二、安裝及配置App1服務器
APP1服務器IPv4地址配置如下所示:
IPv6地址配置如下
變更服務器名稱爲App1,並將其加入corp.sxleilong.com域中,然後重啓
安裝AD CA和Web服務器IIS角色。
同時,也勾選“證書頒發機構Web註冊”,下一步
提示功能安裝完成。點擊“配置目標服務器上的Active Directory證書服務器”
採用默認,下一步
同時勾選“證書頒發機構”和“證書頒發機構Web註冊”,下一步
選中“企業CA”,下一步
選中“根CA”,下一步
QTNCaG4yNEFBSXVTRHhqeDdjNTcxLmpwZw==" src="http://www.it165.net/uploadfile/files/2014/0210/2014021010075478.jpg" title="10.png" />
選中“創建新的私鑰”,下一步
默認是選擇SHA1算法,我這裏選擇“SHA256”算法,下一步
QTZoRnhqbEFBSHpQb09GbkJrODQzLmpwZw==" src="http://www.it165.net/uploadfile/files/2014/0210/2014021010075480.jpg" title="12.png" />
確認無誤後點擊“下一步”
提示AD證書服務器配置成功
開啓計算機證書自動註冊。
登錄DC,打開組策略管理器,展開到安全設置下的“公鑰策略”,右擊“證書服務客戶端-自動註冊”,選擇“屬性”
配置模式選擇“啓動”,並勾選“續訂過期證書、更新未決證書並刪除吊銷的證書”和“更新使用證書模板的證書”
配置客戶端-服務器驗證模板自動註冊。
打開證書頒發機構,展開“corp-APP1-CA”,右擊“證書模板”選擇“管理”
選中“工作站身份驗證”並右擊,選擇“複製模板”
切換到“常規”選項卡,填寫模板顯示名稱爲“客戶端-服務器認證”,並勾選“在ActiveDirectory中發佈證書”
切換到“擴展”選項卡,選中“應用程序策略”,點擊“編輯”,再點擊“添加”
選中“服務器身份驗證”,確定
切換到“安全”選項卡,選中“DomainComputers”,然後選中“自動註冊”
在證書頒發機構控制檯,右擊“證書模板”,選擇“新建”的子菜單“要頒發的證書模板”
選中“客戶端-服務器認證”,確定
和以上方法類似,定製Web服務器證書,並配置Web服務器證書模板權限。
以命令:certtmpl.msc打開證書模板控制檯,右擊“Web服務器”,選擇“複製模板”
切換到“安全”選項卡,選中“AuthenticatedUsers”,並勾選允許“註冊”
點擊“添加”,添加“DomainComputers”,並勾選允許“註冊”
切換到“常規”選項卡,填寫模板顯示名稱,並勾選“在AD中發佈證書”
切換到“請求處理”選項卡,勾選“允許導出私鑰”
如下圖所示。2個模板已經全部定製好
爲APP1申請一個附加證書。
命令行中輸入mmc,打開控制檯1,選則“文件”下拉菜單“添加/刪除管理單元”
選中“證書”,點擊“添加”,選擇“計算機帳戶”
選中“本地計算機”,點擊“完成”
依次展開證書(本地計算機)—》個人—》證書,並右擊選擇“所有任務”子菜單“申請新證書”
選中“ActiveDirectory註冊策略”,下一步
勾選“WebServer 2012 R2”和“客戶端-服務器認證”,點擊“註冊此證書需要詳細信息。單擊這裏以配置設置。”
切換到“使用者”選項卡,選擇類型爲“公用名”,值爲:nls.corp.sxleilong.com,然後點擊“添加”
點擊“註冊”,直至最終提示註冊策略成功
關閉控制檯1,點擊“否”,無需將控制檯設置存入控制檯1。
配置Https安全綁定。
打開IIS管理器,展開到“Default Web Site”,點擊右側的“綁定”,再點擊“添加”,類型選擇爲Https,SSL證書選擇“nls.corp.sxleilong.com”
創建一個共享文件夾。
在APP1服務器磁盤根目錄下創建一個共享文件夾ShareFiles,並在其中創建一個記事本Example.txt,內容如下所示。
將ShareFiles共享給特定的用戶。測試環境中,我將其賦予Everyone讀取權限。
至此,App1服務器角色安裝及配置完成。