用Windows Server 2012 R2 搭建二层证书服务结构 Part 1

用Windows Server 2012 R2 搭建二层证书服务结构 Part 1:

 

该文章中的示例同样适用于SCCM 2012 R2系列中的证书部署，就不在SCCM专题中再次讲述了。

实验环境：

CA01：Root证书服务器，平时应处于关机状态做保存。

IP ：192.168.1.1

CA02：子证书服务器，也是Enterprise 企业证书服务器，需要加入Contoso.com域中(我的实验环境的域名均为Contoso.com)。

IP：192.168.1.2

DC01：DC域控制器,DNS服务器。

IP：192.168.1.3

Client01：测试证书是否正常的客户端。

IP 192.168.1.200

第一步：配置RootCA

1.安装操作系统，配置IP，更改计算机名称。

2.配置CAPolicy.inf文件：

• 打开PowerShell, 输入：notepad c:\Windows\CAPolicy.inf 回车。

• 点击是，创建新文件。

• 输入下列内容，如果环境有XP，不要输入最后一行，XP不支持该方式。：

[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID= 1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=http://www.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=20
CRLPeriod=weeks
CRLPeriodUnits=26
CRLDeltaPeriod=Days
CRLDeltaPeriodUnits=0
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1

• 点击另存为，名称为CAPolicy.inf,文件类型为所有文件，编码为ANSI：

• 弹出是否替换现有文件，选择是。

3.安装RootCA服务：

• 添加服务中选择AD证书服务：

• 只选择证书颁发机构即可：

• 等待安装完成后，点击下边的蓝字，配置目标服务器上的证书服务：

• 提供相应的凭据，我们使用本地的管理员：

• 勾选要配置的服务：

• RootCA不加域，因此只可以选择独立CA：

• 选择根CA：

• 选择创建新的私钥：

• 按下图信息配置加密选项：

• 设置CA的公用名称：

• 设置有效期：

• 设置数据库位置，默认即可。

• 确认信息无误，点击配置：

• 配置完成，关闭窗口