ADCS证书服务

最新推荐文章于 2024-05-23 21:10:08 发布

weixin_33976072

最新推荐文章于 2024-05-23 21:10:08 发布

阅读量1.9k

点赞数

CC 4.0 BY-SA版权

文章标签：操作系统运维数据库

原文链接：http://blog.51cto.com/rainy0426/1788052

本文档详细介绍了如何在Windows Server 2012环境中部署企业根ADCS服务，强调了独立部署的重要性，并提供了安装、配置和日常管理的步骤。内容涵盖证书服务器的安装、根类型的选择、私钥设置、CA名称配置、证书有效期、证书数据库路径等。此外，还讨论了证书的吊销、续订、自动申请策略的部署以及用户访问SSL站点时可能遇到的问题和解决方案。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

证书服务器是Windows网络基础架构中重要组成部分，因为证书服务特性（不能更改计算机名称、网络参数），因此在部署证书服务器时建议独立部署，不要和域控制器部署在同一台服务器中。否则在迁移或者升级证书服务时，首先要迁移域控制器以及相关的服务（Acitve Directory集成区域DNS服务、DHCP服务、WINS服务等），还要通过策略更改已经部署的系列服务，然后迁移或者升级证书服务，迁移周期将延长甚至影响网络的正常运行。所以好的网络基础架构对证书服务器迁移与升级尤其重要。本章将在域中部署Windows Server 2012企业根，以及最常见的IIS站点应用。

部署ADCS服务

网络中部署AD DS域服务，域控制器中部署ADCS证书服务。在实际应用环境中，建议将证书服务器独立部署，不建议和域控制器部署在同一台服务器中。部署ADCS服务，需要域管理员权限。

根类型

Windows Server 2012中提供两种根：企业根和独立根

·企业根：安装在AD DS域服务环境中的根，与Acitve Directory集成。部署企业根后，不需要单独配置策略发布企业根证书，AD DS域服务会自动通过组策略将企业根证书发送到域内所有计算机中，也就是说域内所有计算机自动信任企业根。

·独立根：安装在独立服务器中，或者安装在成员服务器中的独立根，执行安装ADCS服务的用户不具备访问AD CS域服务的权限，需要通过“受信任的根证书颁发机构”策略，将独立根的证书通过策略发送到域内所有计算机中。

在部署AD DS域服务环境中，建议部署企业根。本书中部署的根模式为企业根。

安装ADCS服务

第1步，以域管理员身份登录域控制器。启动“添加角色和功能向导”，根据向导提示打开“选择服务器角色”对话框，“角色”列表中选择“Active Directory证书服务”选项。

第2步，单击“下一步”。提醒管理员安装ADCS服务同时需要安装的管理组件。单击“添加功能”按钮，返回到“选择服务器角色”对话框

第3步，单击“下一步”按钮。“功能”列表中根据需要选择需要安装的功能。

第4步，单击“下一步”按钮，显示部署ADCS服务的注意事项。

第5步，单击“下一步”按钮。“角色服务”列表中选择需要部署的功能，本例中选择“证书办法机构”和“证书办法机构Web注册”选项。

第6步，单击“下一步”按钮，显示“Web服务器角色（IIS）”对话框。显示部署ADCS服务同时需要安装IIS Web服务角色，并启用相应的功能。

第7步，单击“下一步”按钮，显示“选择角色服务”对话框。设置Web服务器需要的功能列表，建议使用默认值即可。

第8步，单击“下一步”按钮，显示“确认安装所选内容”对话框。显示安装ADCS服务组件列表。选择“如果需要，自动重新启动目标服务器”选项。

第9步，单击“安装”按钮，开始安装Acitve Directory证书服务。

配置ADCS服务

第1步，单击“配置目标服务器上的Acitve Directory证书服务”超链接，启动“AD CS配置”向导，显示“凭据”对话框。默认使用当前登录用户作为管理员。

第2步，单击“下一步”按钮，显示“角色服务”对话框。“选择要配置的角色服务”列表中，选择需要配置的证书功能，本例中“证书颁发机构”和“证书颁发机构Web注册”功能选项。

第3步，单击“下一步”按钮，显示“设置类型”对话框。设置部署CA类型。本例中选择“企业CA”选项，部署为企业根模式必须和Acitve Directory绑定。证书服务器至少是域成员服务器。

第4步，单击“下一步”按钮。设置企业根类型，本例中部署为“根”，不是从属CA。

第5步，单击“下一步”按钮，显示“私钥”对话框。如果没有私钥，选择“创建新的私钥”选项；如果已有私钥，可以选择“使用现有私钥”选项。本例中选择前者。

第6步，单击“下一步”按钮，显示“CA的加密”对话框。设置证书加密使用的程序、密钥长度以及使用的算法。建议使用默认值即可。

第7步，单击“下一步”按钮，显示“CA名称”对话框。设置CA服务器的公用名称，注意该名称必须是唯一的。“可分辨名称后缀”文本框中，默认使用当前域的DN名称，“此CA的公用名称”和“可分辨名称后缀”组成证书服务器的完整可分辨名称。

第8步，单击“下一步”，显示“有效期”对话框。默认设置为5年，根据需要调整发布证书的有效期。

第9步，单击“下一步”，显示“CA数据库”对话框。设置证书数据库以及日志文件的存储位置。

第10步，单击“下一步”按钮，显示“确认”对话框。显示设置的证书服务器信息。

第11步，单击“配置”按钮，开始配置证书服务，配置成功后显示“结果”对话框。单击“关闭”按钮，完成证书服务设置。

证书日常管理

ADCS服务企业根部署成功，以域用户身份登录计算机后，将企业根自动添加到“受信任的证书颁发机构”中，不需要通过策略将企业根证书发布到网络中的所有计算机中。当网络中的客户端计算机数量比较多时，由于使用者计算机水平参差不齐，让每个用户通过手动方式通过IE浏览器申请证书，会遇到问题。为了解决该问题，域管理员可以通过组策略自动完成证