PKI之——CA 部署

 

 

 

实施拓扑:

 

拓扑说明:

    在这里按照地域来部署证书颁发机构，首先在我们在珠海总部站点的ZH-DC上安装了一台企业根CA作为向从属CA颁发证书，然后总部站点的ZH-WSUS服务器上安装一台子级CA,向珠海客户端和服务器颁发证书，然后在广州站点的GZ-DC上安装一台子级CA。向广州分部的客户端和服务器颁发证书。

 

任务描述:

在珠海站点的ZH-DC上安装根企业CA:

1.         证书颁发机构命名

2.         CA的加密选项

3.         证书数据库

在珠海站点的ZH-WSUS上安装子级企业CA

1.         证书颁发机构命名

2.         向父级申请

3.         父级向子级颁发证书

在广州站点的GZ-DC上安装子级企业CA

1.         证书颁发机构命名

2.         向父级申请

3.         父级向子级颁发证书

 

实现:

在珠海站点的ZH-DC上安装企业根CA:

总体操作步骤：

1)         以管理员登录ZH-DC服务器，

2)         安装AD 证书服务，

3)         根据下表完成安装：

向导页	操作
打开服务器管理器	单击“添加角色”，单击“下一步”，然后单击“Active Directory 证书服务”。单击两次“下一步”。
选择角色服务	证书颁发机构
指定安装类型	企业
指定 CA 类型	单击“根 CA”。单击“下一步”。
设置私钥	单击“根 CA”。
配置加密	选择加密服务提供程序、密钥长度和哈希算法。5年
配置 CA 名称	ROOT-CA
设置有效期	默认值
配置证书数据库	默认值
确认安装选择	安装

 

详细步骤和截图：

选择AD 证书服务：

只是选择证书颁发机构：

安装类型为 企业

CA类型为 根：

新建私钥：

名称 ROOT-CA :

完成安装：

 

 

在珠海站点的ZH-WSUS上安装子级企业CA:

总体操作步骤：

4)         以管理员登录ZH-WSUS服务器，

5)         安装AD 证书服务，

6)         根据下表完成安装：

向导页	操作
打开服务器管理器	单击“添加角色”，单击“下一步”，然后单击“Active Directory 证书服务”。单击两次“下一步”。
选择角色服务	证书颁发机构
指定安装类型	企业
指定 CA 类型	单击“子级 CA”。单击“下一步”。
设置私钥	单击“根 CA”。
配置加密	选择加密服务提供程序、密钥长度和哈希算法。
申请证书	浏览到根 CA，并选择
配置 CA 名称	ZHUHAI-CA
设置有效期	默认值
配置证书数据库	默认值
确认安装选择	安装

 

下面是关键步骤和截图：

选择证书颁发结构和证书颁发机构web注册：

安装类型为 企业：

CA类型为 子级：

CA名称为ZHUHAI-CA :

将请求发给父级：

完成安装：

 

 

配置连接到ZH-WSUS 上通过web 证书注册需要https的方式：

在ZH-WSUS上，打开证书模板管理，配置web服务器 证书：

在ZH-WSUS上，打开mmc管理控制台：

申请证书：

首先配置web 服务器证书：

使用者名称 类型选择公用者、值输入ZH-WSUS之后点击添加：

在常规里的友好名称输入 zh-wsus.yajie.com：

证书颁发机构选择 ZHUHAI-CA ：

勾选 web服务器 ，点击注册：

成功注册：

在ZH-WSUS 服务器上打开默认网站：

添加网站绑定：类型选择https ，ssl证书选择zh-wsus.yajie.com

然后再ssl设置里勾选 要求SSL并点击应用：

 

 

配置证书模板：

在ZH-WSUS上：

打开证书颁发机构管理：

右键复制 用户 模板：选择windows server 2008 enterprise：

模板名称为 Zhuhai user ：

转到安全：

配置 authenticated users 用户有 注册和 自动注册权限：

然后颁发证书：

登陆主域控制ZH-DC:

配置组策略：

刷新组策略：

申请证书：

 

在广州站点的GZ-DC上安装子级企业CA:

安装过程同理广州站点从属CA的安装：

 

测试

 

测试使用https方式申请证书：

打开ZH-CL1客户端：

在浏览求上面输入https://zh-wsus/certsrv

之后点击 申请证书：

点击高级证书申请：

点击创建并向此CA提交一个申请：

证书模板选择 基本EFS :

之后点击提交：

点击 安装此证书：

成功安装：