今天给大家带来的是CA服务器,全称是证书颁发机构,那么,哪里需要用到AC服务器呢?这里就要说一下https了,https(全称:Hyper Text Transfer Protocol over Secure Socket Layer)简单讲是HTTP的安全版。
今天的示例有两个:
示例一: 部署企业内部CA服务器
示例二: 实现安全的WEB站点
先给大家说一下今天的实验环境,两台服务器server01,server02,server01为域控制器,CA服务器,DNS服务器,server02为WEB服务器,server05位客户机
下面我们开始做示例一,部署企业内部的CA服务器
在server01上打开服务器管理器,选择添加角色和功能
勾选证书服务,单击下一步
在选择角色服务是,注意勾选“证书颁发机构Web注册”选项
勾选后会弹出如下图所示的页面,选择添加功能
因为添加证书服务,需要Web服务,所以这里在选择Web服务的时候,默认即可(注意:默认选择也要到最下面查看一下IIS控制台是否勾选),单击下一步
确认安装
安装完成后,我们来配置AD证书服务,单击服务器管理器的小旗子,选择配置目标服务器上的AD证书服务(以下简称CA)
选择后会进入配置页面,这里单击下一步即可
在选择角色服务的页面中,注意要勾选上下面两个选项(其实只能勾选这两个,因为没添加别的-_-!),如图
勾选完成后,悔进入类型设置页面,这里分为两个类型,一个是企业CA,一个是独立CA。企业CA,必须在域环境下,可以实现证书的自动颁发;独立CA,可以是域环境也可以工作组环境。这里我们选择企业CA,因为我们是在域环境中。
这里是选择CA类型,分为根和从属,这里我们选择根
选择完CA类型,下面是私钥类型的选择,我们还是创建新的
这里需要制定CA名称,我们选择默认就可以
这里需要选择有限期,因为我们是实验环境,所以选择默认,生产环境的话,需要看实际情况
选择配置,等待即可
配置完成后,会有如下图的提示
那么,我们该如何管理CA呢?打开服务器管理器,单击工具,选择证书颁发机构
在这里,我们就能对CA进行管理
CA安装完成后,我们来验证一下,是否有误。打开浏览器,通过浏览器访问 http://ip/certsrv 这里的ip就是你CA服务器的ip地址,在访问http://ip/certsrv 的时候,会提示你输入凭证,如下图
输入完凭证后,会进入如下页面,则CA安装无误
安装过CA,不能不用,是不?下面给大家简单的介绍一下CA的运用
示例二: 实现安全的WEB站点(域环境中),通过 https访问www.zc1.com,具体分为下面5个步骤
步骤1:WEB服务器端生成证书申请文件
步骤2:提交证书申请文件到CA服务器
步骤3:域环境中CA服务器自动颁发证书
步骤4:WEB服务器安装证书
步骤5:配置HTTPS访问
下面我们来一次完成这5个步骤
步骤1:WEB服务器端生成证书申请文件
在申请之前,我们先在C盘创建一个文件夹,名字是zhengshu,在文件夹中创建一个文件,名字是zs.txt
打开服务器管理器,进入IIS管理器,单击服务器名称,选择证书服务器,如下图
进入证书服务器,单击右边的创建证书申请,进入证书申请页面
进入证书申请页面后,我们要注意两个选项,一个是通用名称,一个是挂机/地区。通用名称,你如何访问网站,就如何填(本次实验室通过域名访问的,所以在这里添加的是网站的域名),国家/地区,这里选择CN(中国),其它几项,这里就随便填一下就可以,因为是实验环境,所以可以随便填,在生产环境中,这里要按照要求填写,填写完成后,点击下一步
这里会选择机密服务提供的程序和位长,选择默认即可,点击下一步
这里需要生成一个文件,我们选择开始创建的文件夹zhengshu,文件名称起名为zs.txt,填好后选择完成,第一步完成
步骤2:提交证书申请文件到CA服务器
在Web服务器上打开浏览器,访问http://192.168.10.101/certsrv ,选择申请证书,高级证书
选择“使用base64编码的······”
打开上一步存起来的文档,并复制里面的内容
在保存的申请中粘贴刚刚复制的内容
在证书模板中选择Web服务器,点击提交
证书申请完成后,我们进行第三步
步骤3:域环境中CA服务器自动颁发证书
在刚刚申请的页面,我们在点击完提交后,CA服务器就会给我们自动颁发证书,因为我们是在域环境中,不需要去手动颁发证书,如下图
步骤4:WEB服务器安装证书
证书已经颁发,下面我们来安装证书,首先,我们要下载证书
在server02上打开浏览器,访问http://192.168.10.101/certsrv/ 选择下载证书
CA证书选项,选择当前,编码选择DER,点击下载CA证书
将其另存到刚开始创建的存放证书的文件夹
下载完成后后,打开IIS管理器,单击服务器名称,选择证书服务器
选择完成证书申请
选择证书存放的位置,证书的存储类型选择Web宿主
完成后可以在服务器证书中查看当前证书的属性
Web服务器已经安装完证书了,下面我们来配置https访问
步骤5:配置HTTPS访问
打开IIS管理器右键单击网站,选择添加网站
https的网站与http的网站配置基本相同,只要更改类型为https,在选择证书即可,如下图
下面我们来测试一下https网站是否成功
在server05(客户机)上访问https:\\www.zc1.com 会弹出如下提示,我们先暂时忽略他,选择继续浏览
选择后我们就会进入到我们的网站中,说明https网站配置成功
在证明网站配置成功后,我们来解决刚才遇到的问题,那就是,客户机在访问网站时出现的证书问题
首先我们要下载CA证书,浏览器访问http://192.168.10.101/certsrv/ ,这里会让你输入一个凭证,我们用一个普通域用户登陆即可
选择下载证书
选择下载CA证书
另存到桌面
按Windows + R 键打开运行,输入mmc,进入控制台,单击文件,选择添加/删除管理单元
选择添加,找到证书
选择计算机账户
选择本地计算机
单击受信任的根证书颁发机构,右键单击证书,选择所有任务,单击导入,如下图
单击浏览,选择刚才下载的证书的地址
选择将所有的证书放入下列存储区域,单击下一步
证书导入完成
证书已经安装完成了,现在我们再来测试访问一下我们的网站,我们发现他不在时不受信任的网站了
本期实验到此结束,谢谢大家阅读!
本文出自 “张晓C” 博客,请务必保留此出处http://zhangcong.blog.51cto.com/10005154/1656680
Active Direcyory之证书颁发机构(CA服务器)
原文地址:http://zhangcong.blog.51cto.com/10005154/1656680
