证书服务器是Windows网络基础架构中重要组成部分,因为证书服务特性(不能更改计算机名称、网络参数),因此在部署证书服务器时建议独立部署,不要和域控制器部署在同一台服务器中。否则在迁移或者升级证书服务时,首先要迁移域控制器以及相关的服务(Acitve Directory集成区域DNS服务、DHCP服务、WINS服务等),还要通过策略更改已经部署的系列服务,然后迁移或者升级证书服务,迁移周期将延长甚至影响网络的正常运行。所以好的网络基础架构对证书服务器迁移与升级尤其重要。本章将在域中部署Windows Server 2012企业根,以及最常见的IIS站点应用。
部署ADCS服务
网络中部署AD DS域服务,域控制器中部署ADCS证书服务。在实际应用环境中,建议将证书服务器独立部署,不建议和域控制器部署在同一台服务器中。部署ADCS服务,需要域管理员权限。
根类型
Windows Server 2012中提供两种根:企业根和独立根
·企业根:安装在AD DS域服务环境中的根,与Acitve Directory集成。部署企业根后,不需要单独配置策略发布企业根证书,AD DS域服务会自动通过组策略将企业根证书发送到域内所有计算机中,也就是说域内所有计算机自动信任企业根。
·独立根:安装在独立服务器中,或者安装在成员服务器中的独立根,执行安装ADCS服务的用户不具备访问AD CS域服务的权限,需要通过“受信任的根证书颁发机构”策略,将独立根的证书通过策略发送到域内所有计算机中。
在部署AD DS域服务环境中,建议部署企业根。本书中部署的根模式为企业根。
安装ADCS服务
第1步,以域管理员身份登录域控制器。启动“添加角色和功能向导”,根据向导提示打开“选择服务器角色”对话框,“角色”列表中选择“Active Directory证书服务”选项。
第2步,单击“下一步”。提醒管理员安装ADCS服务同时需要安装的管理组件。单击“添加功能”按钮,返回到“选择服务器角色”对话框
第3步,单击“下一步”按钮。“功能”列表中根据需要选择需要安装的功能。
第4步,单击“下一步”按钮,显示部署ADCS服务的注意事项。
第5步,单击“下一步”按钮。“角色服务”列表中选择需要部署的功能,本例中选择“证书办法机构”和“证书办法机构Web注册”选项。
第6步,单击“下一步”按钮,显示“Web服务器角色(IIS)”对话框。显示部署ADCS服务同时需要安装IIS Web服务角色,并启用相应的功能。
第7步,单击“下一步”按钮,显示“选择角色服务”对话框。设置Web服务器需要的功能列表,建议使用默认值即可。
第8步,单击“下一步”按钮,显示“确认安装所选内容”对话框。显示安装ADCS服务组件列表。选择“如果需要,自动重新启动目标服务器”选项。
第9步,单击“安装”按钮,开始安装Acitve Directory证书服务。
配置ADCS服务
第1步,单击“配置目标服务器上的Acitve Directory证书服务”超链接,启动“AD CS配置”向导,显示“凭据”对话框。默认使用当前登录用户作为管理员。
第2步,单击“下一步”按钮,显示“角色服务”对话框。“选择要配置的角色服务”列表中,选择需要配置的证书功能,本例中“证书颁发机构”和“证书颁发机构Web注册”功能选项。
第3步,单击“下一步”按钮,显示“设置类型”对话框。设置部署CA类型。本例中选择“企业CA”选项,部署为企业根模式必须和Acitve Directory绑定。证书服务器至少是域成员服务器。
第4步,单击“下一步”按钮。设置企业根类型,本例中部署为“根”,不是从属CA。
第5步,单击“下一步”按钮,显示“私钥”对话框。如果没有私钥,选择“创建新的私钥”选项;如果已有私钥,可以选择“使用现有私钥”选项。本例中选择前者。
第6步,单击“下一步”按钮,显示“CA的加密”对话框。设置证书加密使用的程序、密钥长度以及使用的算法。建议使用默认值即可。
第7步,单击“下一步”按钮,显示“CA名称”对话框。设置CA服务器的公用名称,注意该名称必须是唯一的。“可分辨名称后缀”文本框中,默认使用当前域的DN名称,“此CA的公用名称”和“可分辨名称后缀”组成证书服务器的完整可分辨名称。
第8步,单击“下一步”,显示“有效期”对话框。默认设置为5年,根据需要调整发布证书的有效期。
第9步,单击“下一步”,显示“CA数据库”对话框。设置证书数据库以及日志文件的存储位置。
第10步,单击“下一步”按钮,显示“确认”对话框。显示设置的证书服务器信息。
第11步,单击“配置”按钮,开始配置证书服务,配置成功后显示“结果”对话框。单击“关闭”按钮,完成证书服务设置。
证书日常管理
ADCS服务企业根部署成功,以域用户身份登录计算机后,将企业根自动添加到“受信任的证书颁发机构”中,不需要通过策略将企业根证书发布到网络中的所有计算机中。当网络中的客户端计算机数量比较多时,由于使用者计算机水平参差不齐,让每个用户通过手动方式通过IE浏览器申请证书,会遇到问题。为了解决该问题,域管理员可以通过组策略自动完成证