安全往往是企業管理的重中之重,我們的Boss希望我們的網站是加密的,郵件是加密的,文檔是加密的,而且絕大多數的微軟服務器產品都是需要公有的或者自建的證書,而AD CS可以爲我們提供頒發和管理在採用軟件安全系統中使用的公鑰證書。
證書服務這玩意我們也不可能天天和他打交道,配置好了之後,很長一段時間我們都不用管它。但是萬事開頭難,如何邁出這第一步,我相信最有效的方法就是做一次實驗,多錯一次,自然就會了。
下面我們來看看實驗的資源清單
1. 服務器(1.4GHz主頻以上,64位,1.5G內存,60G硬盤)兩臺,可以是虛擬機
2. Windows Server 2012的安裝鏡像文件 拷貝以下鏈接到迅雷或其他下載工具
ed2k://|file|cn_windows_server_2012_x64_dvd_915588.iso|3826081792|6A56281311F9FE6973F66CF36E2F50BE|/
3. 交換機一臺
步驟一、完成配置Windows Server 2012 AD DS
Step 1
本實驗是建立在域環境下進行的,所以在進行本實驗之前,請先完成Lab 1 輕鬆配置Windows Server 2012 AD DS。
步驟二、安裝Windows Server 2012,用於證書服務器的基礎環境
Step 2
請參考Lab 1 輕鬆配置Windows Server 2012 AD DS的Step 1 至Step 7。
步驟三、證書服務器配置
Step 3
配置證書服務器的IP地址,以下是我的配置。10.40.94.1是域控制器的IP。
Step 4
將服務器換個計算機名(注意不要和其他計算機名重複),並且加入域。
步驟四、安裝企業根CA
Step 5
打開服務器管理器,點擊“添加角色與功能”。
Step 6
勾選“默認情況下跳過此頁”點擊“下一步”,跳過開始頁。
Step 7
選擇“基於角色或基於功能的安裝”,點擊“下一步”。
Step 8
務必確認是證書服務器(SZSRVCA01v)被選中,點擊“下一步”。
Step 9
勾選“Active Directory證書服務”,點擊兩次“下一步”。因爲我們這裏只添加“Active Directory證書服務”角色,不添加其他功能。
Step 10
注意,安裝了AD CS後,計算機名將無法再改變,請再次確認已經加入該服務器已經加入域並且變更成合適的計算機名。如果漏掉以上操作,請關掉嚮導,回到Step 4重新操作。
Step 11
下面一項一項的對AD CS服務進行安裝,僅勾選“證書頒發機構”,點擊“下一步”。
Step 12
再次確認安裝內容,點擊“安裝”,靜候安裝完成。
Step 13
安裝完成後,回到“服務器管理器”,可以看到待辦任務:配置目標服務器上的Active Directory證書服務。
Step 14
憑據要求,因爲我們安裝的是企業根CA,故需要使用Enterprise Admins成員登陸服務器進行配置。域管理員Administrator具有這個權限,如圖所示。
Step 15
勾選“證書頒發機構”,我們將在接下來的嚮導中配置這個服務。點擊“下一步”。
Step 16
指定CA的設置類型,本實驗中勾選“企業CA”,點擊“下一步”。
Step 17
指定CA類型,本實驗中勾選“根CA”,點擊“下一步”。
Step 18
因爲是新安裝CA,故選擇“創建新的私鑰”。點擊“下一步”。
Step 19
選擇加密算法和密鑰長度,可以保持默認,點擊“下一步”。
Step 20
爲CA起一個看起來不那麼山寨的名字,點擊“下一步”。
Step 21
爲根證書指定一個有效期,默認是5年,嫌麻煩可以指定的久一點,我指定的是10年。
Step 22
指定數據庫位置,缺省就好,點擊“下一步”。
Step 23
再次確認安裝內容,確認無誤之後單擊“配置”。
Step 24
配置完成後,企業根CA就配置完畢了。
步驟五、安裝聯機響應程序
PKI包含了多個組件,包括證書,證書吊銷列表(certificate revocation lists)和證書頒發機構(certification authorities)。大多數情況,當應用程序需要認證,簽名或者做加密操作時,需要確***的狀態。證書狀態和吊銷檢查主要依靠兩個手段來確認:
時間。證書在過期前都會被認爲是有效的,直到系統時間超過過期時間,或者在過期之前已經被吊銷。
吊銷狀態。證書可以在過期之前被吊銷,當密鑰泄露或其他原因需要吊銷證書時,管理員可以對證書吊銷。
確認吊銷狀態有多種手段,如CRLs,增量CRLs和在線證書狀態協議(Online Certificate Status Protocol)。而聯機響應程序使用的正是在線證書狀態協議。OCSP相對CRLs,適合實時性要求較高的場合,查詢數據量小,能緩解CA的帶寬壓力。下面就來介紹如何使用微軟Active Directory Certificate Service實現OCSP。
Step 25
打開“服務器管理器”,單擊“添加角色與功能”,單擊“下一步”。
Step 26
確認是證書服務器(SZSRVCA01v)被選中,點擊“下一步”。
Step 27
勾選“聯機響應程序”,點擊兩次“下一步”。
Step 28
因爲聯機響應是通過Http協議進行通信的,所以系統默認安裝上了IIS角色,以下IIS角色服務在安裝聯機響應程序是被需要的,請務必確保勾選後,點擊“下一步”。
安全性
請求篩選
常見HTTP功能
HTTP錯誤
靜態內容
默認內容
目錄瀏覽
HTTP重定向
性能
靜態內容壓縮
運行狀況和診斷
HTTP日誌記錄
跟蹤
請求監視器
日誌記錄工具
應用程序開發
.NET Extensibility 4.5
ISAPI 篩選器
管理工具
IIS管理控制檯
IIS6元數據庫兼容性
IIS管理腳本和工具
Step 29
確認將安裝以下服務,點擊“安裝”。
Step 30
等待安裝完成後,可以點擊“配置目標服務器上的Active Directory證書服務”,也可以關閉嚮導,在任務提醒處進入接下來的配置。
Step 31
安裝聯機響應僅需要本地管理員角色,確認有權限,點擊“下一步”。
Step 32
勾選“聯機響應程序”,點擊“下一步”。
Step 33
點擊“配置”
Step 34
配置成功。
步驟六、配置CA
Step 35
打開“證書模板”管理單元。
Step 36
右鍵單擊“OCSP響應簽名”模板,單擊“複製模板”,如下圖。
Step 37
爲新模板起一個名字,我的就叫“新OCSP響應簽名”。
Step 38
切換到“安全”選項卡,添加當前服務器(SZSRVCA01v),並給它賦予“讀取”和“自動註冊”的權限。
Step 39
打開“證書頒發機構”,右鍵當前點擊證書頒發機構(AcerTWP-SZSRVCA01v-CA),單擊“屬性”。
Step 40
切換到“擴展”選項卡。單擊“添加”,在“位置”處輸入http://<ServerDNSName>/ocsp 。<ServerDNSName>是一個變量表示當前服務器的DNS名,所以對於我的環境來說,在此處輸入http://szsrvca01/ocsp 也是對的。
Step 41
選中“http://<ServerDNSName>/ocsp ”,勾選“包括在在線證書狀態協議(OCSP)擴展中(O)”。這一步很重要。應用後,會要求重啓證書服務,重啓後配置生效。
Step 42
回到“證書頒發機構”管理單元,右鍵單擊“證書模板”,單擊“要頒發的證書模板“。
Step 43
選中我們自己創建的新OCSP響應簽名模板,點擊”確定“後即可發佈該模板。這樣我們就可以申請到以這個模板創建的證書了。
步驟七、配置證書自動註冊
Step 44
登陸域控制器,打開“組策略管理”管理單元,右鍵編輯Default Domain Policy,展開至“用戶配置”->“策略”->”Windows設置”->“安全設置”->“公鑰策略”,右鍵點擊“證書服務器客戶端-自動註冊”。單擊“屬性”。
Step 45
啓用該模板,並且勾選“續訂過期證書、更新未決證書並刪除吊銷的證書”和“更新使用證書模板的證書”。
Step 46
回到證書服務器,打開CMD,輸入命令“gpupdate/force”。回車後等待組策略刷新,重啓證書服務器。
步驟八、創建吊銷配置
Step 47
打開“證書”管理單元,展開至 證書(本地計算機)->個人->證書,看是否包含一個預期目的爲“OCSP簽名”的證書。右鍵點擊它,點擊“管理私鑰”。
Step 48
點擊添加,輸入NETWORK SERVICE,點擊確定
Step 49
單擊NETWORK SERVICE,確保選中,然後勾選“完全控制”。點擊“確定”。
Step 50
打開“聯機響應程序”管理單元。在右側操作窗格內,點擊“添加吊銷配置”。點擊“下一步”。
Step 51
爲吊銷配置定義一個名稱。
Step 52
勾選“選擇現有企業CA的證書”
Step 53
點擊“瀏覽”,選中當前CA。
Step 54
缺省配置,勾選“自動註冊OCSP簽名證書”。點擊下一步。
Step 55
打開“證書頒發機構”管理單元,雙擊一個已頒發的證書,切換到“詳細信息”選項卡。
Step 56
找到“CRL分發點”字段,複製CRL的URL。
Step 57
回到吊銷配置嚮導,點擊“提供程序”。點擊“添加”,輸入我們剛拷貝的URL。這一切都做完後,就可以點擊完成了。
Step 58
如果配置正確,打開數組配置後,應該能看到簽名證書的狀態是確定。
到目前爲止,AD CS角色的頒發機構和聯機響應就配置完成了。接下來我們會配置證書Web服務,證書註冊策略Web服務,證書頒發機構Web註冊三個角色,鑑於篇幅的原因,這三個內容會放在我的下一篇博客中講述。配置CA的過程中,我也是參照官方的文檔在摸索,其中也少不了同事的一些意見和建議,給了我不少的幫助。相信把這一系列Lab做完,在對PKI的理解上也能更上一層樓,在此,與君共勉。