内网安全之搭建ADCS证书服务

于 2024-05-23 21:10:08 发布
阅读量2k 收藏 23
点赞数 12
CC 4.0 BY-SA版权
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45910629/article/details/139157811

在域控上安装ADCS服务时,默认会自动配置完LDAPS,如果不是在域控上安装ADCS服务,需要手动配置LDAPS

安装证书服务ADCS

打开服务器管理器——>添加角色和功能
image.png
选择“基于角色或基于功能的安装”选项,然后点击下一步
image.png
选择“从服务器池中选择服务器”选项,然后点击下一步
image.png
这里勾选“Active Directory 证书服务”选项,然后点击下一步
image.png
这里到了选择功能的对话框,保持默认即可,然后点击下一步。
image.png
这里显示 Active Directory 域服务的描述以及注意事项,然后点击下一步。
image.png
这里勾选“证书颁发机构”选项,如果想要允许 Web 端注册证书的话,也可以勾选 “证书颁发机构 Web 注册”。
image.png
ADCS 支持 6 种角色服务:

  • 证书颁发机构:该组件的主要目的是办理证书、撤销证书以及发布授权信息 访问(AIA)和撤销信息。
  • 联机响应程序:可以使用该组件来配置和管理在线证书状态协议(OSCP)验证和吊销检查。在线响应程序解码特定证书的吊销状态请求,评估这些证书的状态,并返回具有请求的证书状态信息的签名响应。
  • 网络设备注册服务(NDES):通过该组件,路由器、交互机和其他网络设备 可从 ADCS 获取证书
  • 证书颁发机构 Web 注册:该组件提供了一种用户使用未加入域或运行 Windows 以外操作系统的设备的情况下颁发和续订证书的方法。
  • 证书注册 Web 服务(CES):该组件用于运行 Windows 的计算机和 CA 之间的代理客户端。CES 使用户、计算机或应用程序能够通过使用 Web 服务连接到 CA:
    • 请求、更新和安装办法的证书
    • 检索证书吊销列表(CRL)
    • 下载根证书
    • 通过互联网或跨森林注册
    • 为属于不受信任的 ADDS 域或未加入域的计算机自动续订证书
  • 证书注册策略 Web 服务:该组件使用户能够获取证书注册策略信息。结合 CES,它可以在用户设备未加入域或无法连接到域控的场景下实现基于策略的证书服务

这里 Web 服务器角色(IIS)描述以及注意事项,然后点击下一步
image.png
显示选择角色服务,保持默认即可,然后点击下一步
image.png
这里到了确认安装所选内容对话框,勾选“如果需要,自动重新启动目标服务器” 选项,然后点击安装。
image.png

配置ADCS

接下来就需要配置 ADCS 证书服务了,点击“配置目标服务器上的 ActiveDirectory 证书服务”。
image.png
会弹出指定凭据以配置角色服务对话框,这里我们保持默认,然后点击下一步。
image.png
勾选“证书颁发机构”和“证书颁发机构 Web 注册”,然后点击下一步
image.png
勾选“企业 CA(E)”,然后点击下一步
image.png
勾选“根 CA®”,然后点击下一步
image.png
勾选“创建新的私钥®”,然后点击下一步
image.png
指定加密选项,我们保持默认即可,然后点击下一步
image.png
指定 CA 名称,我们保持默认即可,然后点击下一步
image.png
有效期我们保持默认即可,然后点击下一步
image.png
CA 数据库的存储位置,我们保持默认即可,然后点击下一步
image.png
然后确认以下信息是否有误,无误的话,点击配置
image.png
配置完成
image.png

申请证书

在域控上执行 certlm.msc 命令,申请一个模板为域控制器的证书即可。
image.png
image.png
这时可以看到我们为域控申请的证书
image.png
我们使用ldp进行连接,可以看到连接失败
image.png

这时我们查看受信任的根证书颁发机构有没有我们想要的证书,可以看到并没有,所以我们需要导入证书
image.png
在 CA 服务器上执行 certlm.msc 命令,查看受信任的根本书颁发机构,然后将 CA 证书导出。然后将导出的 CA 证书导入到域控的受信任的根本书颁发机构即可。
image.png
image.png
image.png
导入成功后,使用ldp即可连接成功
image.png

Tmac自留
关注
内网渗透(八十三)之安装ADCS证书服务
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-25 983
15、在“角色服务”中,单击“证书颁发机构”和“证书颁发机构Web注册”,然后单击“下一步”。9、在“角色服务”中,单击“证书颁发机构”和“证书颁发Web注册”,然后单击“下一步”。4、在“选择安装类型”中,确保选中“基于角色或基于功能的安装”,然后单击“下一步”。17、在“指定 CA 类型”页上,验证是否选择了“根 CA”,然后单击“下一步”。18、在“指定私钥类型”页上,验证是否选择了“创建新的私钥”,然后单击“下一步”。16、在“安装类型”页上,验证是否选择了“企业 CA”,然后单击“下一步”。
第二章【ADFS集成Exchang实现OWA\ECP单点登录SSO】安装AD证书服务ADCS
liuzhenhe1988的专栏
09-02 549
【ADFS集成Exchang实现OWA\ECP单点登录SSO】安装AD证书服务ADCS
ADCS证书服务
weixin_33976072的博客
06-12 1927
证书服务器是Windows网络基础架构中重要组成部分,因为证书服务特性(不能更改计算机名称、网络参数),因此在部署证书服务器时建议独立部署,不要和域控制器部署在同一台服务器中。否则在迁移或者升级证书服务时,首先要迁移域控制器以及相关的服务(Acitve Directory集成区域DNS服务、DHCP服务、WINS服务等),还要通过策略更改已经部署的系列服务,然后迁移或...
AD CS证书服务
weixin_47347190的博客
07-10 2411
AD CS证书服务(SSL证书):可以部署企业根或独立根 建立SSL加密通道,这是所有服务证书,无论品牌、申请方式都可以起到的功能,唯一的价值区别在于加密强度,目前,达到128位对称加密强度的服务证书均可以实现有保障的加密通道。 本实验是主要企业根 实验环境:windows server 2012 r2 在额外域控制器 安装AD CS服务,在添加和角色功能,勾选AD 证书服务,如下图 直到下图这一步,勾选证书颁发机构web注册 接着下一步,就好了。直到安装完成 点击感叹号...
域渗透笔记-证书服务器(ADCS)安装
NoooEmotion的博客
02-02 2820
AD CS证书服务(SSL证书):可以部署企业根或独立根建立SSL加密通道,这是所有服务证书,无论品牌、申请方式都可以起到的功能,唯一的价值区别在于加密强度,目前,达到128位对称加密强度的服务证书均可以实现有保障的加密通道。
内网渗透(八十五)之ADCS证书服务攻击
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-28 1312
2021年6月17日,国外安全研究员 Will Schroeder 和 Lee Christensen 共同发布了针对ADCS(Active Directory Certificate Service, 活动目录证书服务)的攻击手法。同年8月5日,在Black Hat 2021上 Will Schroeder 和 Lee CHristensen 对该攻击手法进行了详细讲解。至此,ADCS攻击第一次进入人们的视野。
ADCS证书服务器攻击中看集权安全(上)
ZAWX_NETSTARSEC的博客
05-11 311
(2)当client发送身份信息给AS后,AS会先向活动目录AD请求,询问是否有此Client用户,如果有的话,就会取出它的 NTLM-Hash,并对 AS_REQ 请求中加密的时间戳进行解密,如果解密成功,则证明客户端提供的密码正确,如果时间戳在五分钟之内,则预认证成功。接着从-----BEGIN RSA PRIVATE KEY-----到-----END CERTIFICATE-----复制出来,保存为ESC1.pem,然后利用openssl来转换为ESC1.pfx,无需设置密码。
安全研究】Active Directory 证书服务(一)
ZAWX_NETSTARSEC的博客
08-12 758
作者: daiker@Amulab 0x00 前言 specterops发布了一篇关于Active Directory 证书服务相关漏洞的白皮书 https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf,关于Active Directory 证书服...
Active Directory 证书服务(一)
ZAWX_NETSTARSEC的博客
08-19 2831
Active Directory 证书服务(一) 0x00 前言 specterops发布了一篇关于Active Directory 证书服务相关漏洞的白皮书 https://www.specterops.io/assets/resources/Certified_Pre-Owned.pdf,关于Active Directory 证书服务的攻击第一次系统的进入我们的视野。 我在白皮书的基础上学习了Active Directory 证书服务相关的漏洞,作为学习成果,用两篇文章来介绍Active Directo
使用AD证书服务实现安全的企业网站访问实训报告参考
12-02
关于 Active Directory 证书服务器的管理设置,DNS 服务器的管理设置, Web 服务器的管理设置,Web 服务证书的申请和证书的绑定
Active Directory 05 - 初识 AD CS 证书服务
0pr
02-26 1660
这篇文章简单讲述了一下域证书服务的基本概念。接下来,我会继续深入,在 Lab 中配置 AD CS 服务,通过实践的方式,带出更多的域证书相关的内容。这包括自域证书白皮书发布以来,已经被发现的证书利用的漏洞(CVE-2022–26923),以及证书利用的其他手法(Shadow Credentials)。
Windows AD证书服务系列---部署及管理证书模板(1)
weixin_33943347的博客
03-02 3769
一个证书就是一组小容量的数据,这些数据包含了它自身的几条信息。这个数据可以包含自身的Email地址,名字,证书使用类型,有效期,AIA和CDP位置的URL。证书还可以包含秘钥对,秘钥对中的私钥和公钥被用来进行身份验证,数字签名和加密。当证书在以下条件中使用时会生成秘钥对:当内容被公钥加密了,它只能通过私钥来解密当内容被私钥加密了,它只能通过公钥来解密一个单独的秘钥对中,找不到...
Windows 搭建AD证书服务、VPN服务、NAT服务
XLB
04-08 1558
1、本次实验搭建了AD证书服务,申请证书后颁发证书,将证书下载到本地,在服务器添加网站时添加证书,并且在客户端也将证书下载到本地,并在浏览器的Internet选项中的受信任的根证书颁发机构导入该证书2、搭建VPN虚拟网络服务,外网通过VPN访问内网3、搭建NAT地址转化服务,将内网地址映射成外网地址与外网通信。
windows server-AD证书服务搭建
little_startoo的博客
09-17 1381
windows server-AD证书服务搭建
Windows AD证书服务系列---证书的使用范围(2)
weixin_33922672的博客
12-16 973
实验环境:LON-DC1 Windows2012R2 AD+CALON-CL1 Windows8.1 域客户端+Office2013LON-CL2 Windows8.1 域客户端+Office2013实验目的:将证书用于数字签名,并验证数字签名是否可以保证数据的可靠性。实验步骤:一、搭建企业CA使用域管理员账号登入LON-DC1,在LON-DC1上打开...
AD域控与CA证书、NPS(radius)超级详细安装
热门推荐
杜颐的博客
10-08 1万+
外部域控、CA证书、Radius服务器的详细配置服务器加域
【Windows Server 2019】Active Directory Certificate Services 证书颁发机构的安装,配置和管理Ⅰ——AD CS的安装和配置
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
07-25 4143
博文主要介绍了Windows Server 2019的证书颁发机构的安装和配置方法。
Windows Server 2008 R2 下配置AD证书服务器和HTTPS访问的图文教程 DNS+IIS+AD证书服务
qq_57880554的博客
06-06 4415
Windows Server 2008 R2 下配置AD证书服务器和HTTPS访问的图文教程 基于DNS+IIS+AD证书服务 完成HTTPS访问
C2F 里面加CA
最新发布
04-03
### 集成 CA 到 C2F 的方法 在 C2F(假设这是一个网络服务框架或平台)中集成 CA 功能,可以通过构建内部 PKI 基础设施来实现。以下是具体的技术细节: #### 1. **PKI 架构设计** - 在企业内网环境中搭建 CA 服务器作为核心组件[^1]。 - 使用开源工具如 OpenSSL 或商业解决方案(例如 Microsoft Active Directory Certificate Services, ADCS),创建根 CA 和中间 CA。 #### 2. **证书生命周期管理** - **生成 CSR 请求** 用户通过 C2F 提供的接口提交证书签名请求 (CSR),其中包含必要的信息(如域名、组织名等)。这可以通过 API 调用完成。 - **CA 签署证书** 将收到的 CSR 文件传递到 CA 进行验证并签署,最终返回给用户一个有效的 X.509 数字证书。 #### 3. **技术实现方式** ##### (1)使用 OpenSSl 创建自签名 Root CA ```bash openssl genpkey -algorithm RSA -out root_ca.key.pem -aes256 openssl req -new -x509 -days 7300 -key root_ca.key.pem -sha256 -extensions v3_ca -out root_ca.crt.pem ``` ##### (2)配置中间 CA 并设置权限控制策略 - 定义 CAB 条款以限制子级 CA 的功能范围。 - 设置密钥用途扩展字段,指定该证书仅用于特定目的(如客户端身份验证或邮件保护)。 ##### (3)开发 RESTful 接口支持动态申请与撤销流程 利用编程语言(Python/Go 等)编写 Web Service 层面逻辑处理来自前端界面或者第三方系统的调用需求。 ```python from flask import Flask, request, jsonify import subprocess app = Flask(__name__) @app.route('/request_cert', methods=['POST']) def cert_request(): data = request.json domain_name = data['domain'] # Generate private key and CSR csr_cmd = f'openssl req -new -nodes -keyout {domain_name}.key -out {domain_name}.csr ...' result = subprocess.run(csr_cmd.split(), capture_output=True) if result.returncode != 0: return {"error": "Failed to generate CSR"}, 500 ca_sign_cmd = '...' # Command for signing with the CA sign_result = subprocess.run(ca_sign_cmd.split(), capture_output=True) if sign_result.returncode == 0: return send_file(f'{domain_name}.crt') else: return {"error": "Signing failed"}, 500 if __name__ == '__main__': app.run() ``` #### 4. **安全性考量** 确保整个过程中涉及的所有敏感数据都经过妥善保管,并采用强密码学机制进行防护;定期更新过期凭证以防潜在风险发生[^2]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值