我们接着 Lab 2继续讲,证书颁发机构Web注册!证书注册Web服务!证书注册策略Web服务!为什么我们需要Web?这是因为证书服务在设计之初,主要是考虑到为域和林内的用户和机器服务。使用的协议例如LDAP在脱离了域的环境时,就无法继续起作用了,也就是说证书的发放被限定在由 Active Directory 域和林建立的信任边界中。

假如我们来到了外网,想要完成跨林边界的证书注册,想向移动工作人员和企业合作伙伴颁发证书,怎么办?天空一声巨响,Web闪亮登场!有了通用的HTTPS协议,我们就能在域和林外的世界做很多事情,通过构建这些Web服务,架起用户和证书颁发机构的桥梁,就可以代为获得证书策略信息以及完成证书的注册。

下面我们来看看实验的资源清单

1. 服务器(1.4GHz主频以上,64位,1.5G内存,60G硬盘)两台,可以是虚拟机

2. Windows Server 2012的安装镜像文件 拷贝以下链接到迅雷或其他下载工具

ed2k://|file|cn_windows_server_2012_x64_dvd_915588.iso|3826081792|6A56281311F9FE6973F66CF36E2F50BE|/

3. 交换机一台

步骤一、完成配置Windows Server 2012 AD DS

Step 1

本实验是建立在域环境下进行的,所以在进行本实验之前,请先完成Lab 1 轻松配置Windows Server 2012 AD DS。

步骤二、完成配置Windows Server 2012 AD CS(颁发机构)

Step 2

请至少完成至Lab 2 循序渐进配置Windows Server 2012 AD CS(颁发机构&联机响应篇)的Step 24。配置联机响应程序对本实验并无影响,有兴趣的同学也可以完成整个Lab 2,再来做Lab 3。

步骤三、安装证书颁发机构 Web 注册

Step 3

打开服务器管理器,点击“添加角色与功能”。

Step 4

选择“基于角色或基于功能的安装”,点击“下一步”。

Step 5

确认是证书服务器(SZSRVCA01v)被选中,点击“下一步”。

Step 6

勾选“证书颁发机构Web注册”,点击两次“下一步”。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第1张图片

Step 7

确认将安装以下服务,点击“安装”。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第2张图片




Step 8

等待安装完成后,关闭向导,在任务提醒处进入接下来的配置。指定配置凭据,本地管理员是最低要求。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第3张图片

Step 9

勾选“证书颁发机构Web注册”,点击“下一步”。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第4张图片


Step 10

不需要填入任何参数就自动配置完成了。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第5张图片

步骤四、为证书服务器配置HTTPS绑定

Step 11

打开IIS,展开到SZSRVCA01V,然后双击“服务器证书”。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第6张图片

Step 12

在右边导航栏点击创建证书申请。通用名称填写FQDN。其他按照实际填写。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第7张图片

Step 13

缺省即可,下一步。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第8张图片

Step 14

之前我们填写的内容会生成一个证书申请请求文件,我们可以为它指定一个路径,我习惯放桌面。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第9张图片

Step 15

可以打开看看,是一串字符,待会我们会用到。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第10张图片





Step 16

打开IE,点击p_w_picpath ,打开“Internet 选项”。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第11张图片


Step 17

点击“安全”选项卡,确认“本地Intranet”被选中状态,将安全级别降至最低。做完这些后,点击“站点”。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第12张图片

Step 18

点击“高级”,将“http://szsrvca01v.acertwp.com”加入到此区域。“http://szsrvca01v.acertwp.com”是证书服务器的域名。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第13张图片


Step 19

回到IE,连接网址http://szsrvca01v.acertwp.com\certsrv。点击“申请证书”。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第14张图片

Step 20

点击“提交一个高级证书”。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第15张图片

Step 21

点击“使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请,或使用 base64 编码的 PKCS #7 文件续订证书申请。”

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第16张图片

Step 22

这时候,刚才那个证书申请文件就派上用场了,将内容贴至文本框,将证书模板改为“Web服务器”。点击“提交”。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第17张图片



Step 23

因为当前是以域管理员登录的,所以证书直接就发下来了。点击“是”。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第18张图片

Step 24

勾选“Base 64 编码”,点击“下载证书”,可以选择保存位置,我选择保存到C:\Cert\certnew.cer。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第19张图片

Step 25

回到IIS,在“创建证书申请”的下方点击“完成证书申请”。点击p_w_picpath 找到刚保存下来的证书文件,给它取一个名字,点击“确定”。这样证书就被导入服务器了。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第20张图片

Step 26

还没完,有了证书,我们还需要绑定才能用。展开到Default Web Site。点击右侧导航栏的p_w_picpath 按钮。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第21张图片




Step 27

点击https,点击“编辑”。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第22张图片

Step 28

在SSL证书下拉菜单中,选中我们刚才申请的证书,点击确定。这样证书就绑定好了,我们可以通过https来访问证书服务器了。可以看到地址栏上多了一把锁,表明客户端和服务器之间的通信已经经过了SSL加密。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第23张图片


Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第24张图片

步骤五、安装证书注册策略 Web 服务(CEP)

Step 29

添加角色与功能,前三页跟之前一致,勾选“证书注册策略Web服务”。点击两次“下一步”。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第25张图片

Step 30

点击“安装”。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第26张图片

Step 31

点击“配置目标服务器上的Active Directory证书服务”。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第27张图片

Step 32

指定一个隶属于Enterprise Admins组的用户来进行配置。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第28张图片


Step 33

勾选“证书注册策略Web服务”。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第29张图片

Step 34

如果希望基于启用基于密钥的续订,请勾选“用户名和密码”,那又是另外一个故事了,有兴趣的可以尝试一下。这里我不需要启用基于密钥的续订,所以勾选“Windows集成身份验证”就好。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第30张图片


Step 35

p_w_picpath 就开始自动配置了。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第31张图片


Step 36

配置成功。关闭向导,打开IIS。双击“应用程序设置”。双击FriendlyName,输入SSL Server Certificates。(貌似随便输个自己能记住的名字都可以。。。)

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第32张图片

Step 37

双击URI,这是我们访问策略的网址,拷贝出来放在记事本里,待用。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第33张图片

步骤六、安装证书注册Web服务(CES)

Step 38

安装角色与功能都跟之前一样,勾选“证书注册Web服务”。两次“下一步”,然后点“安装”。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第34张图片

Step 39

完成后,点击“配置目标服务器上的Active Directory证书服务”。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第35张图片

Step 40

指定一个Enterprise Admins组的账户来进行配置。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第36张图片

Step 41

勾选“证书注册Web服务”。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第37张图片

Step 42

指定CA,清除“为仅续订模式配置证书注册Web服务”,点击“下一步”。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第38张图片

Step 43

勾选“Windows 集成身份验证”。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第39张图片

Step 44

需要服务账户了,肿么办呢,去DC上建立一个用户(svccaces),然后回到证书服务器,在提升的权限模式下打开Powershell,执行以下命令:

Net localgroup IIS_IUSRS acertwp\svccaces /Add

这条命令的意思就是将acertwp\svccaces这个用户加入到szsrvca01v的IIS_IUSRS组内。也可以通过“本地用户与组”控制台进行这个操作。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第40张图片


Step 45

确认配置无误,就可以点击“配置”了。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第41张图片


Step 46

配置成功。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第42张图片

Step 47

打开证书颁发机构控制台。打开当前CA的属性。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第43张图片

Step 48

切换到“安全”选项卡。点击刚才创建的服务账户“svcvaces”,仅授予其读取的权限,如图。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第44张图片

Step 49

打开DC上的组策略管理,展开至公钥策略,如图。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第45张图片


Step 50

双击“证书服务客户端 - 证书注册策略”,如果未配置,先启用,可以看到缺省有一条Active Directory注册策略,删除它。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第46张图片

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第47张图片


Step 51

点击“添加”,输入注册策略服务器URI,Step 37中记录的URI终于用上了,拷过来,身份验证类型选“Windows 集成”,然后点击“验证服务器”,如果成功了,就会如下图所示,显示已成功验证。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第48张图片

Step 52

SSL Server Certificates前面的方框勾上。点击确定,完工。

Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)_第49张图片

配置证书是件很麻烦的事情,需要精力和专注。关键是要保持良好的文档记录和操作规范以节省人力开销。如果想做的更加复杂,挑战一下自己,可以参考微软的资料Test Lab Guide: Demonstrating Certificate Key-Based Renewal(测试实验室指南:基于证书密钥的续订)。