域控制器证书配置
关于域控制器和证书服务器分离的部署策略
配置过程如下:
一.域控制器的配置
1.安装DNS 服务器。首先,在服务器上安装WIN 2003 企业版(如果不是企业版,则V2模板有些不能使用)。安装好WIN 2003系统以后,点击“配置你的服务器向导”,选择“自定义配置”,点中 “DNS 服务器”,安装DNS 服务器,根据提示可以很容易的自行安装。在此不再赘述。
2.配置AD 。安装好DNS 后,再点击“配置你的服务器向导”,选择“自定义配置“,点中“域控制器”,点击“下一步“,等一下,会出现如下界面:
选择“新域的域控制器“,点击”下一步”,出现如下界面:
,
选择“在新林中的域”,点击“下一步”,出现如下界面
输入新域的域名(例如“jobbyd.com ”,特别提示,一定要有后缀”.com ”且不能和计算机重名)。然后点击“下一步”,其他页面选择默认或自行更改,出现输入还原密码页面,如下:
,
输入还原模式密码,。点击“下一步”,剩下的就是等win 自动安装完成就 可以了。 然后安装KEY 的CSP 程序
小结:域控制服务器的配制顺序:先安装DNS ,然后配置AD 。
二.证书服务器的配制
1.把另外一台服务器安装WIN2003 企业版,然后加入到按上述方法配制成的域中,即jobbyd.com 中。
2.安装IIS 。点击“配置你的服务器向导”,安装IIS 服务器。以上两步皆为常规配制,在此不再赘述。
3.安装域控制器,点击“配置你的服务器向导”,点中“域控制服务器”,当出现下图时,
,
选择“现有域的额外域控制器“,点击”下一步“,出现如下界面:
输入用户名(例如,administrator ,该用户必须是Domain admins组的成员),密码,域名,点击“下一步“,出现下图:
,
输入还原模式密码,点击“下一步“,对配置文档的存放位置,可以是默认位置,或自行更改位置。然后一路默认设置,就可以了,WIN 会自动安装完成域控制器
4. 添加证书服务。点击“控制面板”-》“添加/删除程序”-》“添加/删除windows
组件”,点中“证书服务”,使其前面的方框中被打上勾,会出现如下一个对话框:
选择“是”,点击“下一步”,出现如下:
选择“企业根CA ”,点击“下一步”,如下图:
输入ca 的公用名称,和有效年限,点击“下一步“。其他一路默认,WIN 系统会自动完成安装。
5.安装KEY 的CSP 程序。
6.打开注册表编辑器,找到并单击下面的注册表项:
HKEY_LOCAL_MACHINESystemCurrentControlSetServices�rtSvcConfiguration
在右窗格中,确认“V alidityPeriod ”项的值,其值可能为:Days 、Weeks 、Months 、和Y ears ,将“V alidityPeriodUnits ”项设为希望的数值,该数值为证书的有效期限(例如,键入“2”。)重新启动计算机。
配置证书模板
在此步骤中,为了便于创建证书模板,首先介绍一下模板的有关概念。证书企业CA 所颁发的证书都是基于证书模板的,因此我们下面要定义一些证书模板,并设置证书的属性,之后管理员需要启动那些用户需要申请的证书模板,这样用户才可申请这类的证书。
在MMC 管理器控制台(在【开始】-【运行】键入‘MMC ’),点击“文件”-“添加/删除管理单元”,添加【证书模板】管理单元,可进行证书模板的管理和配置。
在【证书模板】窗口中,可以看到有些模板图标为灰色,这是V1版本的模板,而图标为绿色模板是V2版本的模板,这类模板属性可以进行修改。双击任何一个证书模板,就可
,以查看证书模板的详细配置信息。
不同的模板其中含有的信息不尽相同,V1模板中的配置是不可更改的,但V2模板的配置可自定义,而且V2模板含有更多的属性信息。Windows 2003 企业版的CA 支持V2版本模板,这类模板的信息是可以修改的。打开这类模板时,可以在可编辑的部分进行修改。V1模板的模板虽然不可直接修改,但是可以进行复制,创建一个新的V2模板,并编辑新建的V2模板。新建的模板的图标将显示为绿色。
复制并创建一个新的智能卡登录模板的具体步骤如下:
(1)在【开始】-【运行】键入‘MMC ’,点击“文件”-“添加/删除管理单元”,在弹出的对话框中,点击【添加】,添加【证书模板】管理单元,可进行证书模板的管理和配置。在【证书模板】管理单元中,右击“智能卡登录”模板,在弹出的快捷菜单中选择【复制模板】命令,在打开的【新模板的属性】对话框中,可以修改新建V2模板的名称以及其他属性。如图:
可以修改模板的名称,有效期限(实际颁发证书的有效期限是注册表时间,模板规定有效时间,和上级颁发者时间三者中的最小值),和续订期限,在【安全】标签中可以指定模板用户对模板的使用权限,还可以在【取代模板】标签中指定要取代的模板,在【处理请求】标签中指定密钥长度和所使用的CSP 。修改完成之后。
,启用证书模板
在【证书颁发机构】管理单元中,展开CA 服务器名称,找到并右击【证书模板】容器,在弹出的菜单中点击【新建】-【要颁发的证书模板】。在弹出的对话框中,选中要添加的模板,点击【确定】。
证书颁发
Windows CA可颁发两种智能卡证书:【智能卡用户】和【智能卡登陆】。【智能卡登陆】可用于Windows 登陆验证,【智能卡用户】用于Windows 登陆验证和电子邮件保护。需要修改那些模板类型,具体应由证书颁发的方式来决定。请先浏览后面再决定复制哪些模板。智能卡证书一般是使用智能卡注册代理的颁发办法,对域管理员用户(或用户设定的其他有权限的工作组)也可以自行创建申请并颁发证书,该办法同时适用于Windows 2000 和 Windows 2003 的CA 。下面中我们将对这两种办法分别进行介绍,并比较二者的优缺点。 ● 使用智能卡注册代理的颁发办法的优点是只要管理员登录到有注册代理权限的计算机上就可以为所有用户颁发证书。在这种颁发方法中,用户不能直接申请证书,而是由一些值得信赖的用户在选定的计算机上为其他用户代理颁发智能卡证书,然后将智能卡交给相应的用户。这种智能卡的颁发过程是很安全的。发证书也非常方便,缺点是:此方法之支持【智能卡登录】和【智能卡用户】模板,不能应用于其他模板,即所发证书的有效期为1年。
● 用户自行创建申请并颁发证书的方法的优点是不需要注册代理来颁发证书,需用自己申请证书,可以使用用户有注册权限的任何模板,证书的期限可以随用户自己设置。缺点是: 每个需要证书的用户需用自己的账号登录来申请证书,如果管理员代为申请则效率可能会慢点。
鉴于证书有效期结束后,系统管理员需要为用户重新颁发证书,并且使用智能卡注册代理颁发的证书有效期皆为1年,建议使用用户自行创建申请并颁发证书的方法。
1) WEB 方式下使用注册代理为用户颁发智能卡证书
用户可以使用【智能卡登录】证书模板,此外还需要选择注册代理的账号和进行智能卡证书颁发操作的计算机,一般选择域管理员为注册代理用户。分别配置注册代理用户和计算机对【注册代理】和【注册代理(计算机)】证书模板的注册权限。可以参照下面的操作。
,(1)在控制面板中或mmc 控制台中打开【证书颁发机构】管理单元,启用【注册代理】、
【注册代理(计算机)】、【智能卡登陆】、【智能卡用户】4种证书模板。
(2)在【开始】-【运行】键入“MMC ”,启动MMC 管理单元,在【文件】-【添加或删除管理单元】,在打开的对话框中点击【添加】,弹出如下对话框
在该对话框中选择【证书】项,点击【添加】-选择【我的用户账号】-点击【确定】,此时界面如下:
,
点击【确定】,则MMC 管理平台如下:
版权声明:本文内容由互联网用户自发贡献,本站不承担相关法律责任.如有侵权/违法内容,本站将立刻删除。
