实施拓扑:
拓扑说明:
在这里按照地域来部署证书颁发机构,首先在我们在珠海总部站点的ZH-DC上安装了一台企业根CA作为向从属CA颁发证书,然后总部站点的ZH-WSUS服务器上安装一台子级CA,向珠海客户端和服务器颁发证书,然后在广州站点的GZ-DC上安装一台子级CA。向广州分部的客户端和服务器颁发证书。
任务描述:
在珠海站点的ZH-DC上安装根企业CA:
1. 证书颁发机构命名
2. CA的加密选项
3. 证书数据库
在珠海站点的ZH-WSUS上安装子级企业CA
1. 证书颁发机构命名
2. 向父级申请
3. 父级向子级颁发证书
在广州站点的GZ-DC上安装子级企业CA
1. 证书颁发机构命名
2. 向父级申请
3. 父级向子级颁发证书
实现:
在珠海站点的ZH-DC上安装企业根CA:
总体操作步骤:
1) 以管理员登录ZH-DC服务器,
2) 安装AD 证书服务,
3) 根据下表完成安装:
| 向导页 | 操作 |
| 打开服务器管理器 | 单击“添加角色”,单击“下一步”,然后单击“Active Directory 证书服务”。单击两次“下一步”。 |
| 选择角色服务 | 证书颁发机构 |
| 指定安装类型 | 企业 |
| 指定 CA 类型 | 单击“根 CA”。单击“下一步”。 |
| 设置私钥 | 单击“根 CA”。 |
| 配置加密 | 选择加密服务提供程序、密钥长度和哈希算法。5年 |
| 配置 CA 名称 | ROOT-CA |
| 设置有效期 | 默认值 |
| 配置证书数据库 | 默认值 |
| 确认安装选择 | 安装 |
详细步骤和截图:
选择AD 证书服务:
只是选择证书颁发机构:
安装类型为 企业
CA类型为 根:
新建私钥:
名称 ROOT-CA :
完成安装:
在珠海站点的ZH-WSUS上安装子级企业CA:
总体操作步骤:
4) 以管理员登录ZH-WSUS服务器,
5) 安装AD 证书服务,
6) 根据下表完成安装:
| 向导页 | 操作 |
| 打开服务器管理器 | 单击“添加角色”,单击“下一步”,然后单击“Active Directory 证书服务”。单击两次“下一步”。 |
| 选择角色服务 | 证书颁发机构 |
| 指定安装类型 | 企业 |
| 指定 CA 类型 | 单击“子级 CA”。单击“下一步”。 |
| 设置私钥 | 单击“根 CA”。 |
| 配置加密 | 选择加密服务提供程序、密钥长度和哈希算法。 |
| 申请证书 | 浏览到根 CA,并选择 |
| 配置 CA 名称 | ZHUHAI-CA |
| 设置有效期 | 默认值 |
| 配置证书数据库 | 默认值 |
| 确认安装选择 | 安装 |
下面是关键步骤和截图:
选择证书颁发结构和证书颁发机构web注册:
安装类型为 企业:
CA类型为 子级:
CA名称为ZHUHAI-CA :
将请求发给父级:
完成安装:
配置连接到ZH-WSUS 上通过web 证书注册需要https的方式:
在ZH-WSUS上,打开证书模板管理,配置web服务器 证书:
在ZH-WSUS上,打开mmc管理控制台:
申请证书:
首先配置web 服务器证书:
使用者名称 类型选择公用者、值输入ZH-WSUS之后点击添加:
在常规里的友好名称输入 zh-wsus.yajie.com:
证书颁发机构选择 ZHUHAI-CA :
勾选 web服务器 ,点击注册:
成功注册:
在ZH-WSUS 服务器上打开默认网站:
添加网站绑定:类型选择https ,ssl证书选择zh-wsus.yajie.com
然后再ssl设置里勾选 要求SSL并点击应用:
配置证书模板:
在ZH-WSUS上:
打开证书颁发机构管理:
右键复制 用户 模板:选择windows server 2008 enterprise:
模板名称为 Zhuhai user :
转到安全:
配置 authenticated users 用户有 注册和 自动注册权限:
然后颁发证书:
登陆主域控制ZH-DC:
配置组策略:
刷新组策略:
申请证书:
在广州站点的GZ-DC上安装子级企业CA:
安装过程同理广州站点从属CA的安装:
测试
测试使用https方式申请证书:
打开ZH-CL1客户端:
在浏览求上面输入
之后点击 申请证书:
点击高级证书申请:
点击创建并向此CA提交一个申请:
证书模板选择 基本EFS :
之后点击提交:
点击 安装此证书:
成功安装: