ImageVerifierCode 换一换
格式:DOCX , 页数:18 ,大小:26.74KB ,
资源ID:17231719      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/17231719.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(Windows Server Active Directory 证书服务循序渐进指南文档格式.docx)为本站会员(b****3)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

Windows Server Active Directory 证书服务循序渐进指南文档格式.docx

1、重要事项 联机响应程序可用作为客户端提供证书吊销数据的 CRL 的备用选项或扩展。Microsoft 联机响应程序基于并符合针对 OCSP 的 RFC 2560。有关 RFC 2560 的详细信息,请访问 Internet 工程任务组网站 ( 网络设备注册服务。网络设备注册服务可根据 Cisco Systems Inc. 提供的简单证书注册协议 (SCEP) 允许路由器和其他网络设备获取证书。开发 SCEP 是为了支持使用现有的 CA 向网络设备颁发安全、可缩放的证书。该协议支持 CA 和注册机构公钥分发、证书注册、证书吊销、证书查询和证书吊销查询。使用 AD CS 的要求CA 可设置在运行各

2、种操作系统的服务器上,包括 Windows(R) 2000 Server、Windows Server(R) 2003 和 Windows Server 2008。但是,并非所有操作系统都支持所有功能或设计要求,创建一个最佳设计需要在生产环境中部署 AD CS 之前仔细进行计划和实验室测试。对于单个 CA,尽管可以仅使用一台服务器作为硬件部署 AD CS,但是许多部署都涉及到配置为根服务器、策略服务器和颁发 CA 服务器的多台服务器,以及配置为联机响应程序的其他服务器。一组有限的服务器角色适用于 Windows Server 2008 和 Windows Server 2008 for Ita

3、nium-based Systems 的服务器核心安装。下表列出了可以在不同版本的 Windows Server 2008 上配置的 AD CS 组件。组件 Web Standard Enterprise Datacenter CA否是网络设备注册服务联机响应程序服务在运行 Windows Server 2008 并且配置为 CA 的服务器上可以使用以下功能。AD CS 功能 版本 2 和版本 3 证书模板密钥存档角色分隔证书管理器限制委派注册代理限制AD CS 基本实验室方案以下部分介绍了如何设置实验室以开始评估 AD CS。建议您首先在测试实验室环境中执行本指南中提供的步骤。不一定必须使用

4、循序渐进指南才能部署 Windows Server 功能,而不使用随附文档,应将其作为独立的文档谨慎使用。设置基本实验室的步骤您可以只使用两台运行 Windows Server 2008 的服务器和一台运行 Windows Vista(R) 的客户端计算机在实验室环境中开始测试 AD CS 的许多功能。本指南使用的计算机命名如下: LH_DC1:此计算机将作为测试环境的域控制器。 LH_PKI1:此计算机将承载测试环境的企业根 CA。此 CA 将为联机响应程序和客户端计算机颁发客户端证书。企业 CA 和联机响应程序只能安装在运行 Windows Server 2008 Enterprise 或

5、 Windows Server 2008 Datacenter 的服务器上。 LH_CLI1:这台运行 Windows Vista 的客户端计算机将从 LH_PKI1 自动注册证书并从 LH_PKI1 验证证书状态。若要为 AD CS 配置基本实验室设置,您需要完成下列前提步骤: 在 的 LH_DC1 上设置一个域控制器,包括一些组织单位 (OU),以便为客户端计算机(域中的客户端计算机)以及承载 CA 和联机响应程序的服务器包含一个或多个用户。 在 LH_PKI1 上安装 Windows Server 2008,并将 LH_PKI1 加入域。 在 LH_CLI1 上安装 Windows Vi

6、sta,并将 LH_CLI1 加入 。完成这些初步设置过程之后,可以开始完成下列步骤:步骤 1:设置企业根 CA步骤 2:安装联机响应程序步骤 3:将 CA 配置为颁发 OCSP 响应签名证书步骤 4:创建吊销配置步骤 5:验证 AD CS 实验室设置是否正常运行企业根 CA 是判断基本实验室设置是否可信的依据。它用于将证书颁发给联机响应程序和客户端计算机,并将证书信息发布到 Active Directory 域服务 (AD DS)。设置企业根 CA 的步骤1. 以域管理员身份登录到 LH_PKI1。2. 单击“开始”,指向“管理工具”,然后单击“服务器管理器”。3. 在“角色摘要”部分中,单

7、击“添加角色”。4. 在“选择服务器角色”页上,选中“Active Directory 证书服务”复选框。单击两次“下一步”。5. 在“选择角色服务”页上,选中“证书颁发机构”复选框,然后单击“下一步”。6. 在“指定安装类型”页上,单击“企业”,然后单击“下一步”。7. 在“指定 CA 类型”页上,单击“根 CA”,然后单击“下一步”。8. 在“设置私钥”和“为 CA 配置加密”页上,您可以配置可选的配置设置,其中包括加密服务提供程序。但是,如果要进行基本的测试,请单击“下一步”两次接受默认值。9. 在“此 CA 的公用名称”框中,键入 CA 的公用名称 RootCA1,然后单击“下一步”。

8、10. 在“设置证书有效期”页上,接受根 CA 的默认有效期,然后单击“下一步”。11. 在“配置证书数据库”页上,接受默认值或为证书数据库和证书数据库日志指定其他存储位置,然后单击“下一步”。12. 在验证了“确认安装选择”页上的信息后,单击“安装”。13. 查看确认屏幕上的信息,以验证安装是否成功。联机响应程序可以安装在任何运行 Windows Server 2008 Enterprise 或 Windows Server 2008 Datacenter 的计算机上。证书吊销数据可以来自运行 Windows Server 2008 的计算机上的 CA、运行 Windows Server 2

9、003 的计算机上的 CA 或非 Microsoft CA。在安装联机响应程序之前,还必须在此计算机上安装 IIS。安装联机响应程序的步骤3. 单击“管理角色”。在“Active Directory 证书服务”部分中,单击“添加角色服务”。4. 在“选择角色服务”页上,选中“联机响应程序”复选框。系统将提示您安装 IIS 和 Windows 激活服务。5. 单击“添加所需的角色服务”,然后单击三次“下一步”。6. 在“确认安装选择”页上,单击“安装”。7. 完成安装后,查看状态页以验证安装是否成功。将 CA 配置为支持联机响应程序服务包括配置证书模板和 OCSP 响应签名证书的颁发属性,然后完

10、成 CA 上的其他步骤,以支持联机响应程序和证书颁发。这些证书模板和自动注册步骤也可用于配置要颁发给客户端计算机或客户端计算机用户的证书。为测试环境配置证书模板的步骤1. 以 CA 管理员身份登录到 LH_PKI1。2. 打开“证书模板”管理单元。3. 右键单击“OCSP 响应签名”模板,然后单击“复制模板”。4. 为复制的模板键入新名称,例如“OCSP 响应签名_2”。5. 右键单击“OCSP 响应签名_2”证书模板,然后单击“属性”。6. 单击“安全”选项卡。在“组或用户名”下,单击“添加”,然后键入名称,或通过浏览选择承载联机响应程序服务的计算机。7. 单击计算机名称 LH_PKI1,然

11、后在“权限”对话框中,选中“读取”和“自动注册”复选框。8. 在打开“证书模板”管理单元时,您可以为用户和计算机配置证书模板,方法是替换步骤 3 中所需的模板,并重复步骤 4 至步骤 7 为 LH_CLI1 和测试用户帐户配置权限。若要将 CA 配置为支持联机响应程序,您需要使用“证书颁发机构”管理单元来完成两个关键步骤: 将联机响应程序的位置添加到已颁发证书的颁发机构信息访问扩展中。 为 CA 启用您在前面的步骤中所配置的证书模板。将 CA 配置为支持联机响应程序服务的步骤1. 打开“证书颁发机构”管理单元。2. 在控制台树中,单击 CA 的名称。3. 在“操作”菜单上,单击“属性”。4.

12、单击“扩展”选项卡。在“选择扩展”列表中,单击“颁发机构信息访问(AIA)”。5. 选中“包含在颁发的证书的 AIA 扩展中”和“包括在联机证书状态协议 (OCSP) 扩展中”复选框。6. 指定用户可以从中获取证书吊销数据的位置;对本安装而言,此位置为 http:/LH_PKI1/ocsp。7. 在“证书颁发机构”管理单元的控制台树中,右键单击“证书模板”,然后单击“要颁发的新证书模板”。8. 在“启用证书模板”中,选择“OCSP 响应签名”模板以及任何其他以前配置的证书模板,然后单击“确定”。9. 打开“证书模板”,然后验证列表中有已修改的证书模板。吊销配置包含响应与使用特定 CA 密钥颁发

13、的证书有关的状态请求所需的所有设置。这些配置设置包括 CA 证书、联机响应程序的签名证书以及客户端被指定将其状态请求发送到的位置。在创建吊销配置之前,请确保已执行证书注册,以便签名证书存在于计算机上,并将签名证书上的权限调整为允许联机响应程序使用它。验证签名证书是否配置正确的步骤 1. 启动或重新启动 LH_PKI1 以注册证书。2. 以 CA 管理员身份登录。3. 打开计算机帐户的“证书”管理单元。打开计算机的个人证书存储,并验证它是否包含标题为“OCSP 响应签名”的证书。4. 右键单击此证书,然后单击“管理私钥”。5. 单击“安全”选项卡。在“用户组或用户名”对话框中,单击“添加”,将网

14、络服务输入到“组或用户名”列表中,然后单击“确定”。6. 单击“网络服务”,在“权限”对话框中选中“完全控制”复选框。7. 单击“确定”两次。创建吊销配置包括下列任务: 确定支持联机响应程序的 CA 的 CA 证书。 确定 CA 的 CRL 分发点。 选择将要用于为吊销状态响应签名的签名证书。 选择吊销提供程序,它是负责检索和缓存联机响应程序所使用的吊销信息的组件。创建吊销配置的步骤1. 打开“联机响应程序”管理单元。2. 在“操作”窗格中,单击“添加吊销配置”以启动添加吊销配置向导,然后单击“下一步”。3. 在“命名吊销配置”页上,键入吊销配置的名称(例如 LH_RC1),然后单击“下一步”

15、。4. 在“选择 CA 证书位置”页上,单击“从现有企业 CA 中选择证书”,然后单击“下一步”。5. 在接下来的页上,CA 的名称 LH_PKI1 应该出现在“浏览 Active Directory 中发布的 CA 证书”框中。 如果它出现,请单击要与吊销配置相关联的 CA 的名称,然后单击“下一步”。 如果它未出现,请单击“按计算机名浏览 CA”并键入承载 LH_PKI1 的计算机的名称或单击“浏览”来查找此计算机。找到计算机之后,单击“下一步”。您也许还可以链接到本地证书存储中的 CA 证书,或在步骤 4 中从可移动介质中导入它。6. 查看证书并复制父根 CA (RootCA1) 的 C

16、RL 分发点。执行此操作的步骤:a. 打开“证书服务”管理单元。选择一个已颁发的证书。b. 双击该证书,然后单击“详细信息”选项卡。c. 向下滚动并选择“CRL 分发点”字段。d. 选择并复制要使用的 CRL 分发点的 URL。e. 单击“确定”。 在“选择签名证书”页上,接受默认选项“自动选择签名证书”,然后单击“下一步”。 在“吊销提供程序”页上,单击“提供程序”。 在“吊销提供程序属性”页上,单击“添加”,输入 CRL 分发点的 URL,然后单击“确定”。 单击“完成”。 使用“联机响应程序”管理单元选择吊销配置,然后检查状态信息以验证它是否正常运行。您还可以检查签名证书的属性,以验证联

17、机响应程序是否配置正确。您可以在执行前面描述的设置步骤时对它们进行验证。安装完成后,您应当通过确认可以自动注册证书、吊销证书,以及在联机响应程序中提供准确的吊销数据,来验证您的基本测试安装是否正常运行。验证 AD CS 测试设置是否正常运行的步骤1. 在 CA 上配置多个证书模板,以便为此计算机上的 LH_CLI1 和用户自动注册证书。2. 将新证书的有关信息发布到 AD DS 之后,在客户端计算机上打开命令提示符,然后输入以下命令来启动证书自动注册:certutil -pulse3. 在 LH_CLI1 上,使用“证书”管理单元验证是否已根据需要向用户和计算机颁发了证书。4. 在 CA 上,

18、使用“证书颁发机构”管理单元查看和吊销一个或多个已颁发的证书,方法是单击“证书颁发机构(计算机)/CA 名称/颁发的证书”,然后选择要吊销的证书。在“操作”菜单上,指向“所有任务”,然后单击“吊销证书”。选择吊销证书的原因,然后单击“是”。5. 在“证书颁发机构”管理单元中,通过在控制台树中单击“证书颁发机构(计算机)/CA 名称/吊销的证书”发布新的 CRL。然后,在“操作”菜单上,指向“所有任务”,然后单击“发布”。6. 删除颁发 CA 中的所有 CRL 分发点扩展,方法是打开“证书颁发机构”管理单元,然后选择该 CA。在“操作”菜单上,单击“属性”。7. 在“扩展”选项卡上,确认将“选择

19、扩展”设置为“CRL 分发点(CDP)”。8. 单击列出的所有 CRL 分发点,单击“删除”,然后单击“确定”。9. 停止并重新启动 AD CS。10. 重复上面的步骤 1 和步骤 2,然后验证客户端是否仍可以获取吊销数据。为此,使用“证书”管理单元将证书导出到文件 (.cer)。在命令提示符下,键入:certutil -url 11. 在出现的“验证并检索”对话框中,单击“来自 CDP”和“来自 OCSP”并比较结果。AD CS 高级实验室方案以下部分介绍了如何设置实验室,以评估比在基本实验室设置中更多的 AD CS 功能。设置高级实验室的步骤若要在实验室环境中测试 AD CS 的其他功能,

20、您需要五台运行 Windows Server 2008 的计算机和一台运行 Windows Vista 的客户端计算机。 LH_CA_ROOT1:此计算机将承载测试环境的独立根 CA。 LH_CA_ISSUE1:此企业 CA 将从属于 LH_CA_ROOT1,并为联机响应程序和客户端计算机颁发客户端证书。 LH_ORS1。此服务器将承载联机响应程序。 LH_NDES。此服务器将承载网络设备注册服务,从而可以为路由器和其他网络设备颁发和管理证书。这台运行 Windows Vista 的客户端计算机将从 LH_CA_ISSUE1 自动注册证书并从 LH_ORS1 验证证书状态。若要为 AD CS

21、配置高级实验室设置,您需要完成下列前提步骤:1. 在 的 LH_DC1 上设置一个域控制器,包括一些 OU,以便为域中的客户端计算机 LH_CLI1 以及承载 CA 和联机响应程序的服务器包含一个或多个用户。2. 在测试配置中的其他服务器上安装 Windows Server 2008 并将这些服务器加入域。3. 在 LH_CLI1 上安装 Windows Vista,并将 LH_CLI1 加入 。设置独立根 CA设置企业从属颁发 CA安装和配置联机响应程序将颁发 CA 配置为颁发 OCSP 响应签名证书将颁发机构信息访问扩展配置为支持联机响应程序步骤 6:将 OCSP 响应签名模板分配给 CA

22、步骤 7:注册 OCSP 响应签名证书步骤 8:步骤 9:设置和配置网络设备注册服务步骤 10:验证高级 AD CS 测试设置是否正常运行独立根 CA 是判断基本实验室设置的是否可信的依据。它用于将证书颁发给从属颁发 CA。由于此 CA 对公钥基础结构 (PKI) 的安全十分重要,因此仅当需要将证书颁发给从属 CA 时此 CA 才会在许多 PKI 中联机。设置独立根 CA 的步骤1. 以管理员身份登录到 LH_CA_ROOT1。2. 启动“添加角色”向导。在“选择服务器角色”页上,选中“Active Directory 证书服务”复选框,然后单击两次“下一步”。3. 在“选择角色服务”页上,选

23、中“证书颁发机构”复选框,然后单击“下一步”。4. 在“指定安装类型”页上,单击“独立”,然后单击“下一步”。5. 在“指定 CA 类型”页上,单击“根 CA”,然后单击“下一步”。6. 在“设置私钥”和“为 CA 配置加密”页上,您可以配置可选设置,其中包括加密服务提供程序。7. 在“此 CA 的公用名称”框中,键入 CA 的公用名称 RootCA1,然后单击“下一步”。8. 在“设置证书有效期”页上,接受根 CA 的默认有效期,然后单击“下一步”。9. 在“配置证书数据库”页上,接受默认值或为证书数据库和证书数据库日志指定其他存储位置,然后单击“下一步”。10. 在验证了“确认安装选择”页

24、上的信息后,单击“安装”。大多数组织至少使用一个从属 CA 来防止不必要的公开根 CA。企业 CA 还允许您将证书模板和 AD DS 用于注册和发布证书。设置企业从属颁发 CA 的步骤1. 以域管理员身份登录到 LH_CA_ISSUE1。4. 在“指定安装类型”页上,单击“企业”,然后单击“下一步”。5. 在“指定 CA 类型”页上,单击“从属 CA”,然后单击“下一步”。7. 在“申请证书”页上,浏览到 LH_CA_ROOT1,如果根 CA 没有连接到网络,则将证书申请保存到文件中,以便以后进行处理。单击“下一步”。颁发了根 CA 证书并且使用该证书完成从属 CA 的安装之后,才能使用从属 CA 设置。8. 在“此 CA 的公用名称”框中,键入 CA 的公用名称 LH_CA_ISSUE1。9. 在“设置证书有效期”页上,接受 CA 的默认有效期,然后单击“下一步”。10. 在“配置证书数据库”页上,接受默认值或为证书数据库和证书数据库日志指定其他存储位置,然后单击“下一步”。11. 在验证了“确认安装选择”页上的信息后,单击“安装”。联机响应程序通常不安装在 CA 所在的计算机上。作为安装过程的一部分,将在 IIS 中创建名为 OCSP 的虚拟目录,并将 Web 代理注册为 Internet 服务器应

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1