背景:
阅读新闻

Active Direcyory之证书颁发机构(CA服务器)

  作者: 今日评论: [字体: ]

今天给大家带来的是CA服务器,全称是证书颁发机构,那么,哪里需要用到AC服务器呢?这里就要说一下https了,https(全称:Hyper Text Transfer Protocol over Secure Socket Layer)简单讲是HTTP的安全版。

今天的示例有两个:

示例一: 部署企业内部CA服务器

示例二: 实现安全的WEB站点

先给大家说一下今天的实验环境,两台服务器server01,server02,server01为域控制器,CA服务器,DNS服务器,server02为WEB服务器,server05位客户机

下面我们开始做示例一,部署企业内部的CA服务器

在server01上打开服务器管理器,选择添加角色和功能

2015-05-29_101620

勾选证书服务,单击下一步

2015-05-29_101714

在选择角色服务是,注意勾选“证书颁发机构Web注册”选项

2015-05-29_101812

勾选后会弹出如下图所示的页面,选择添加功能

2015-05-29_101832

因为添加证书服务,需要Web服务,所以这里在选择Web服务的时候,默认即可(注意:默认选择也要到最下面查看一下IIS控制台是否勾选),单击下一步

2015-05-29_101923

确认安装

2015-05-29_101940

安装完成后,我们来配置AD证书服务,单击服务器管理器的小旗子,选择配置目标服务器上的AD证书服务(以下简称CA)

2015-05-29_102608

选择后会进入配置页面,这里单击下一步即可

2015-05-29_102645

在选择角色服务的页面中,注意要勾选上下面两个选项(其实只能勾选这两个,因为没添加别的-_-!),如图

2015-05-29_102709

勾选完成后,悔进入类型设置页面,这里分为两个类型,一个是企业CA,一个是独立CA。企业CA,必须在域环境下,可以实现证书的自动颁发;独立CA,可以是域环境也可以工作组环境。这里我们选择企业CA,因为我们是在域环境中。

2015-05-29_102751

这里是选择CA类型,分为根和从属,这里我们选择根

2015-05-29_102836

选择完CA类型,下面是私钥类型的选择,我们还是创建新的

2015-05-29_102849

这里需要制定CA名称,我们选择默认就可以

2015-05-29_102921

这里需要选择有限期,因为我们是实验环境,所以选择默认,生产环境的话,需要看实际情况

2015-05-29_102942

选择配置,等待即可

2015-05-29_103019

配置完成后,会有如下图的提示

2015-05-29_104506

那么,我们该如何管理CA呢?打开服务器管理器,单击工具,选择证书颁发机构

2015-05-29_104631

在这里,我们就能对CA进行管理

2015-05-29_104733

CA安装完成后,我们来验证一下,是否有误。打开浏览器,通过浏览器访问  http://ip/certsrv  这里的ip就是你CA服务器的ip地址,在访问http://ip/certsrv  的时候,会提示你输入凭证,如下图

2015-05-29_105328

输入完凭证后,会进入如下页面,则CA安装无误

2015-05-29_105417

安装过CA,不能不用,是不?下面给大家简单的介绍一下CA的运用

示例二: 实现安全的WEB站点(域环境中),通过 https访问www.zc1.com,具体分为下面5个步骤

步骤1:WEB服务器端生成证书申请文件

步骤2:提交证书申请文件到CA服务器

步骤3:域环境中CA服务器自动颁发证书

步骤4:WEB服务器安装证书

步骤5:配置HTTPS访问

下面我们来一次完成这5个步骤

步骤1:WEB服务器端生成证书申请文件

在申请之前,我们先在C盘创建一个文件夹,名字是zhengshu,在文件夹中创建一个文件,名字是zs.txt

2015-05-29_112237

打开服务器管理器,进入IIS管理器,单击服务器名称,选择证书服务器,如下图

2015-05-29_110705

进入证书服务器,单击右边的创建证书申请,进入证书申请页面

2015-05-29_110737

进入证书申请页面后,我们要注意两个选项,一个是通用名称,一个是挂机/地区。通用名称,你如何访问网站,就如何填(本次实验室通过域名访问的,所以在这里添加的是网站的域名),国家/地区,这里选择CN(中国),其它几项,这里就随便填一下就可以,因为是实验环境,所以可以随便填,在生产环境中,这里要按照要求填写,填写完成后,点击下一步

2015-05-29_111102

这里会选择机密服务提供的程序和位长,选择默认即可,点击下一步

2015-05-29_111534

这里需要生成一个文件,我们选择开始创建的文件夹zhengshu,文件名称起名为zs.txt,填好后选择完成,第一步完成

步骤2:提交证书申请文件到CA服务器

在Web服务器上打开浏览器,访问http://192.168.10.101/certsrv  ,选择申请证书,高级证书

QQ截图20150529131839

选择“使用base64编码的······”

QQ截图20150529131929

打开上一步存起来的文档,并复制里面的内容

QQ截图20150529132001

在保存的申请中粘贴刚刚复制的内容

QQ截图20150529132040

在证书模板中选择Web服务器,点击提交

QQ截图20150529132121

证书申请完成后,我们进行第三步

步骤3:域环境中CA服务器自动颁发证书

在刚刚申请的页面,我们在点击完提交后,CA服务器就会给我们自动颁发证书,因为我们是在域环境中,不需要去手动颁发证书,如下图

QQ截图20150529132152

步骤4:WEB服务器安装证书

证书已经颁发,下面我们来安装证书,首先,我们要下载证书

在server02上打开浏览器,访问http://192.168.10.101/certsrv/ 选择下载证书

QQ截图20150529135836

CA证书选项,选择当前,编码选择DER,点击下载CA证书

QQ截图20150529135624

将其另存到刚开始创建的存放证书的文件夹

QQ截图20150529133945

下载完成后后,打开IIS管理器,单击服务器名称,选择证书服务器

QQ截图20150529134029

选择完成证书申请

QQ截图20150529134116

选择证书存放的位置,证书的存储类型选择Web宿主

QQ截图20150529134203

完成后可以在服务器证书中查看当前证书的属性

QQ截图20150529135339

Web服务器已经安装完证书了,下面我们来配置https访问

步骤5:配置HTTPS访问

打开IIS管理器右键单击网站,选择添加网站

QQ截图20150529140605

https的网站与http的网站配置基本相同,只要更改类型为https,在选择证书即可,如下图

QQ截图20150529140656

下面我们来测试一下https网站是否成功

在server05(客户机)上访问https:\\www.zc1.com 会弹出如下提示,我们先暂时忽略他,选择继续浏览

QQ截图20150529140959

选择后我们就会进入到我们的网站中,说明https网站配置成功

QQ截图20150529141032

在证明网站配置成功后,我们来解决刚才遇到的问题,那就是,客户机在访问网站时出现的证书问题    
首先我们要下载CA证书,浏览器访问http://192.168.10.101/certsrv/ ,这里会让你输入一个凭证,我们用一个普通域用户登陆即可

QQ截图20150529141946

选择下载证书

QQ截图20150529142159

选择下载CA证书

QQ截图20150529142447

另存到桌面

QQ截图20150529142503

按Windows + R 键打开运行,输入mmc,进入控制台,单击文件,选择添加/删除管理单元

QQ截图20150529142616

选择添加,找到证书

QQ截图20150529142649

选择计算机账户

QQ截图20150529142706

选择本地计算机

QQ截图20150529142722

单击受信任的根证书颁发机构,右键单击证书,选择所有任务,单击导入,如下图

QQ截图20150529143144

单击浏览,选择刚才下载的证书的地址

QQ截图20150529142927

选择将所有的证书放入下列存储区域,单击下一步

QQ截图20150529143230

证书导入完成

QQ截图20150529143316

证书已经安装完成了,现在我们再来测试访问一下我们的网站,我们发现他不在时不受信任的网站了

QQ截图20150529143356

本期实验到此结束,谢谢大家阅读!

来源:https://blog.51cto.com/zhangcong/1656680
录入日期:[2019/07/25 0:55:00]
收藏 推荐 打印 | 录入:mikebai | 阅读:
文章评论      
正在加载评论列表...
评论表单加载中...