3.1 部署证书服务
案例中,由于硬件设备限制(只有一台域控制器),将证书服务部署在域控制器中。生产环境中建议:
• 证书服务器独立部署,不建议和域控制器部署在同一台服务器中。
• 部署AD CS服务,需要域管理员权限。
• 证书有效期限设置为N年。建议合理延长证书的有效时间。案例中,证书有效时间为20年。
3.1.1 根类型
Windows Server 2012 R2中提供两种类型证书服务模式:企业根和独立根。
• 企业根:部署在AD DS域服务环境中的根,与Active Directory集成在一起。部署企业根后,不需要单独配置策略发布企业根证书,AD DS域服务会自动通过组策略将企业根证书发送到域内所有计算机中,即域内所有计算机自动信任企业根。
• 独立根:安装在独立服务器中,或者安装在成员服务器中的根,执行安装AD CS服务的用户不具备访问AD DS域服务的权限,需要通过“受信任的根证书颁发机构”策略,将独立根的证书通过策略发送到域内所有计算机中。
案例中部署的根模式为“企业根”。
3.1.2 安装AD CS服务
第1步,以域管理员身份登录域控制器。启动“添加角色和功能向导”,根据向导提示跳过:
• “开始之前”对话框。
• “选择安装类型”对话框,本机安装。
• “选择服务器”,目前只有一台运行Windows Server 2012 R2的服务器。
打开“选择服务器角色”对话框,在“角色”列表中选择“Active Directory证书服务”选项,设置完成的参数如图3-1所示。
图3-1 安装AD CS服务之一
选择“Active Directory证书服务”后,打开“添加Active Directory证书服务 所需的功能”对话框,如图3-2所示。提醒管理员安装AD CS服务的同时需要安装的管理组件。单击“添加功能”按钮,返回“选择服务器角色”对话框。
图3-2 安装AD CS服务之二
第2步,单击“下一步”按钮,显示如图3-3所示的“选择功能”对话框。在“功能”列表中根据需要选择安装的功能组件。
图3-3 安装AD CS服务之三
第3步,单击“下一步”按钮,显示图3-4所示的“Active Directory证书服务”对话框,其中显示部署AD CS服务的注意事项。
图3-4 安装AD CS服务之四
第4步,单击“下一步”按钮,显示图3-5所示的“选择角色服务”对话框。在“角色服务”列表中选择需要部署的功能,案例中选择“证书颁发机构”和“证书颁发机构Web注册”选项。
图3-5 安装AD CS服务之五
选择“证书颁发机构Web注册”后,打开“添加 证书颁发机构Web注册 所需的功能”对话框(如图3-6所示),使用默认值即可。单击“添加功能”按钮,返回“选择角色服务”对话框。
图3-6 安装AD CS服务之六
第5步,单击“下一步”按钮,显示图3-7所示的“Web服务器角色(IIS)”对话框。其中显示部署AD CS服务同时需要安装的IIS Web服务角色,并启用相应的功能。
图3-7 安装AD CS服务之七
第6步,单击“下一步”按钮,显示图3-8所示的“选择角色服务”对话框。在其中设置Web服务器需要的功能列表,建议使用默认值即可。
图3-8 安装AD CS服务之八
第7步,单击“下一步”按钮,显示图3-9所示的“确认安装所选内容”对话框。其中显示安装AD CS服务的组件列表。选择“如果需要,自动重新启动目标服务器”选项。
图3-9 安装AD CS服务之九
第8步,单击“安装”按钮,开始安装Active Directory证书服务,安装完成后显示图3-10所示的“安装进度”对话框。
图3-10 安装AD CS服务之十
3.1.3 配置AD CS服务
接上节内容,继续配置AD CS服务。
第1步,单击“配置目标服务器上的Active Directory证书服务”超链接,启动“AD CS配置”向导,显示图3-11所示的“凭据”对话框。默认使用当前登录用户作为管理者。
图3-11 配置AD CS服务之一
第2步,单击“下一步”按钮,显示图3-12所示的“角色服务”对话框。在“选择要配置的角色服务”选项中,选择需要配置的证书功能,案例中选择“证书颁发机构”和“证书颁发机构Web注册”功能选项。
图3-12 配置AD CS服务之二
第3步,单击“下一步”按钮,显示图3-13所示的“设置类型”对话框。在其中设置CA类型。案例中选择“企业CA”选项,部署为企业根模式。注意:企业根模式必须和Active Directory绑定。证书服务器至少是域成员服务器。
图3-13 配置AD CS服务之三
第4步,单击“下一步”按钮,显示图3-14所示的“CA类型”对话框。在其中设置企业根类型,案例中部署为“根”,不是“从属CA”。
图3-14 配置AD CS服务之四
第5步,单击“下一步”按钮,显示图3-15所示的“私钥”对话框。如果没有私钥,选择“创建新的私钥”选项;如果已有私钥,可以选择“使用现有私钥”选项。在案例中选择前者。
图3-15 配置AD CS服务之五
第6步,单击“下一步”按钮,显示图3-16所示的“CA的加密”对话框。在其中设置证书加密使用的程序、密钥长度以及使用的算法。建议使用默认值即可。
图3-16 配置AD CS服务之六
第7步,单击“下一步”按钮,显示图3-17所示的“CA名称”对话框。在其中设置CA服务器的公用名称,注意:该名称必须是唯一的。在“可分辨名称后缀”文本框中,默认使用当前域的DN名称,“此CA的公用名称”和“可分辨名称后缀”组成证书服务器的完整可分辨名称。建议使用默认值即可。
图3-17 配置AD CS服务之七
第8步,单击“下一步”按钮,显示图3-18所示的“有效期”对话框。发布证书的有效期默认设置为5年,可根据需要调整。在案例中设置为20年,注意:此有效期设置针对的是根证书,非计算机证书和用户证书。
图3-18 配置AD CS服务之八
第9步,单击“下一步”按钮,显示图3-19所示的“CA数据库”对话框。在其中设置证书数据库以及日志文件的存储位置。
图3-19 配置AD CS服务之九
第10步,单击“下一步”按钮,显示图3-20所示的“确认”对话框。在其中显示设置的证书服务器信息。
图3-20 配置AD CS服务之十
第11步,单击“配置”按钮,开始配置证书服务,配置成功后显示图3-21所示的“结果”对话框。单击“关闭”按钮,完成证书服务设置。单击“关闭”按钮,完成AD CS服务的安装。安装完成后,建议重新启动证书服务器。
图3-21 配置AD CS服务之十一