,在弹出的快捷菜单中选择“新建”选项,在弹出的级联菜单中选择“要颁发的证书模板”命令。
命令执行后,打开“启用证书模板”对话框,模板列表中选择需要启用的模板。
单击“确定”按钮,新模板添加到控制台中。
用户手动申请证书
申请前,将证书服务器的IP地址添加到“受信任的站点”中,并启用所有的“AcitveX”控件功能。
第1步,以域用户身份登录客户端计算机。打开IE浏览器,键入证书服务器地址,显示“Windows安全”对话框,输入用户名和密码
第2步,单击“确定”按钮,访问成功后打开“欢迎使用”网页
第3步,单击“申请证书”超链接,打开“申请一个证书”网页
第4步,单击“用户证书”超链接,显示“Web访问确认”对话框
第5步,单击“是”按钮,打开“用户证书-识别信息”网页
第6步,单击“提交”按钮,开始申请证书,申请相应通过后,证书颁发机构一张证书给当前客户端计算机。
第7步,单击“安装此证书”超链接,在当前计算机中安装证书。
查看已经颁发的证书
管理员或者用户可以通过MMC或者浏览器查看当前计算机中安装的证书。注意,如果当前登录用户是非管理员用户,只能查看用户证书,不能查看计算机证书。
1.查看证书之一:浏览器查看
IE—工具—Internet选项—打开“Internet选项”—切换到“内容”选项卡
单击“证书”按钮,显示所示的“证书”对话框。“个人”选项卡中,显示当前计算机中登录用户申请的用户证书。
2.查看证书之二:MMC查看
续订根证书
企业管理中,管理员可能会遇到根证书即将过期的状况。企业根证书服务器中,以域管理员身份打开“证书颁发机构”,通过续订证书的方法完成根证书延期。
1.查看根证书
以域管理员身份打开证书颁发机构,右击证书服务器名称,在弹出的快捷菜单中选择“属性”命令,命令执行后,打开证书服务器属性对话框,切换到“常规”选项卡,“CA证书”列表中显示所有可用的证书
选择名称为“证书#3”的证书,单击“查看证书”按钮,打开“证书”对话框,切换到“详细信息”选项卡,查看证书有效期。该证书到“2013/7/23 14:15:43”这个时间后过期
2.续订根证书
第1步,以域管理员身份打开证书颁发机构,右击证书服务器名称,在弹出的快捷菜单中选择“所有任务”选项,在弹出额级联菜单中选择“续订CA证书”命令。
第2步,命令执行后,显示“安装CA证书”对话框。
第3步,单击“是”按钮,打开“续订CA证书”对话框,选择“是”
第4步,单击“确定”按钮,关闭“续订CA证书”对话框,启动“ADCS服务,重新加载证书颁发机构,打开证书服务器属性对话框后,切换到“常规”选项卡,“CA证书”列表中显示已经续订成功的证书,新证书名称为“证书#4”
发布计算机证书自动申请策略
以域管理员身份登录域控制器,打开“组策略管理”控制台,选择默认的“Default Domain Policy”策略,注意在实际应用环境中,不建议在该策略中部署策略,应该创建新的域对象后发布策略。
1.部署计算机证书自动申请策略
第1步,编辑“Default Domain Policy”策略,打开“组策略管理编辑器”,选择“计算机配置”-“策略”-“Windows设置”-“安全设置”-“公钥策略”-“自动证书申请设置”选项,右击右侧空白窗口,在弹出的快捷菜单中选择“新建”选项,在弹出的级联菜单中选择“自动证书申请”选项。
第2步,命令执行后,启动“自动证书申请设置向导”,显示“欢迎使用自动证书申请设置向导”对话框
第3步,单击“下一步”按钮,显示“证书模板”对话框。“证书模板”列表中,选择名称为“计算机”的证书模板。
第4步,单击“下一步”按钮,显示“正在完成自动证书申请设置向导”对话框,显示设置的自动申请信息。单击“完成”按钮,完成策略设置
2.部署注册相关组策略
第1步,编辑“Default Domain Policy”策略,打开“组策略管理编辑器”,选择“计算机配置”-“策略”-“Windows设置”-“安全设置”-“公钥恶略”选项,右侧列表显示预置的策略。
第2步,打开“证书服务客户端-证书注册策略属性”对话框,“配置模式”设置为“启用”,“证书注册策略列表”中选择内置的“Acitve Directory注册策略”。单击“确定”按钮,完成策略设置。
第3步,打开“证书服务客户端-证书注册策略属性”对话框,“配置模式”设置为“启用”,选择“续订过期证书、更新未决证书并删除吊销的证书”以及“更新使用证书模板的证书”选项,设置证书预定以及过期的处理方式。
策略生效后,客户端计算机重新启动,登录成功后即可自动注册证书。
发布用户证书自动申请策略
通过组策略部署用户策略,用户登录后自动从CA证书服务器申请证书,注意证书的颁发设置。
第1步,编辑“Default Domian Policy”策略,打开“组策略管理编辑器”,选择“用户配置”-“策略”-“Windows 设置”-“安全设置”-“公钥策略”选项,右侧列表显示预置的策略。
第2步,打开“证书服务客户端-证书注册策略属性”对话框,“配置模式”设置为“启用”,“证书注册策略列表”中选择内置的“Acitve Directory注册策略”。单击“确定”按钮,完成策略设置。
第3步,打开“证书服务客户端-自动注册属性”对话框,“配置模式”设置为“启用”,选择“续订过期证书、更新未决证书并删除吊销的证书”以及“更新使用证书模板的证书”选项,设置证书预定以及过期的处理方式。
参数设置完成后,单击“确定”按钮,完成策略设置。组策略生效后,客户端计算机重新启动将自动完成注册、申请、颁发用户证书。
用户访问SSL站点可能遇到的问题
用户访问打开一个SSL站点(内部站点)时,如果出现“安全警报”提示对话框,表示问题和证书相关。本节主要介绍如何解决遇到的证书提示问题,使用户可以顺利访问SSL站点,不产生这样的对话框。
提示信息解析
·第一个提示:此证书是否由受信任的证书颁发机构颁发。如果是,则为绿色“√”,否则就会出现换色叹号。
·第二个提示:此证书是否在有效期内。如果是,则为绿色“√”,否则就会出现×××叹号。
·第三个提示:证书上的名称与站点名称是否匹配。如果是,则为绿色“√”,否则就会出现×××叹号。
如果三个提示的结果均为绿色“√”,直接解析目标网页,将不会出现任何提示。任何一个条件不满足,将出现上述的提示。
第一个提示:关于证书颁发机构
Windows安装完成后,默认内置N个证书,这些证书都是世界知名公司、企业或机构的根证书,访问由内置证书颁发机构颁发证书加密网站时,不会出现第一个提示错误的情况。因为本机中“受信任根证书颁发机构”里有这些根证书,也就相当于本机信任这些根证书机构颁发的证书。以Windows XP操作系统为例。
打开IE浏览器,通过菜单栏的“工具”-“Internet选项”-“内容”-“证书”选项,打开“证书”对话框,切换到“受信任的根证书颁发机构”选项卡,显示内置的根证书。
当浏览器检测到一个新证书时,检查证书颁发者是否在信任机构内,如果是则信任该证书,否则就不信任,不信任时弹出这样的提示,提示浏览器检测到的这份证书并不是受信任的根证书颁发机构。解决该问题的方法是,此证书添加至本地的受信任证书机构内。
解决方法:安装证书链,并验证证书链。
第1步,打开证书服务器申请地址“http://192.168.0.1/certsrv”,打开欢迎网页。
第2步,单击“下载CA证书、证书链或CRL”超链接,打开“下载CA证书、证书链或CRL”网页。
第3步,单击“请安装此CA证书链”超链接,显示“潜在的脚本冲突”对话框。提示是否将目标站点添加到信任列表中。
第4步,单击“是”按钮,显示“安全警告”对话框。注意指纹信息
第5步,单击“是”按钮,在当前计算机中安装证书
第6步,通过“mmc”打开证书管理器,左侧导航窗格中选择“受信任的根证书颁发机构”-“证书”选项,右侧列表中查找刚导入的证书颁发机构,本例中为“book-DC-CA”
第7步,双击打开该证书,打开“证书”属性对话框,切换到“详细信息”选项卡,列表中选择“微缩图”,选项,下方文本框显示详细的指纹信息,和上一步的指纹信息比对,确认是否相同
第二个信息:关于日期和时间
如果当前证书在有效期内,第二个信息不会有任何问题。注意,证书颁发机构的有效期和证书有效期是两个不同的概念。证书颁发机构的有效期,在安装过程中设置默认为5年,企业根CA和独立根CA机构的默认期限均为5年。但颁发的证书,企业根默认为2年,独立根默认为1年。
第三个提示:名称无效
“安全警报”对话框中第三个提示信息为“安全证书上的名称无效,或者与站点名称不匹配”。单击“查看证书”按钮,显示证书状态以及证书的可用性。证书信息以红色叉号标识,表示当前计算机中的证书无法到指定的证书颁发机构验证,证书无效。
证书信息显示“颁发给:TDC.book.com”,指的是在证书申请过程中设置的通用名称为“TDC.book.com”,访问该网站时地址栏中键入的信息是“https://192.168.0.151”,显而易见证书通用名称的设置是“TDC.book.com”,计算机的IP地址为“192.168.0.151”,通用名称和IP都有效,只是没有正确匹配。
解决方法:站点服务器新申请一张证书,将证书的通用名称设置为计算机的IP地址。其他步骤和申请证书相同。
证书典型应用:SSL站点
证书最常见的应用是部署SSL站点。默认情况下部署的站点使用HTTP协议,端口为80。通过证书部署的站点使用HTTPS协议,端口为443,在安全性要求较高的环境中建议部署SSL站点。本例中,在企业内部部署SSL站点,网络中已经部署AD DS域服务,证书服务方式为“企业根”。
基本信息
1.默认站点
本例中名称为“tdc.book.com”服务器运行Windows Server 2012操作系统,是book.com域的成员服务器,已经安装IIS服务以及必需的组件(部署过程略)。通过“http:tdc.book.com”打开站点后(默认80端口)
2.案例任务
案例任务:将站点“http://tdc.book.com”部署为SSL类型的站点
申请证书配置文件
第1步,以域用户身份登录成员服务器,打开“Internet信息服务(IIS)管理器”,左侧导航窗格中选择服务器名称,中间窗格中选择“服务器证书”
第2步,命令执行后,打开“服务器证书”敞口,默认该服务器中没有安装任何证书
第3步,右侧“操作”窗格中选择“创建证书申请”超链接,命令执行后,启动“申请证书”向导,打开“可分辨名称属性”对话框,设置证书相关信息。注意通用名称设置,通用名称要设置成客户端计算机访问的站点名称,本例中客户端计算机通过“http://tdc.book.com”形式访问,因此通用名称设置为“tdc.book.com”
第4步,单击“下一步”按钮,打开“加密服务提供程序属性”对话框。设置加密服务提供程序以及密钥的长度。本例中使用默认值。
第5步,单击“下一步”按钮,打开“文件名”对话框。设置申请文件的文件名以及存储位置。设置完成的参数。单击“完成”按钮,完成证书申请设置。
申请Web服务器证书
用户根据证书配置文件创建的申请信息,通过Web方式访问证书服务器并申请证书,证书申请成功后下载到当前服务器环境中。
第1步,成员服务器中打开Internet Explorer浏览器,键入证书服务器地址,开始为IIS服务器申请证书。
第2步,单击“申请证书”超链接,命令执行后,打开“高级证书申请”页面。
第3步,选择“使用base64编码的CMC或PKCS #10文件提交一个证书申请,或使用base64编码的PKCS #7文件续订证书申请”超链接,命令执行后,打开“提交一个证书申请或续订申请”,打开上一步骤中申请成功的证书配置文件,将所有内容复制到“保存的申请”文本框中,证书模板设置为“Web服务器”选项
第4步,单击“提交”按钮,开始申请,申请成功后打开“证书已颁发”页面。单击“下载证书”和“下载证书链”超链接,将证书保存到指定位置。
Web服务器配置证书
打开“Internet信息服务(IIS)管理器”,打开“服务器证书”窗口,右侧“操作”窗格中选择“完成证书申请”超链接,命令执行后,打开“指定证书颁发机构响应”对话框,设置以下参数
·“包含证书颁发机构响应的文件名”文本框中,选择上一步操作下载的证书。
·“好记名称”文本框中设置证书标记
·“为新证书选择证书存储”文本框中设置证书存储位置,本例中选择“个人”选项。
·单击“确定”,完成证书设置,成功导入的证书显示在中间窗格列表中。
设置SSL站点
选择需要绑定证书的Web站点,本例以默认站点为例
第1步,选择“服务器名称”-“网站”-“Default Web Site”选项,打开“Default Web Site主页”设置窗口,右侧“操作”窗格中选择“绑定”超链接
第2步,命令执行后,打开“网站绑定”对话框。默认该站点使用“HTTP”协议访问,默认端口是80.
第3步,单击“添加”按钮,打开“添加网站绑定”对话框,参数设置如下
·类型:https。
·IP地址:全部未分配
·端口:443
·SSL证书:tdc(新导入的证书)
第4步,单击“确定”按钮,返回到“网站绑定”对话框。选择端口为“80”的站点设置,单击“删除”按钮,删除使用“http”协议的默认站点,仅保留新添加的https站点。单击“关闭”按钮,完成站点设置。
第5步,“Default Web Site主页”设置窗口中,选择“SSL设置”,打开“SSL设置”页面,选择“要求SSL”选项,客户证书设置为“必需”,。单击“应用”超链接,完成站点整体设置。
客户端计算机访问SSL站点
客户端计算机运行Windows 8操作系统,已经加入到域中,使用IE浏览器访问新建的SSL站点。
1.无证书访问
当前计算机没有从域中申请任何类型的证书(用户证书、计算机证书),地址栏键入站点地址https://tdc.book.com,显示服务器错误信息,不能访问目标站点。
2.用户证书访问
首先客户端计算机申请证书,然后访问目标站点
登录用户通过“MMC”打开“证书”管理单元,选择“个人”选项,当前环境中没有申请任何证书。单击菜单栏的“操作”菜单,下拉菜单列表中选择“所有任务”命令,在弹出的级联菜单中选择“申请新证书”选项。
命令执行后,启动“证书注册”向导,打开“在你开始前”对话框,显示证书相关信息
单击“下一步”按钮,显示“选择证书注册策略”对话框。选择“Acitve Directory注册策略”选项。
单击“下一步”按钮,显示“请求证书”对话框。从证书颁发机构中检索可用的证书模板,“Acitve Directory注册策略”列表中,显示可用的证书模板。选择“NewUser”模板。
单击“注册”按钮,客户端计算机根据选择的模板发出申请,证书服务器接收到请求并核准后将证书回传至申请的客户端计算机,然后在该计算机中安装该证书,安装成功后证书状态为“成功”。
单击“完成”按钮,完成证书申请操作,新申请的证书保存在“证书-当前用户”-“一个人”-“证书”节点中。
当前计算机从域中成功申请用户证书后,打开IE浏览器,地址栏中键入站点地址https://tdc.book.com,显示“Windows 安全 ”对话框,需要当前用户确认证书。
单击“确定”按钮,成功访问目标站点。