码迷,mamicode.com
首页 > 其他好文 > 详细

Active Direcyory之证书颁发机构(CA服务器)

时间:2015-05-31 01:34:35      阅读:153      评论:0      收藏:0      [点我收藏+]

标签:ad域服务   ca服务器   

今天给大家带来的是CA服务器,全称是证书颁发机构,那么,哪里需要用到AC服务器呢?这里就要说一下https了,https(全称:Hyper Text Transfer Protocol over Secure Socket Layer)简单讲是HTTP的安全版。

今天的示例有两个:

示例一: 部署企业内部CA服务器

示例二: 实现安全的WEB站点

先给大家说一下今天的实验环境,两台服务器server01,server02,server01为域控制器,CA服务器,DNS服务器,server02为WEB服务器,server05位客户机

下面我们开始做示例一,部署企业内部的CA服务器

在server01上打开服务器管理器,选择添加角色和功能

技术分享

勾选证书服务,单击下一步

技术分享

在选择角色服务是,注意勾选“证书颁发机构Web注册”选项

技术分享

勾选后会弹出如下图所示的页面,选择添加功能

技术分享

因为添加证书服务,需要Web服务,所以这里在选择Web服务的时候,默认即可(注意:默认选择也要到最下面查看一下IIS控制台是否勾选),单击下一步

技术分享

确认安装

技术分享

安装完成后,我们来配置AD证书服务,单击服务器管理器的小旗子,选择配置目标服务器上的AD证书服务(以下简称CA)

技术分享

选择后会进入配置页面,这里单击下一步即可

技术分享

在选择角色服务的页面中,注意要勾选上下面两个选项(其实只能勾选这两个,因为没添加别的-_-!),如图

技术分享

勾选完成后,悔进入类型设置页面,这里分为两个类型,一个是企业CA,一个是独立CA。企业CA,必须在域环境下,可以实现证书的自动颁发;独立CA,可以是域环境也可以工作组环境。这里我们选择企业CA,因为我们是在域环境中。

技术分享

这里是选择CA类型,分为根和从属,这里我们选择根

技术分享

选择完CA类型,下面是私钥类型的选择,我们还是创建新的

技术分享

这里需要制定CA名称,我们选择默认就可以

技术分享

这里需要选择有限期,因为我们是实验环境,所以选择默认,生产环境的话,需要看实际情况

技术分享

选择配置,等待即可

技术分享

配置完成后,会有如下图的提示

技术分享

那么,我们该如何管理CA呢?打开服务器管理器,单击工具,选择证书颁发机构

技术分享

在这里,我们就能对CA进行管理

技术分享

CA安装完成后,我们来验证一下,是否有误。打开浏览器,通过浏览器访问  http://ip/certsrv  这里的ip就是你CA服务器的ip地址,在访问http://ip/certsrv  的时候,会提示你输入凭证,如下图

技术分享

输入完凭证后,会进入如下页面,则CA安装无误

技术分享

安装过CA,不能不用,是不?下面给大家简单的介绍一下CA的运用

示例二: 实现安全的WEB站点(域环境中),通过 https访问www.zc1.com,具体分为下面5个步骤

步骤1:WEB服务器端生成证书申请文件

步骤2:提交证书申请文件到CA服务器

步骤3:域环境中CA服务器自动颁发证书

步骤4:WEB服务器安装证书

步骤5:配置HTTPS访问

下面我们来一次完成这5个步骤

步骤1:WEB服务器端生成证书申请文件

在申请之前,我们先在C盘创建一个文件夹,名字是zhengshu,在文件夹中创建一个文件,名字是zs.txt

技术分享

打开服务器管理器,进入IIS管理器,单击服务器名称,选择证书服务器,如下图

技术分享

进入证书服务器,单击右边的创建证书申请,进入证书申请页面

技术分享

进入证书申请页面后,我们要注意两个选项,一个是通用名称,一个是挂机/地区。通用名称,你如何访问网站,就如何填(本次实验室通过域名访问的,所以在这里添加的是网站的域名),国家/地区,这里选择CN(中国),其它几项,这里就随便填一下就可以,因为是实验环境,所以可以随便填,在生产环境中,这里要按照要求填写,填写完成后,点击下一步

技术分享

这里会选择机密服务提供的程序和位长,选择默认即可,点击下一步

技术分享

这里需要生成一个文件,我们选择开始创建的文件夹zhengshu,文件名称起名为zs.txt,填好后选择完成,第一步完成

步骤2:提交证书申请文件到CA服务器

在Web服务器上打开浏览器,访问http://192.168.10.101/certsrv  ,选择申请证书,高级证书

技术分享

选择“使用base64编码的······”

技术分享

打开上一步存起来的文档,并复制里面的内容

技术分享

在保存的申请中粘贴刚刚复制的内容

技术分享

在证书模板中选择Web服务器,点击提交

技术分享

证书申请完成后,我们进行第三步

步骤3:域环境中CA服务器自动颁发证书

在刚刚申请的页面,我们在点击完提交后,CA服务器就会给我们自动颁发证书,因为我们是在域环境中,不需要去手动颁发证书,如下图

技术分享

步骤4:WEB服务器安装证书

证书已经颁发,下面我们来安装证书,首先,我们要下载证书

在server02上打开浏览器,访问http://192.168.10.101/certsrv/ 选择下载证书

技术分享

CA证书选项,选择当前,编码选择DER,点击下载CA证书

技术分享

将其另存到刚开始创建的存放证书的文件夹

技术分享

下载完成后后,打开IIS管理器,单击服务器名称,选择证书服务器

技术分享

选择完成证书申请

技术分享

选择证书存放的位置,证书的存储类型选择Web宿主

技术分享

完成后可以在服务器证书中查看当前证书的属性

技术分享

Web服务器已经安装完证书了,下面我们来配置https访问

步骤5:配置HTTPS访问

打开IIS管理器右键单击网站,选择添加网站

技术分享

https的网站与http的网站配置基本相同,只要更改类型为https,在选择证书即可,如下图

技术分享

下面我们来测试一下https网站是否成功

在server05(客户机)上访问https:\\www.zc1.com 会弹出如下提示,我们先暂时忽略他,选择继续浏览

技术分享

选择后我们就会进入到我们的网站中,说明https网站配置成功

技术分享

在证明网站配置成功后,我们来解决刚才遇到的问题,那就是,客户机在访问网站时出现的证书问题    
首先我们要下载CA证书,浏览器访问http://192.168.10.101/certsrv/ ,这里会让你输入一个凭证,我们用一个普通域用户登陆即可

技术分享

选择下载证书

技术分享

选择下载CA证书

技术分享

另存到桌面

技术分享

按Windows + R 键打开运行,输入mmc,进入控制台,单击文件,选择添加/删除管理单元

技术分享

选择添加,找到证书

技术分享

选择计算机账户

技术分享

选择本地计算机

技术分享

单击受信任的根证书颁发机构,右键单击证书,选择所有任务,单击导入,如下图

技术分享

单击浏览,选择刚才下载的证书的地址

技术分享

选择将所有的证书放入下列存储区域,单击下一步

技术分享

证书导入完成

技术分享

证书已经安装完成了,现在我们再来测试访问一下我们的网站,我们发现他不在时不受信任的网站了

技术分享

本期实验到此结束,谢谢大家阅读!

本文出自 “张晓C” 博客,请务必保留此出处http://zhangcong.blog.51cto.com/10005154/1656680

Active Direcyory之证书颁发机构(CA服务器)

标签:ad域服务   ca服务器   

原文地址:http://zhangcong.blog.51cto.com/10005154/1656680

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!