曲径通幽论坛

标题: 安装 AD CS 与架设根 CA [打印本页]

作者: easy 时间: 2013-12-2 11:42
标题: 安装 AD CS 与架设根 CA
在 Windows Server 2008 R2 中，可以通过添加 “Active Directory 证书服务” 角色来安装 “独立根 CA” 或 “企业根 CA”。

1. 先以 administrator 来登录域。

2. 打开 “服务器管理器” ，单击 “角色” ，再单击右边的 “添加角色” ：
[attach]2349[/attach]

3. 在服务器角色选择界面勾选“Active Directory 证书服务”：
[attach]2350[/attach]

4. 在“Active Directory 证书服务简介” 界面中单击“下一步”。

5. 在 AD CS 的 “选择角色服务” 界面里还勾选“证书颁发机构 Web 注册”，这是为了方便用户使用 Web 界面执行一些与证书相关的操作任务。在你勾选该项时，添加角色向导可能会弹出一个对话框，要求你安装所缺失的角色服务和功能，如 IIS Web 服务器：
[attach]2351[/attach]
[attach]2352[/attach]
然后单击“下一步”。

6. 在选择 CA 类型时，保持默认的“企业” ，然后单击“下一步”：
[attach]2353[/attach]
如果此计算机是独立服务器或不是利用域系统管理员登录的话，将无法选择“企业 CA”。

7. 选择“根 CA” ，然后单击“下一步”：
[attach]2354[/attach]

8. 选择 “新建私钥”，然后单击“下一步”：
[attach]2355[/attach]
这个私钥是 CA 的私钥，CA 必须拥有私钥，否则不能发放证书给客户端。如果是重装 CA 的话（之前在该台服务器上已经安装过 CA），那么可以选择使用前一次安装时所创建的私钥。

9. 可以使用默认的私钥创建方法，直接单击“下一步”：
[attach]2356[/attach]

10. 为 CA 配置名称，这里也可以保持默认，然后单击“下一步”：
[attach]2357[/attach]

11. 在“设置有效期”里，默认有效期为 5 年，这个也保持默认，然后单击“下一步”：
[attach]2358[/attach]

12. 在“配置证书数据库”界面中单击下一步，保持默认即可：
[attach]2359[/attach]

13. 在“Web 服务器（IIS）” 界面中单击下一步：
[attach]2360[/attach]

14. 在“选择角色服务”界面中保持默认，直接单击“下一步”。

15. 在“确认安装选择”界面中单击“下一步”

16. 确认选择无误后，直接单击“安装”，结束后单击“关闭” 。

安装完成后，可以通过“开始” ---> “管理工具” ---> “证书颁发机构” 来管理 CA：
[attach]2361[/attach]

企业根 CA 根据“证书模板”来发放证书，它有多个种类，比如将文件加密的证书，保护电子邮件安全的证书以及验证客户端身份的证书：
[attach]2362[/attach]

企业根 CA 需要受到域内计算机的信任，而 Active Directory 域会通过组策略来让域内所有的计算机自动信任企业根 CA，也就是说可以自动将企业根 CA 的证书安装到客户端计算机中。现在我们启动一台域内的客户计算机，查看其是否已经信任了刚才建立的 CA 。在客户机上，打开 IE ---> 工具 ---> Internet 选项 ---> 内容标签 ---> 证书 ---> 受信任的根证书办法机构 ：
[attach]2363[/attach]

手动信任企业或独立根 CA
未加入域的计算机并不会自动信任企业根CA。对于独立根CA，不论你是不是域成员计算机，默认都不会信任该CA。对于这些情况，可以执行手动信任企业根CA 或独立根CA ：

在浏览器里输入以下格式的 URL：

http://192.168.147.128/certsrv/

复制代码

IP 地址即 CA 所在的地址； certsrv 是默认的目录。

默认情况下，IIS 会使用 “Windows 身份验证”，如果你希望谁都能直接访问，那么应当启用匿名认证。关于 IIS 的身份验证，可以参考另一篇帖子《IIS 的身份认证》。

打开网页后如下图所示：
[attach]2364[/attach]

单击上图中的“下载 CA 证书、证书链或 CRL” ，会看到：
[attach]2365[/attach]
将其下载保存，默认文件名为 certnew.p7b：
[attach]2366[/attach]

接下来，我们要添加该证书。方法是，在“运行”里输入 MMC ，在打开的控制台里，单击“文件”菜单中的“添加/删除管理单元”：
[attach]2367[/attach]
然后从列表中选择“证书”，然后单击“添加”：
[attach]2368[/attach]
这时会弹出“证书管理”对话框，其中我们选择“计算机账户”，然后单击下一步，在“选择计算机”对话框中保持默认的本地计算机即可，然后单击“完成” ：
[attach]2369[/attach]

接着，在控制台里展开“证书”中的“受信任的根证书颁发机构” ---> 右击“证书” ---> 在弹出菜单中选择“所有任务” ---> 导入：
[attach]2370[/attach]

在弹出的“欢迎使用证书导入向导”界面中单击“下一步”：
[attach]2371[/attach]

在下面的界面中单击“浏览”按钮，将刚才下载的证书导入。这里需要注意，我们在“打开”对话框中，可以从“文件名”右侧的下拉框中选择证书的格式，如刚才保存的是 *.p7b 格式：
[attach]2372[/attach]

返回后，单击“下一步”：
[attach]2373[/attach]

保持默认的存放位置，然后单击“下一步”：
[attach]2374[/attach]
单击“完成”按钮即可。

实际上，还可以通过组策略来让域内的所有计算机自动信任独立CA，这里就不详述；在其它的帖子里，会利用这安装好的 CA 进行证书的相关应用操作。

欢迎光临曲径通幽论坛 (http://www.groad.net/bbs/)