Windows Server 2016搭建企业CA证书服务

Windows Server - 建设篇

---

下章内容

第二章 自建CA给内部网站颁发SSL证书

---

前言

        内网局域网的Web网站访问的传输协议默认为TCP的HTTP协议，为提高传输的安全性，将传输协议改为带SSL的HTTPS协议。
        又使用HTTPS协议过程中会由于Web网站的SSL证书不被公网权威认证的CA机构证明，所以会出现连接不安全的浏览器警告信息。
        现为避免出现不安全的连接警告信息，需在局域网内自建企业CA机构，并自签服务器证书颁发给内网Web网站，下发自建CA根证书给所有域用户，使域用户访问Web网站不再出现不安全的连接警告信息。

• 操作系统平台：Windows Server 2016
• ESXi底层：VMware VMvisor 6.7.0

实施步骤

1. ESXi主机新建一台Windows Server 2016虚拟机。
2. Windows Server 2016 加入域控。
3. Windows Server 2016部署Active Directory证书服务，配置企业根CA证书服务。

Windows Server 2016初始化（可选模板虚拟机克隆部署）

部署CA证书服务

安装Active Directory证书服务（CA服务）

配置目标服务器上的Active Directory证书服务

CA的公用名称可参考互联网上其他公用的DV证书格式来填写

查看证书颁发机构

导出CA根证书

访问http://localhost/certsrv

参考来源

1. Windows Server 2016操作系统搭建自签名CA证书服务器（Microsoft Active Directory 证书服务 ）
2. 局域网内搭建浏览器可信任的SSL证书
3. 一篇文章看明白什么是DV、OV、EV证书
4. OPENSSL创建带SAN扩展的证书并进行CA自签
5. Windows Server 做CA给Centos 颁发证书