域环境部署PKI与证书服务

在 Windows server 2016操作系统中,证书服务不是Windows默认服务,需要在系统安装完成后手动添加证书服务,在其具体操作步骤如下。
(1)打开“服务器管理器”窗口,单击“添加角色功能”

(2)在“开始之前”窗口中,单击“下一步”按钮

(3)在“选择安装类型”窗口中,选择“基于角色或基于功能的安装”单选按钮,单击“下一步”按钮

(4)在“选择目标服务器”窗口中,在服务器池中选择当前服务器,单击“下一步”按钮

(5)在“选择服务器角色”窗口中,选择“Active Directory证书服务”复选框,并在弹出的“添加角色和功能向导”对话框中单击“添加功能”按钮,然后单击“下一步”按钮

(6)在“选择功能”窗口中,保持默认设置,单击“下一步”按钮

(7)在“Active Directory证书服务”窗口中,可以查看有关证书颁发机构命名的注意事项,然后单击“下一步”按钮

(8)在“选择角色服务”窗口中,选择“证书颁发机构”和“证书颁发机构Web注册”两个复选框,然后单击“下一步”按钮,“证书颁发机构web注册”复选框用于使用用户通过web浏览器连接到CA,以便申请证书或检索证书吊销列表

(9)在“确认安装所选内容”窗口中,确认安装的摘要信息,单击“安装”按钮,

(10)安装完成后,单击 关闭按钮

配置证书服务
(1)单击服务器管理器的通知按钮,在展开的菜单中选择配置目标服务器上的Active Directory证书服务

(2)在凭据窗口中可以看到,若安装证书颁发机构web注册和企业证书颁发机构,则分别需要本地administrator组和enterprise admins组的权限,默认位当前登录的域管理员,权限满足,单击下一步按钮

(3)在角色服务窗口中,选择证书颁发机构和证书颁发机构web注册,两个复选框,单击下一步按钮

(4)在设置类型窗口中,选择企业CA单选按钮,然后单击下一步

(5)在CA类型窗口中,选择根CA单选按钮,单击下一步按钮

(6)在私钥窗口中,选择创建新的私钥单选按钮,单击下一步按钮

(7)在CA加密窗口中,使用默认CSP(加密提供程序),哈希算法和密钥长度,单击下一步按钮

(8)在CA名称窗口中使用默认配置,单击下一步按钮

(9)在有效期窗口中使用默认配置,单击下一步按钮

(10)在CA数据库窗口中,可以修改数据库存放的位置和数据库日志存放的位置,使用默认配置,单击下一步按钮

(11)在确认窗口中,查看角色,角色服务器或功能的配置信息,确认无误后单击配置按钮

(12)配置完成后,在结果窗口中单击关闭按钮

(13)配置完成后可以从服务器管理器窗口的工具菜单中选择证书颁发机构,打开证书颁发机构管理器,管理证书的颁发


证书申请和颁发
申请证书
(1)在web服务器上,打开Internet information services(IIs)管理器窗口,在左侧窗口中选择服务器名称,双击中间窗格的服务器证书,

(2)单击右侧窗格的创建证书申请

(3)在可分辨名称属性窗口中输入证书的必须信息,单击下一步按钮

(4)在加密服务提供程序属性窗口中,使用默认的加密程序和密钥长度,单击下一步按钮

(5)在文件名窗口中,位该证书申请指定一个文件名和保存位置,单击完成按钮,完成证书申请的创建,

(6)打开证书申请文件C:\webcer.txt 可见证书申请文件是base64编码

提交申请证书
通过浏览器可以访问certsrv虚拟目录提交申请
(1)复制证书申请文件的全部内容
(2)使用浏览器http://ip/certsrv 连接刀证书服务器,在弹出的对话框中输入域管理员的账号和密码,打开证书服务的欢迎页面,单击申请证书

(3)在申请一个证书页面中,单击高级证书申请

(4)在高级证书申请页面中,选择第二项使用base64编码的证书申请

(5)在提交一个证书申请或续订申请页面,降第一步复制的证书申请内容粘贴到保存的申请文本框中,在证书模板下拉列表框中选择web服务器 单击提交按钮

颁发证书
域环境企业级CA申请的证书,提交申请后会自动颁发,并直接进入证书已颁发页面,在证书已颁发页面中,选择base64编码单选按钮,单击下载证书,将证书保存在本地

在web服务器上安装证书
(1)打开web服务器,打开服务器证书,单击完成证书申请链接


(2)在指定证书颁发机构响应对话框中,输入CA响应文件(已下载的数字证书文件)的路径和文件名,并给该文件起个好记的名称,单击确定按钮,完成证书的申请

配置安全通道SSL
(1)展开Internet information services(IIs)管理器,窗口左侧窗格的节点树,选择需要使用该证书的站点,单击右侧操作窗格中的绑定按钮

(2)在网站绑定对话框中,单击添加按钮

(3)在添加网站绑定对话框中选择类型类https,选择ssl证书位先前安装的证书web使用默认443端口,单击确定按钮

(4)当为站点设置https类型的绑定后,还需要修改该站点的ssl设置,展开Internet information services(IIS)管理器 窗口左侧窗格的节点树,选择需要配置SSL的站点,双击中间窗格中的ssl设置,进入ssl设置页面


使用https协议访问网站
用户可以使用https方式(https//)和站点建立连接,
单击继续浏览此网站(不推荐)后即可访问目标网站

客户端访问首先把客户端加入域,客户端DNS指向域的IP地址

原文地址:https://blog.51cto.com/14156658/2359430

时间: 2024-10-01 04:46:47

域环境部署PKI与证书服务的相关文章

部署PKI与证书服务给网页加“s”

          部署PKI与证书服务 一.什么是PKI PKI(公钥基础设施),是通过使用公钥技术和数字签名来确保信息安全,并负责验证数字证书持有者身份的一种技术. 本次实验的目的是使用PKI协议中的SSL为了给网页地址"http"后边加"S".浏览网页的时候更安全,不必担心其发送的信息被非法的第三方截获. 二.证书颁发机构 证书颁发机构也称为数字证书认证中心(Certficate  Authority,CA),是PKI应用中权威的.可信任的.公正的第三方机构,

Windows server 2016 部署 PKI 和证书服务

在Windows server 2016操作系统中,想要安装证书服务需要满足的条件有:1.有固定的IP地址:2.域环境(不是必须,只是域环境安装完证书服务之后不需要自己手动添加证书服务)3.尽量使用两台服务器(dc1.dc2).在Windows server 2016操作系统中,证书服务不是Windows 默认服务,需要在系统安装完成后手动添加证书服务,DC1具体操作步骤如下:1.打开"服务器管理器"单击"添加角色和功能"2.在"开始之前"窗口中

PKI与证书服务

PKI:公钥基础设施(Public Key Infrastructure) 通过使用公钥技术和数字签名来确保信息安全 由公钥加密技术.数字证书.CA.RA组成 PKI体系能够实现的功能: 数据机密性 身份验证 数据完整性 操作的不可否认性 公钥加密技术是PKI的基础: 公钥与私钥关系 成对生成,互不相同,互相加密与解密 不能根据一个密钥来推算出另一个密钥 公钥对外公开,私钥只有私钥持有人才知道 私钥应该由密钥的持有人妥善保管 根据实现的功能不同,可分为数据加密和数字签名 数据加密: 发送方使用接

Linux 部署CA数字证书服务

CA数字证书服务 CA Certificate Authority 数字证书授权中心 被通信双方信任的,独立的第三方机构 负责证书颁发,验证,撤销等管理 PKI公钥基础设施 一套标准的密钥管理平台 通过公钥加密,数字证书技术确保信息安全 PKI体系的基础组成 权威认证机构(CA) 数字证书库,密钥备份及恢复系统 证书作废系统,应用接口 OpenSSL加密/解密工具 对称加密: - enc 算法 -e -in 输入文件 -out 输出文件 #加密 - enc 算法 -d -in 输入文件 -out

PKI与证书服务应用

-什么是PKI: Public Key Infrastructure,公钥基础结构 l PKI由公钥加密技术.数字认证.证书颁发结构(CA),注册机构(RA)等共同组成:数字证书用于用户的身份验证:CA是一个可信的实体,负责发布.更新和吊销证书:RA接受用户的请求等功能 l PKI体系能够实现的功能有:身份认证:数据完整性:数据机密性:操作的不可否认性 -公钥(Public Key)和私钥(Private Key) 密钥是成对生成的,这两个密钥互不相同,两个密钥可以互相加密和解密:不能根据一个密

证书服务应用

环境:一台域控制器server 2008,一台客户端 目的:加密数据 步骤: 1. 在域控制器上的"管理工具"中打开"服务器管理器",选择"角色",点击"添加角色". 2. 在"选择服务器角色"窗口中,选择"Active Directory证书服务",然后点击"下一步".如图所示: 3. 在"证书服务简介"窗口中,直接点击"下一步&quo

Windows AD证书服务系列---部署CA(1)

当你决定在企业中部署PKI的时候,首先需要确认的是你打算如何设计你的CA结构,CA的结构决定了你的内部PKI的核心设计,以及结构中每个CA的用途.每个CA结构通常会有两个或更多的CA,一般情况下,第二台CA和所有的从属CA的部署都是因为某些特殊用途,只有根CA是被强制要求安装的. 注意:CA结构的部署并不强制要求使用PKI和证书,对于较小的和比较简单的环境,你可以在CA结构中只部署一台CA,一般这台CA作为企业根CA. 如果你决定部署一个CA结构,并且你已经有了一台根CA,那你就必须决定给第二和

Windows AD证书服务系列---部署CA(2)

AD CS中基于角色的管理使得管理员可以将用户和群组委派给预先设定好权限的内建CA角色.每个角色能够执行某个或某类已设定好的任务,下表中标识出了基于角色管理的角色和群组的详细信息: 角色/组 用途 信息 CA管理员 管理CA 在CA控制台指派 证书管理员 颁发和管理证书 在CA控制台指派 备份操作员 备份和还原文件及目录 操作系统角色 审计员 管理审计和安全性方面的事件日志 操作系统角色 注册者 读取和注册 有权限申请证书 基于角色的管理结合了操作系统角色和AD CS角色,为CA提供了一个完整的

Windows AD证书服务系列---PKI的概述(1)

PKI(Public Key Infrastructure)是一个软件的组合体,运用加密技术.进程.服务来帮助企业保护它的通信和商业交易.PKI是一个由数字证书,CA以及其他的注册授权机构组成的系统.当一个电子交易发生时,PKI会确认和认证它所涉及的每个组件的有效性.PKI标准目前还处在演变中,但是它们已被作为电子商务的基本组件而广泛应用. PKI的基本概念 通常一个PKI解决方案依靠的是多种技术和组件,当你计划实施PKI时,你需要考虑并理解以下的几点: 基础架构.这个和其它的基础架构的概念是一