实验目的:部署独立根CA和企业从属CA,并设置组策略发布根证书
实验环境:
LON-DC1 域控 Win2012R2 172.16.0.10
LON-SVR1 非域服务器 Win2012R2 172.16.0.21
实验步骤:
一、在LON-SVR1上安装证书服务角色
用本地管理员账号登入LON-SVR1,并通过Server Manager或Powershell添加Active Directory证书服务
在服务器管理器中,点击右上角的提示,去配置ADCS角色
点击"配置目标服务器上的Active Directory证书服务",出现配置向导窗口
默认使用管理员凭据,点击下一步配置角色服务,将"证书颁发机构"和"证书颁发机构web注册"勾选起来,然后点击下一步
在设置类型页面中,默认非域服务器只能安装独立CA,所以直接点击下一步
在CA类型页面中,默认选择根CA,点击下一步
在私钥页面,选中创建新的私钥,点击下一步
在加密页面指定私钥长度,默认的是2048,我们将它设置为4096,然后点击下一步
在CA名称页面中,将CA名称命名为AdatumRootCA,点击下一步
有效期,证书数据库,我们都保持默认,最后完成证书服务配置
接下来我们运行certsrv.msc命令,打开证书颁发机构控制台,选中AdatumRootCA的属性
打开AdatumRootCA属性中的扩展选项,添加一个CDP位置http://lon-dc1.adatum.com/certdata/,变量依次选择CaName,CRLNameSuffix,DeltaCRLAllowed插入到URL中
最后在URL的末尾添加.crl的后缀,点击确定
在扩展选项面板中,选中新添加的CDP位置,勾选"包括在CRL中。客户端用它来寻找增量CRL的位置"和"包含在颁发的证书的CDP扩展中"
点击应用,会收到提示是否重启证书服务,这里我们选中否,不重启服务
在"选择扩展"中选择"授权信息访问AIA",点击添加
在位置中输入与CDP相同的URL,并插入变量ServerDNSName,然后在后面加入一个下划线符号_,再插入变量CaName和CertificateName,最后在URL的末尾添加.crt后缀,点击确定完成配置
在扩展选项面板中,选中新加入的AIA位置,勾选"包含在颁发的证书的AIA扩展中"
完成配置后,点击应用,根据弹出的提示,点击是,重启证书服务。
打开证书颁发机构控制台,展开AdatumRootCA,然后右键点击"吊销的证书",选择所有任务,点击发布
在弹出的窗口中,默认发布新的CRL,点击确定
打开AdatumRootCA属性,点击查看证书,然后选择证书的详细信息选项,点击复制到文件
导出时使用默认的格式DER编码二进制X.509(.CER),然后设定导出文件路径为\\lon-dc1\c$,文件名命名为RootCA
在LON-SRV1上打开文件路径C:\Windows\System32\CertSrv\CertEnroll,将文件夹中的AdatumRootCA和LON-SRV1_AdatumRootCA复制到\\lon-dc1\c$中
我们可以验证一下,LON-DC1的C盘根目录下面应该是有3个文件的,如果不是这3个文件请按上面的操作重新检查一遍
二、为LON-SVR1创建DNS的A记录,并为LON-SVR1配置共享
在LON-DC1上,打开DNS控制台,然后在正向查找区域的adatum.com中右键选择"新建主机(A或AAAA)"
在名称栏位中填入LON-SVR1,在IP地址栏位填入172.16.0.21,然后点击添加主机
A记录添加完毕后,我们需要为LON-SVR1配置共享,我们在LON-SVR1中打开控制面板,然后打开查看网络状态和任务,进入到网络和共享中心页面
点击页面左上方的"更改高级共享设置",进入到高级共享设置页面,确保在"来宾或公用"下面的文件和打印机共享是启用的
三、部署一台企业从属CA
接下来我们部署一台企业从属CA,我们登入到LON-DC1中,然后安装ADCS服务,步骤与LON-SVR1相同,但是有一点不同的是,在这里我们用域管理账号登陆到LON-DC1执行安装任务,你也可以不用DC而用一台域成员服务器作为从属CA服务器
安装完成后,我们需要进行CA配置,打开CA配置向导,保持默认的域管理员账号作为凭据,点击下一步
在角色服务页面中,将证书颁发机构和证书颁发机构web注册都勾选,然后点击下一步
在设置类型页面中,我们要指定的类型就要变成企业CA了,而不能再选择独立CA了,选择后点击下一步
CA类型页面中,我们需要选择从属CA,然后点击下一步
在私钥页面,选择创建新的私钥,点击下一步
在CA的加密页面,使用默认值即可,直接点击下一步
在CA名称页面,我们将CA的公用名修改一下,改成Adatum-IssuingCA,然后点击下一步
在证书请求页面中保持默认设置,点击下一步
后续的设置都按默认设置,直接点击下一步,直到CA配置完毕,完成配置后,我们会看到一个警告说要从父CA获取证书,这个是接下来需要操作的步骤
四、安装一个从属CA证书
首先我们打开在LON-DC1的C盘,右键点击RootCA.cer文件,选择安装证书
在证书的安装向导中选择本地计算机,然后点击下一步
将证书存放位置改为"受信任的根证书颁发机构",点击下一步,完成安装
成功安装后会收到以下的提示窗口
接下来我们回到C盘根目录,将LON-DC1.adatum.com_adatum-LON-DC1-CA.req文件复制到LON-SVR1的C盘根目录下
拷贝完成后,我们切换到LON-SVR1服务器,打开证书管理器,右键选择AdatumRootCA->所有任务->提交一个新的申请
我们将刚才拷贝过来的.req文件放入到提交申请中,然后刷新一下挂起的申请这个容器,可以看到已经有一个申请在这个容器中了
我们需要对这个挂起的申请执行颁发任务,右键选择这个申请->所有任务->颁发
执行了颁发任务后,我们可以到证书控制台中的颁发的证书容器中查看是否有证书记录,如果成功颁发这里面会有一条记录,证书模板是SubCA
确认证书已被颁发后,我们需要将证书导出,首先双击证书,在弹出的面板中选择详细信息->复制到文件,打开证书导出向导
在文件格式中选择第三项,并勾选它下面的子项,然后点击下一步
文件存放位置选择LON-DC1\C$,文件名设置为SubCA
完成上面的操作后,我们回到LON-DC1,打开它的C盘,确认SubCA已经在它的C盘根目录中了
然后我们在LON-DC1上打开证书管理控制台,可以看到目前CA的服务是没有启动的,我们要给它安装证书,右键点击Adatum-IssuingCA->所有任务->安装CA证书
将我们刚才从LON-SVR1中导出的证书给LON-DC1安装上,如果中间出现了错误提示,说吊销服务器处于脱机状态,可以执行certutil -setreg ca\loglevel 2,然后重新导入并启动CA服务
五、使用组策略来发布根CA证书
在LON-DC1上运行GPMC.MSC打开组策略管理器,对Domian Default Policy进行编辑,此处是实验才编辑这个策略,不推荐大家在生产环境中去修改默认的组策略,最好是新建一个专门的组策略用于设置证书发布
在计算机配置下面依次展开 策略->Windows设置->安全设置->公钥策略,然后右键点击受信任的根证书颁发机构,在弹出的选项中选择导入
我们将放在LON-DC1的C盘根目录下的RootCA导入进来,然后完成向导
成功导入后,可以看到在受信任的根证书颁发机构中会出现AdatumRootCA的证书项目
以上就完成了企业的证书架构部署。