二、安裝及配置App1服務器
APP1服務器IPv4地址配置如下所示:
![wKiom1LtwCnBTaChAAHsz2OIhng586.jpg]( "1.png")
IPv6地址配置如下
![wKioL1LtwAbRrZfsAAIhkloMkgA179.jpg]( "2.png")
變更服務器名稱爲App1,並將其加入corp.sxleilong.com域中,然後重啓
![wKiom1LtwCrz9v7hAAJwCdB3jng666.jpg]( "3.png")
安裝AD CA和Web服務器IIS角色。
![wKioL1LtwAfhl_GRAAKmFnL3ALw475.jpg]( "4.png")
同時,也勾選“證書頒發機構Web註冊”,下一步
![wKiom1LtwCyy7coJAAItIzm1gK4870.jpg]( "5.png")
提示功能安裝完成。點擊“配置目標服務器上的Active Directory證書服務器”
![wKioL1LtwAmR2P-mAAKsavf8OB0396.jpg]( "6.png")
採用默認,下一步
![wKiom1LtwC6i_La_AAHshWsGix8246.jpg]( "7.png")
同時勾選“證書頒發機構”和“證書頒發機構Web註冊”,下一步
![wKioL1LtwAuDd1xcAAGbgmHPRPc421.jpg]( "8.png")
選中“企業CA”,下一步
![wKiom1LtwDDgZRNKAAIhycx7rTY920.jpg]( "9.png")
選中“根CA”,下一步
![加載中...]( "圖片加載中...")
QTNCaG4yNEFBSXVTRHhqeDdjNTcxLmpwZw==" src="http://www.it165.net/uploadfile/files/2014/0210/2014021010075478.jpg" title="10.png" />選中“創建新的私鑰”,下一步
![wKiom1LtwDKhS1vbAAJoGesgReI016.jpg]( "11.png")
默認是選擇SHA1算法,我這裏選擇“SHA256”算法,下一步
![加載中...]( "圖片加載中...")
QTZoRnhqbEFBSHpQb09GbkJrODQzLmpwZw==" src="http://www.it165.net/uploadfile/files/2014/0210/2014021010075480.jpg" title="12.png" />確認無誤後點擊“下一步”
![wKiom1LtwDOBs6sfAAIeJn7vGGE280.jpg]( "13.png")
提示AD證書服務器配置成功
![wKioL1LtwBCw6mhvAAGOo7e1n08500.jpg]( "14.png")
開啓計算機證書自動註冊。
登錄DC,打開組策略管理器,展開到安全設置下的“公鑰策略”,右擊“證書服務客戶端-自動註冊”,選擇“屬性”
![wKiom1LtwDWxrpnxAANaCVz0GSo808.jpg]( "15.png")
配置模式選擇“啓動”,並勾選“續訂過期證書、更新未決證書並刪除吊銷的證書”和“更新使用證書模板的證書”
![wKioL1LtwBGjnxOuAAFZjtWefVE903.jpg]( "16.png")
配置客戶端-服務器驗證模板自動註冊。
打開證書頒發機構,展開“corp-APP1-CA”,右擊“證書模板”選擇“管理”
![wKiom1LtwDaBpdCrAALgpEEO2v8238.jpg]( "17.png")
選中“工作站身份驗證”並右擊,選擇“複製模板”
![wKioL1LtwBOCFXFeAAPUnaQYkgg806.jpg]( "18.png")
切換到“常規”選項卡,填寫模板顯示名稱爲“客戶端-服務器認證”,並勾選“在ActiveDirectory中發佈證書”
![wKiom1LtwDjyCOtlAAGIpX7IPUM303.jpg]( "19.png")
切換到“擴展”選項卡,選中“應用程序策略”,點擊“編輯”,再點擊“添加”
![wKiom1LtwDiizpeVAAHSg6wXd_E100.jpg]( "20.png")
選中“服務器身份驗證”,確定
![wKioL1LtwBWAHTgiAAGSinJwQHc168.jpg]( "21.png")
切換到“安全”選項卡,選中“DomainComputers”,然後選中“自動註冊”
![wKiom1LtwDmj5fJaAAIBPXYI3ak001.jpg]( "22.png")
在證書頒發機構控制檯,右擊“證書模板”,選擇“新建”的子菜單“要頒發的證書模板”
![wKioL1LtwBaDMP-XAAL_qiBvDMM824.jpg]( "23.png")
選中“客戶端-服務器認證”,確定
![wKiom1LtwDuw3RwTAAKRQ7VKSjk273.jpg]( "24.png")
和以上方法類似,定製Web服務器證書,並配置Web服務器證書模板權限。
以命令:certtmpl.msc打開證書模板控制檯,右擊“Web服務器”,選擇“複製模板”
![wKioL1LtwBjgaI84AAN40VYyX_o460.jpg]( "25.png")
切換到“安全”選項卡,選中“AuthenticatedUsers”,並勾選允許“註冊”
![wKiom1LtwDzjsGKvAAHTNE46MHY487.jpg]( "26.png")
點擊“添加”,添加“DomainComputers”,並勾選允許“註冊”
![wKioL1LtwBmw0eFOAAH5LMVYWlU978.jpg]( "27.png")
切換到“常規”選項卡,填寫模板顯示名稱,並勾選“在AD中發佈證書”
![wKioL1LtwBnSKRoBAAF9OQBg9IQ625.jpg]( "28.png")
切換到“請求處理”選項卡,勾選“允許導出私鑰”
![wKiom1LtwD7gjywtAAIcP9lI6ek318.jpg]( "29.png")
如下圖所示。2個模板已經全部定製好
![wKioL1LtwBvSfskOAAMgHuXN9XQ332.jpg]( "30.png")
爲APP1申請一個附加證書。
命令行中輸入mmc,打開控制檯1,選則“文件”下拉菜單“添加/刪除管理單元”
![wKiom1LtwD_CMc64AAGtfuW2g18557.jpg]( "31.png")
選中“證書”,點擊“添加”,選擇“計算機帳戶”
![wKioL1LtwByAB6pIAALB8k12z-U239.jpg]( "32.png")
選中“本地計算機”,點擊“完成”
![wKiom1LtwInCHamFAAFYw7fycuE845.jpg]( "33.png")
依次展開證書(本地計算機)—》個人—》證書,並右擊選擇“所有任務”子菜單“申請新證書”
![wKioL1LtwGaxUYSEAAK6R38gueU607.jpg]( "34.png")
選中“ActiveDirectory註冊策略”,下一步
![wKiom1LtwIrx6RnNAAFeCzBt4fQ372.jpg]( "35.png")
勾選“WebServer 2012 R2”和“客戶端-服務器認證”,點擊“註冊此證書需要詳細信息。單擊這裏以配置設置。”
![wKioL1LtwGfCaaiXAAGJjy4VdTo542.jpg]( "36.png")
切換到“使用者”選項卡,選擇類型爲“公用名”,值爲:nls.corp.sxleilong.com,然後點擊“添加”
![wKiom1LtwIvDasyAAAHO2veDc0A027.jpg]( "37.png")
點擊“註冊”,直至最終提示註冊策略成功
![wKioL1LtwGjyKtv9AAE2VsuPE3Y837.jpg]( "38.png")
關閉控制檯1,點擊“否”,無需將控制檯設置存入控制檯1。
![wKiom1LtwIyiIPlFAAMzxVYGFc0587.jpg]( "39.png")
配置Https安全綁定。
打開IIS管理器,展開到“Default Web Site”,點擊右側的“綁定”,再點擊“添加”,類型選擇爲Https,SSL證書選擇“nls.corp.sxleilong.com”
![wKiom1LtwI6SCETaAAM9lO9Gz9A118.jpg]( "40.png")
創建一個共享文件夾。
在APP1服務器磁盤根目錄下創建一個共享文件夾ShareFiles,並在其中創建一個記事本Example.txt,內容如下所示。
![wKioL1LtwGrwKX8WAAHT-B7ivDU093.jpg]( "41.png")
將ShareFiles共享給特定的用戶。測試環境中,我將其賦予Everyone讀取權限。
![wKiom1LtwI-RMvxNAAJfumN5h_8566.jpg]( "42.png")
![wKioL1LtwGvzp8yxAAFt0QKLOks933.jpg]( "43.png")
至此,App1服務器角色安裝及配置完成。
QTNCaG4yNEFBSXVTRHhqeDdjNTcxLmpwZw==" src="http://www.it165.net/uploadfile/files/2014/0210/2014021010075478.jpg" title="10.png" />
