windows 2012 r2證書服務安裝與高級配置以及如何導出證書（java通過ldap走ssl修改查詢操作）

先前，先後弄windows server2008 以及現在的windows server2012 操作ad域很大時間浪費在了操作證書上，希望大家可以通過此文檔可以更快的解決ssl證書的問題。有問題可隨時聯繫我。

注意：host文件要記得修改！！！host文件要記得修改！！！host文件要記得修改！！！

本着應用隔離的原則，建議把證書服務部署在一臺獨立的windows server 2012 r2虛擬機之中。證書服務器可以不用考慮高可用，因證書服務宕掉後，除了不能繼續頒發證書和不能訪問證書吊銷信息，並不影響證書的其他驗證。

證書服務的導出
1.win+r 後輸入 mmc
2.文件添加/刪除管理單元新建證書選擇本地計算機如圖
3.完成之後，右鍵所有任務申請新證書，做ldap 連接ad域只需要勾選域控制器即可
‘’
4.申請成功，右鍵所有任務導出不要私鑰 base64 編碼

5.用遠程桌面的連接高級勾選即可導出到桌面位置
6.導出根域控證書（ldap需要域控根證書以及域名證書）
域控根證書在下方安裝證書服務就會添加到受信任的根證書辦法機構
到其中找到跟上面申請的證書導出方法一致

導入java 庫中我的路徑是

導入
keytool -import -file D:\nb.cer -keystore "%JAVA_HOME%\jre\lib\security\cacerts" -alias nb

keytool -import -file D:\nb12.cer -keystore "D:/Program Files/Java/jdk1.8.0_201/jre/lib/security/cacerts" -alias nb12

查看
keytool -list -keystore "%JAVA_HOME%\jre\lib\security\cacerts"| findstr /i nb

刪除

keytool -delete -alias parent -keystore "D:/Program Files/Java/jdk1.8.0_201/jre/lib/security/cacerts" -storepass changeit

也可以用GUI 圖形化工具查看

GUI 操作java 證書庫工具|

鏈接：https://pan.baidu.com/s/1Oniam0qPzFnn5Wos8ddrMA
提取碼：3gxt
複製這段內容後打開百度網盤手機App，操作更方便哦、

最終導入到本地的兩個證書如下圖

證書路徑不是如下圖的話可以先將域控根證書安裝到本地計算機

用GUI可視化工具查看如下圖

用可視化工具的話需要注意保存！！！保存！！！保存！！！

證書服務的安裝

證書服務的安裝很簡單，運行服務器管理器，添加角色與功能，選擇”Active Directory證書服務“，

在角色服務中選擇”證書頒發機構“與”證書頒發機構WEB註冊” （不是證書註冊web服務）兩項，證書頒發機構WEB註冊也就是傳統的http://<ca-ip>/certsrv註冊方式，雖然大多數情況下可以不用此方式申請證書，但在某些特殊情況還是會用到（比如某些非微軟的第三方應用），所以請安裝上。

其他步驟選擇默認。

安裝後的配置

安裝完成後，在服務器管理器的右上角會有一個***的三角圖標，點擊它，

選擇企業CA，

選擇根CA，對於一般企業來說，就一臺根CA足矣，不用搞得太複雜。

在接下來的選項中選擇創建新的私鑰，加密選項默認，密鑰長度至少2048位，其他選項默認。

高級配置

雖然在上面的安裝完成後，基本的證書服務就可以用了，但在生產環境中，還建議進行以下配置：

修改服務器級別頒發的證書有效期，如改爲10年
創建一個自定義的企業用的證書模板（計算機類）
調整CRL發佈期，儘量長（如果安全性要求高，則要調短）
配置HTTP方式訪問CRL和AIA，並且內外可訪問
創建EFS恢復代理
關於證書續訂

修改服務器級別頒發的證書有效期

默認情況下，證書的有效期只有兩年，即使你證書模板配置了大於兩年也沒用，需要在證書服務器上修改下面這個總開關：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<caname>下面的"ValidityPeriodUnits"，默認爲2，修改成需要的年限，修改後要重啓證書服務。

在企業環境中，如果不修改這裏，每兩年都去續訂或更新證書也是件麻煩事（比如郵件系統用的證書），對於安全合規要求不是很高的環境可以調高這裏的年限。

創建一個自定義的企業用的證書模板（計算機類）

默認情況下，用戶能從MMC中申請“計算機”類型的證書，但此證書所有參數固定，不能添加自定義的域名（CN和SAN），且不能導出私鑰，不適合生產環境，需要新建一個適合生產的模板，以便自動申請相關證書，步驟如下：

運行mmc，添加證書模板，然後選中計算機模板，再選複製模板，就會基於計算機模板複製出一個新模板，我們可以基於此模板定義出適合自己的模板，計算機模板既適合服務器身份驗證，也適合客戶端身份驗證，這點與WEB服務器模板有所不同，WEB服務器只適合服務器身份驗證，不同用途的模板適合不同的場景，在Exchange和LYNC的部署中，通常只要是計算機類型的證書即可（比如你申請一個用戶類型的證書是沒有用的）。

然後在複製模板的兼容性標籤選默認設置（如果不是選windows server 2003兼容設置，比如更高版本，則不能通過web方式申請），

在常規標籤下，有效期設置爲10年，續訂期也設置長一點，如一年，如果續訂期太短，過了續訂期就只有新申請證書，而不能利用原有證書，這會導致很多麻煩事（比如去相關應用更換證書）。

在請求處理標籤，選擇允許導出私鑰。

在使用者名稱標籤，選擇在請求中提供，這樣你就可以很方便地自定義公用名和使用者備用名稱，比如多域名或通配符證書。

最後返回證書頒發機構，右擊證書模板，選擇新建，選要頒發的證書模板。

然後選擇剛纔新建的證書模板，這樣就可以通過MMC，WEB方式申請此類型的證書了。如果不加到證書頒發機構下的證書模板下，是不能通過MMC/WEB方式申請此類型證書的。

可以找一臺加域客戶端或服務器進行驗證，運行mmc，添加證書（計算機）插件，在個人>證書下右擊，選所有任務，選申請新證書。

選擇相應證書模板，並點配置設置，

在公用名填入使用者名稱，然後備用名稱DNS欄填入其他域名或通配符。最後確定申請，正常馬上就能看到證書。

調整CRL發佈期

右擊吊銷的證書，在CRL發佈間隔填寫1年，取消發佈增量CRL。這樣做的目的不是增強安全性，是減少工作量，畢竟大部分環境還沒有很高的CRL要求。

配置HTTP方式訪問CRL，並且內外可訪問

默認情況下，CRL證書吊銷列表通過LDAP方式訪問，但此方式域網絡之外是無法訪問的，爲了讓內外都能訪問，並簡化部署，建議把CRL分發點設置成通過HTTP方式訪問，併發布到外網，實現內外統一訪問。

進入證書頒發機構屬性，選擇擴展標籤，選CRL分發點，首先取消發佈到LDAP，這個東西只能內部訪問，外部又不能訪問，所以取消它，只保留HTTP的方式訪問CRL。

然後選中上面的http一行，再點下面的添加，添加如下地址，ca.cme-cq.com爲內外網都能訪問的域名，指向實際的證書服務器，最後面的jdjt-rootca.crl是證書頒發機構的名字與crl擴展名組合。

確定後如下圖勾選。

完成後手動發佈一下CRL。

注意這些CRL實際是發佈在system32\certsrv\certenroll之下的（關聯到了IIS的CertEnroll目錄，所以通過HTTP能夠訪問），紅框中的crl爲吊銷列表。

參照上面CDP同理修改AIA位置，取消LDAP發佈，並添加http路徑，路徑與CRL發佈路徑僅後面文件名不一樣，這裏就是前面system32\certsrv\certenroll路徑下crt文件名。

接着就是要在內外部DNS服務器上添加ca.cme-cq.com的解析，外部要訪問還需要在邊緣防火牆進行發佈，建議使用TMG（TMG可以部署成旁路）,TMG可以通過不同的域名來實現對同一IP和80端口的重複利用。

完成後到客戶端申請一個證書，檢查CRL分發點位置和頒發機構信息訪問兩個設置是否如我們配置一樣。

並測試是否能夠訪問。

創建EFS恢復代理

有個別用戶會使用EFS加密，但由於不瞭解相關知識，沒有意識到備份自己的證書與私鑰，導致重裝系統後原來EFS文件再也不能打開（重裝系統後私鑰和證書都被刪除了，雖然公鑰在證書頒發機構有，但私鑰如前面原理所說，他是隻保存在用戶電腦上的）。作爲一種救援手段，管理員需要提前創建至少一個EFS恢復代理，這樣當用戶找到你時，你纔可以扮演救世主，不然你也只能聳聳肩。其實操作很簡單，打開組策略管理，編輯默認的default domain policy，在計算機配置>windows設置>安全設置>公鑰策略下，右擊加密文件系統，選擇創建數據恢復代理程序，就會自動以當前用戶創建一個恢復代理，