Lab 3 循序渐进配置Windows Server 2012 AD CS (Web三剑客)

我们接着 Lab 2继续讲,证书颁发机构Web注册!证书注册Web服务!证书注册策略Web服务!为什么我们需要Web?这是因为证书服务在设计之初,主要是考虑到为域和林内的用户和机器服务。使用的协议例如LDAP在脱离了域的环境时,就无法继续起作用了,也就是说证书的发放被限定在由 Active Directory 域和林建立的信任边界中。

假如我们来到了外网,想要完成跨林边界的证书注册,想向移动工作人员和企业合作伙伴颁发证书,怎么办?天空一声巨响,Web闪亮登场!有了通用的HTTPS协议,我们就能在域和林外的世界做很多事情,通过构建这些Web服务,架起用户和证书颁发机构的桥梁,就可以代为获得证书策略信息以及完成证书的注册。

下面我们来看看实验的资源清单

1. 服务器(1.4GHz主频以上,64位,1.5G内存,60G硬盘)两台,可以是虚拟机

2. Windows Server 2012的安装镜像文件 拷贝以下链接到迅雷或其他下载工具

ed2k://|file|cn_windows_server_2012_x64_dvd_915588.iso|3826081792|6A56281311F9FE6973F66CF36E2F50BE|/

3. 交换机一台

步骤一、完成配置Windows Server 2012 AD DS

Step 1

本实验是建立在域环境下进行的,所以在进行本实验之前,请先完成Lab 1 轻松配置Windows Server 2012 AD DS。

步骤二、完成配置Windows Server 2012 AD CS(颁发机构)

Step 2

请至少完成至Lab 2 循序渐进配置Windows Server 2012 AD CS(颁发机构&联机响应篇)的Step 24。配置联机响应程序对本实验并无影响,有兴趣的同学也可以完成整个Lab 2,再来做Lab 3。

步骤三、安装证书颁发机构 Web 注册

Step 3

打开服务器管理器,点击“添加角色与功能”。

Step 4

选择“基于角色或基于功能的安装”,点击“下一步”。

Step 5

确认是证书服务器(SZSRVCA01v)被选中,点击“下一步”。

Step 6

勾选“证书颁发机构Web注册”,点击两次“下一步”。

image

Step 7

确认将安装以下服务,点击“安装”。

image




Step 8

等待安装完成后,关闭向导,在任务提醒处进入接下来的配置。指定配置凭据,本地管理员是最低要求。

image

Step 9

勾选“证书颁发机构Web注册”,点击“下一步”。

image


Step 10

不需要填入任何参数就自动配置完成了。

image

步骤四、为证书服务器配置HTTPS绑定

Step 11

打开IIS,展开到SZSRVCA01V,然后双击“服务器证书”。

image

Step 12

在右边导航栏点击创建证书申请。通用名称填写FQDN。其他按照实际填写。

image

Step 13

缺省即可,下一步。

image

Step 14

之前我们填写的内容会生成一个证书申请请求文件,我们可以为它指定一个路径,我习惯放桌面。

image

Step 15

可以打开看看,是一串字符,待会我们会用到。

image





Step 16

打开IE,点击image ,打开“Internet 选项”。

image


Step 17

点击“安全”选项卡,确认“本地Intranet”被选中状态,将安全级别降至最低。做完这些后,点击“站点”。

image

Step 18

点击“高级”,将“http://szsrvca01v.acertwp.com”加入到此区域。“http://szsrvca01v.acertwp.com”是证书服务器的域名。

image


Step 19

回到IE,连接网址http://szsrvca01v.acertwp.com\certsrv。点击“申请证书”。

image

Step 20

点击“提交一个高级证书”。

image

Step 21

点击“使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请,或使用 base64 编码的 PKCS #7 文件续订证书申请。”

image

Step 22

这时候,刚才那个证书申请文件就派上用场了,将内容贴至文本框,将证书模板改为“Web服务器”。点击“提交”。

image



Step 23

因为当前是以域管理员登录的,所以证书直接就发下来了。点击“是”。

image

Step 24

勾选“Base 64 编码”,点击“下载证书”,可以选择保存位置,我选择保存到C:\Cert\certnew.cer。

image

Step 25

回到IIS,在“创建证书申请”的下方点击“完成证书申请”。点击image 找到刚保存下来的证书文件,给它取一个名字,点击“确定”。这样证书就被导入服务器了。

image

Step 26

还没完,有了证书,我们还需要绑定才能用。展开到Default Web Site。点击右侧导航栏的image 按钮。

image




Step 27

点击https,点击“编辑”。

image

Step 28

在SSL证书下拉菜单中,选中我们刚才申请的证书,点击确定。这样证书就绑定好了,我们可以通过https来访问证书服务器了。可以看到地址栏上多了一把锁,表明客户端和服务器之间的通信已经经过了SSL加密。

image


image

步骤五、安装证书注册策略 Web 服务(CEP)

Step 29

添加角色与功能,前三页跟之前一致,勾选“证书注册策略Web服务”。点击两次“下一步”。

image

Step 30

点击“安装”。

image

Step 31

点击“配置目标服务器上的Active Directory证书服务”。

image

Step 32

指定一个隶属于Enterprise Admins组的用户来进行配置。

image


Step 33

勾选“证书注册策略Web服务”。

image

Step 34

如果希望基于启用基于密钥的续订,请勾选“用户名和密码”,那又是另外一个故事了,有兴趣的可以尝试一下。这里我不需要启用基于密钥的续订,所以勾选“Windows集成身份验证”就好。

image


Step 35

image 就开始自动配置了。

image


Step 36

配置成功。关闭向导,打开IIS。双击“应用程序设置”。双击FriendlyName,输入SSL Server Certificates。(貌似随便输个自己能记住的名字都可以。。。)

image

Step 37

双击URI,这是我们访问策略的网址,拷贝出来放在记事本里,待用。

image

步骤六、安装证书注册Web服务(CES)

Step 38

安装角色与功能都跟之前一样,勾选“证书注册Web服务”。两次“下一步”,然后点“安装”。

image

Step 39

完成后,点击“配置目标服务器上的Active Directory证书服务”。

image

Step 40

指定一个Enterprise Admins组的账户来进行配置。

image

Step 41

勾选“证书注册Web服务”。

image

Step 42

指定CA,清除“为仅续订模式配置证书注册Web服务”,点击“下一步”。

image

Step 43

勾选“Windows 集成身份验证”。

image

Step 44

需要服务账户了,肿么办呢,去DC上建立一个用户(svccaces),然后回到证书服务器,在提升的权限模式下打开Powershell,执行以下命令:

Net localgroup IIS_IUSRS acertwp\svccaces /Add

这条命令的意思就是将acertwp\svccaces这个用户加入到szsrvca01v的IIS_IUSRS组内。也可以通过“本地用户与组”控制台进行这个操作。

image


Step 45

确认配置无误,就可以点击“配置”了。

image


Step 46

配置成功。

image

Step 47

打开证书颁发机构控制台。打开当前CA的属性。

image

Step 48

切换到“安全”选项卡。点击刚才创建的服务账户“svcvaces”,仅授予其读取的权限,如图。

image

Step 49

打开DC上的组策略管理,展开至公钥策略,如图。

image


Step 50

双击“证书服务客户端 - 证书注册策略”,如果未配置,先启用,可以看到缺省有一条Active Directory注册策略,删除它。

image

image


Step 51

点击“添加”,输入注册策略服务器URI,Step 37中记录的URI终于用上了,拷过来,身份验证类型选“Windows 集成”,然后点击“验证服务器”,如果成功了,就会如下图所示,显示已成功验证。

image

Step 52

SSL Server Certificates前面的方框勾上。点击确定,完工。

image

配置证书是件很麻烦的事情,需要精力和专注。关键是要保持良好的文档记录和操作规范以节省人力开销。如果想做的更加复杂,挑战一下自己,可以参考微软的资料Test Lab Guide: Demonstrating Certificate Key-Based Renewal(测试实验室指南:基于证书密钥的续订)。

你可能感兴趣的:(windows,server,PKI,2012,ad,cs,CES)