假如我們來到了外網,想要完成跨林邊界的證書註冊,想向移動工作人員和企業合作伙伴頒發證書,怎麼辦?天空一聲巨響,Web閃亮登場!有了通用的HTTPS協議,我們就能在域和林外的世界做很多事情,通過構建這些Web服務,架起用戶和證書頒發機構的橋樑,就可以代爲獲得證書策略信息以及完成證書的註冊。
下面我們來看看實驗的資源清單
1. 服務器(1.4GHz主頻以上,64位,1.5G內存,60G硬盤)兩臺,可以是虛擬機
2. Windows Server 2012的安裝鏡像文件 拷貝以下鏈接到迅雷或其他下載工具
ed2k://|file|cn_windows_server_2012_x64_dvd_915588.iso|3826081792|6A56281311F9FE6973F66CF36E2F50BE|/
3. 交換機一臺
步驟一、完成配置Windows Server 2012 AD DS
Step 1
本實驗是建立在域環境下進行的,所以在進行本實驗之前,請先完成Lab 1 輕鬆配置Windows Server 2012 AD DS。
步驟二、完成配置Windows Server 2012 AD CS(頒發機構)
Step 2
請至少完成至Lab 2 循序漸進配置Windows Server 2012 AD CS(頒發機構&聯機響應篇)的Step 24。配置聯機響應程序對本實驗並無影響,有興趣的同學也可以完成整個Lab 2,再來做Lab 3。
步驟三、安裝證書頒發機構 Web 註冊
Step 3
打開服務器管理器,點擊“添加角色與功能”。
Step 4
選擇“基於角色或基於功能的安裝”,點擊“下一步”。
Step 5
確認是證書服務器(SZSRVCA01v)被選中,點擊“下一步”。
Step 6
勾選“證書頒發機構Web註冊”,點擊兩次“下一步”。
Step 7
確認將安裝以下服務,點擊“安裝”。
Step 8
等待安裝完成後,關閉嚮導,在任務提醒處進入接下來的配置。指定配置憑據,本地管理員是最低要求。
Step 9
勾選“證書頒發機構Web註冊”,點擊“下一步”。
Step 10
不需要填入任何參數就自動配置完成了。
步驟四、爲證書服務器配置HTTPS綁定
Step 11
打開IIS,展開到SZSRVCA01V,然後雙擊“服務器證書”。
Step 12
在右邊導航欄點擊創建證書申請。通用名稱填寫FQDN。其他按照實際填寫。
Step 13
缺省即可,下一步。
Step 14
之前我們填寫的內容會生成一個證書申請請求文件,我們可以爲它指定一個路徑,我習慣放桌面。
Step 15
可以打開看看,是一串字符,待會我們會用到。
Step 16
Step 17
點擊“安全”選項卡,確認“本地Intranet”被選中狀態,將安全級別降至最低。做完這些後,點擊“站點”。
Step 18
點擊“高級”,將“http://szsrvca01v.acertwp.com”加入到此區域。“http://szsrvca01v.acertwp.com”是證書服務器的域名。
Step 19
回到IE,連接網址http://szsrvca01v.acertwp.com\certsrv。點擊“申請證書”。
Step 20
點擊“提交一個高級證書”。
Step 21
點擊“使用 base64 編碼的 CMC 或 PKCS #10 文件提交 一個證書申請,或使用 base64 編碼的 PKCS #7 文件續訂證書申請。”
Step 22
這時候,剛纔那個證書申請文件就派上用場了,將內容貼至文本框,將證書模板改爲“Web服務器”。點擊“提交”。
Step 23
因爲當前是以域管理員登錄的,所以證書直接就發下來了。點擊“是”。
Step 24
勾選“Base 64 編碼”,點擊“下載證書”,可以選擇保存位置,我選擇保存到C:\Cert\certnew.cer。
Step 25
回到IIS,在“創建證書申請”的下方點擊“完成證書申請”。點擊 找到剛保存下來的證書文件,給它取一個名字,點擊“確定”。這樣證書就被導入服務器了。
Step 26
還沒完,有了證書,我們還需要綁定才能用。展開到Default Web Site。點擊右側導航欄的 按鈕。
Step 27
點擊https,點擊“編輯”。
Step 28
在SSL證書下拉菜單中,選中我們剛纔申請的證書,點擊確定。這樣證書就綁定好了,我們可以通過https來訪問證書服務器了。可以看到地址欄上多了一把鎖,表明客戶端和服務器之間的通信已經經過了SSL加密。
步驟五、安裝證書註冊策略 Web 服務(CEP)
Step 29
添加角色與功能,前三頁跟之前一致,勾選“證書註冊策略Web服務”。點擊兩次“下一步”。
Step 30
點擊“安裝”。
Step 31
點擊“配置目標服務器上的Active Directory證書服務”。
Step 32
指定一個隸屬於Enterprise Admins組的用戶來進行配置。
Step 33
勾選“證書註冊策略Web服務”。
Step 34
如果希望基於啓用基於密鑰的續訂,請勾選“用戶名和密碼”,那又是另外一個故事了,有興趣的可以嘗試一下。這裏我不需要啓用基於密鑰的續訂,所以勾選“Windows集成身份驗證”就好。
Step 35
Step 36
配置成功。關閉嚮導,打開IIS。雙擊“應用程序設置”。雙擊FriendlyName,輸入SSL Server Certificates。(貌似隨便輸個自己能記住的名字都可以。。。)
Step 37
雙擊URI,這是我們訪問策略的網址,拷貝出來放在記事本里,待用。
步驟六、安裝證書註冊Web服務(CES)
Step 38
安裝角色與功能都跟之前一樣,勾選“證書註冊Web服務”。兩次“下一步”,然後點“安裝”。
Step 39
完成後,點擊“配置目標服務器上的Active Directory證書服務”。
Step 40
指定一個Enterprise Admins組的賬戶來進行配置。
Step 41
勾選“證書註冊Web服務”。
Step 42
指定CA,清除“爲僅續訂模式配置證書註冊Web服務”,點擊“下一步”。
Step 43
勾選“Windows 集成身份驗證”。
Step 44
需要服務賬戶了,腫麼辦呢,去DC上建立一個用戶(svccaces),然後回到證書服務器,在提升的權限模式下打開Powershell,執行以下命令:
Net localgroup IIS_IUSRS acertwp\svccaces /Add
這條命令的意思就是將acertwp\svccaces這個用戶加入到szsrvca01v的IIS_IUSRS組內。也可以通過“本地用戶與組”控制檯進行這個操作。
Step 45
確認配置無誤,就可以點擊“配置”了。
Step 46
配置成功。
Step 47
打開證書頒發機構控制檯。打開當前CA的屬性。
Step 48
切換到“安全”選項卡。點擊剛纔創建的服務賬戶“svcvaces”,僅授予其讀取的權限,如圖。
Step 49
打開DC上的組策略管理,展開至公鑰策略,如圖。
Step 50
雙擊“證書服務客戶端 - 證書註冊策略”,如果未配置,先啓用,可以看到缺省有一條Active Directory註冊策略,刪除它。
Step 51
點擊“添加”,輸入註冊策略服務器URI,Step 37中記錄的URI終於用上了,拷過來,身份驗證類型選“Windows 集成”,然後點擊“驗證服務器”,如果成功了,就會如下圖所示,顯示已成功驗證。
Step 52
把SSL Server Certificates前面的方框勾上。點擊確定,完工。
配置證書是件很麻煩的事情,需要精力和專注。關鍵是要保持良好的文檔記錄和操作規範以節省人力開銷。如果想做的更加複雜,挑戰一下自己,可以參考微軟的資料Test Lab Guide: Demonstrating Certificate Key-Based Renewal(測試實驗室指南:基於證書密鑰的續訂)。