Windows Server Active Directory 证书服务循序渐进指南文档格式.docx

Windows Server Active Directory 证书服务循序渐进指南文档格式.docx

《Windows Server Active Directory 证书服务循序渐进指南文档格式.docx》由会员分享，可在线阅读，更多相关《Windows Server Active Directory 证书服务循序渐进指南文档格式.docx（18页珍藏版）》请在冰豆网上搜索。

重要事项

联机响应程序可用作为客户端提供证书吊销数据的CRL的备用选项或扩展。

Microsoft联机响应程序基于并符合针对OCSP的RFC2560。

有关RFC2560的详细信息，请访问Internet工程任务组网站（

∙网络设备注册服务。

网络设备注册服务可根据CiscoSystemsInc.提供的简单证书注册协议（SCEP）允许路由器和其他网络设备获取证书。

开发SCEP是为了支持使用现有的CA向网络设备颁发安全、可缩放的证书。

该协议支持CA和注册机构公钥分发、证书注册、证书吊销、证书查询和证书吊销查询。

使用ADCS的要求

CA可设置在运行各种操作系统的服务器上，包括Windows（R）2000Server、WindowsServer（R）2003和WindowsServer2008。

但是，并非所有操作系统都支持所有功能或设计要求，创建一个最佳设计需要在生产环境中部署ADCS之前仔细进行计划和实验室测试。

对于单个CA，尽管可以仅使用一台服务器作为硬件部署ADCS，但是许多部署都涉及到配置为根服务器、策略服务器和颁发CA服务器的多台服务器，以及配置为联机响应程序的其他服务器。

一组有限的服务器角色适用于WindowsServer2008和WindowsServer2008forItanium-basedSystems的服务器核心安装。

下表列出了可以在不同版本的WindowsServer2008上配置的ADCS组件。

组件

Web

Standard

Enterprise

Datacenter

CA

否

是

网络设备注册服务

联机响应程序服务

在运行WindowsServer2008并且配置为CA的服务器上可以使用以下功能。

ADCS功能

版本2和版本3证书模板

密钥存档

角色分隔

证书管理器限制

委派注册代理限制

ADCS基本实验室方案

以下部分介绍了如何设置实验室以开始评估ADCS。

建议您首先在测试实验室环境中执行本指南中提供的步骤。

不一定必须使用循序渐进指南才能部署WindowsServer功能，而不使用随附文档，应将其作为独立的文档谨慎使用。

设置基本实验室的步骤

您可以只使用两台运行WindowsServer2008的服务器和一台运行WindowsVista（R）的客户端计算机在实验室环境中开始测试ADCS的许多功能。

本指南使用的计算机命名如下：

∙LH_DC1：

此计算机将作为测试环境的域控制器。

∙LH_PKI1：

此计算机将承载测试环境的企业根CA。

此CA将为联机响应程序和客户端计算机颁发客户端证书。

企业CA和联机响应程序只能安装在运行WindowsServer2008Enterprise或WindowsServer2008Datacenter的服务器上。

∙LH_CLI1：

这台运行WindowsVista的客户端计算机将从LH_PKI1自动注册证书并从LH_PKI1验证证书状态。

若要为ADCS配置基本实验室设置，您需要完成下列前提步骤：

∙在的LH_DC1上设置一个域控制器，包括一些组织单位（OU），以便为客户端计算机（域中的客户端计算机）以及承载CA和联机响应程序的服务器包含一个或多个用户。

∙在LH_PKI1上安装WindowsServer2008，并将LH_PKI1加入域。

∙在LH_CLI1上安装WindowsVista，并将LH_CLI1加入。

完成这些初步设置过程之后，可以开始完成下列步骤：

步骤1：

设置企业根CA

步骤2：

安装联机响应程序

步骤3：

将CA配置为颁发OCSP响应签名证书

步骤4：

创建吊销配置

步骤5：

验证ADCS实验室设置是否正常运行

企业根CA是判断基本实验室设置是否可信的依据。

它用于将证书颁发给联机响应程序和客户端计算机，并将证书信息发布到ActiveDirectory域服务（ADDS）。

设置企业根CA的步骤

1.以域管理员身份登录到LH_PKI1。

2.单击“开始”，指向“管理工具”，然后单击“服务器管理器”。

3.在“角色摘要”部分中，单击“添加角色”。

4.在“选择服务器角色”页上，选中“ActiveDirectory证书服务”复选框。

单击两次“下一步”。

5.在“选择角色服务”页上，选中“证书颁发机构”复选框，然后单击“下一步”。

6.在“指定安装类型”页上，单击“企业”，然后单击“下一步”。

7.在“指定CA类型”页上，单击“根CA”，然后单击“下一步”。

8.在“设置私钥”和“为CA配置加密”页上，您可以配置可选的配置设置，其中包括加密服务提供程序。

但是，如果要进行基本的测试，请单击“下一步”两次接受默认值。

9.在“此CA的公用名称”框中，键入CA的公用名称RootCA1，然后单击“下一步”。

10.在“设置证书有效期”页上，接受根CA的默认有效期，然后单击“下一步”。

11.在“配置证书数据库”页上，接受默认值或为证书数据库和证书数据库日志指定其他存储位置，然后单击“下一步”。

12.在验证了“确认安装选择”页上的信息后，单击“安装”。

13.查看确认屏幕上的信息，以验证安装是否成功。

联机响应程序可以安装在任何运行WindowsServer2008Enterprise或WindowsServer2008Datacenter的计算机上。

证书吊销数据可以来自运行WindowsServer2008的计算机上的CA、运行WindowsServer2003的计算机上的CA或非MicrosoftCA。

在安装联机响应程序之前，还必须在此计算机上安装IIS。

安装联机响应程序的步骤

3.单击“管理角色”。

在“ActiveDirectory证书服务”部分中，单击“添加角色服务”。

4.在“选择角色服务”页上，选中“联机响应程序”复选框。

系统将提示您安装IIS和Windows激活服务。

5.单击“添加所需的角色服务”，然后单击三次“下一步”。

6.在“确认安装选择”页上，单击“安装”。

7.完成安装后，查看状态页以验证安装是否成功。

将CA配置为支持联机响应程序服务包括配置证书模板和OCSP响应签名证书的颁发属性，然后完成CA上的其他步骤，以支持联机响应程序和证书颁发。

这些证书模板和自动注册步骤也可用于配置要颁发给客户端计算机或客户端计算机用户的证书。

为测试环境配置证书模板的步骤

1.以CA管理员身份登录到LH_PKI1。

2.打开“证书模板”管理单元。

3.右键单击“OCSP响应签名”模板，然后单击“复制模板”。

4.为复制的模板键入新名称，例如“OCSP响应签名_2”。

5.右键单击“OCSP响应签名_2”证书模板，然后单击“属性”。

6.单击“安全”选项卡。

在“组或用户名”下，单击“添加”，然后键入名称，或通过浏览选择承载联机响应程序服务的计算机。

7.单击计算机名称LH_PKI1，然后在“权限”对话框中，选中“读取”和“自动注册”复选框。

8.在打开“证书模板”管理单元时，您可以为用户和计算机配置证书模板，方法是替换步骤3中所需的模板，并重复步骤4至步骤7为LH_CLI1和测试用户帐户配置权限。

若要将CA配置为支持联机响应程序，您需要使用“证书颁发机构”管理单元来完成两个关键步骤：

∙将联机响应程序的位置添加到已颁发证书的颁发机构信息访问扩展中。

∙为CA启用您在前面的步骤中所配置的证书模板。

将CA配置为支持联机响应程序服务的步骤

1.打开“证书颁发机构”管理单元。

2.在控制台树中，单击CA的名称。

3.在“操作”菜单上，单击“属性”。

4.单击“扩展”选项卡。

在“选择扩展”列表中，单击“颁发机构信息访问（AIA）”。

5.选中“包含在颁发的证书的AIA扩展中”和“包括在联机证书状态协议（OCSP）扩展中”复选框。

6.指定用户可以从中获取证书吊销数据的位置；

对本安装而言，此位置为http:

//LH_PKI1/ocsp。

7.在“证书颁发机构”管理单元的控制台树中，右键单击“证书模板”，然后单击“要颁发的新证书模板”。

8.在“启用证书模板”中，选择“OCSP响应签名”模板以及任何其他以前配置的证书模板，然后单击“确定”。

9.打开“证书模板”，然后验证列表中有已修改的证书模板。

吊销配置包含响应与使用特定CA密钥颁发的证书有关的状态请求所需的所有设置。

这些配置设置包括CA证书、联机响应程序的签名证书以及客户端被指定将其状态请求发送到的位置。

在创建吊销配置之前，请确保已执行证书注册，以便签名证书存在于计算机上，并将签名证书上的权限调整为允许联机响应程序使用它。

验证签名证书是否配置正确的步骤

1.启动或重新启动LH_PKI1以注册证书。

2.以CA管理员身份登录。

3.打开计算机帐户的“证书”管理单元。

打开计算机的个人证书存储，并验证它是否包含标题为“OCSP响应签名”的证书。

4.右键单击此证书，然后单击“管理私钥”。

5.单击“安全”选项卡。

在“用户组或用户名”对话框中，单击“添加”，将网络服务输入到“组或用户名”列表中，然后单击“确定”。

6.单击“网络服务”，在“权限”对话框中选中“完全控制”复选框。

7.单击“确定”两次。

创建吊销配置包括下列任务：

∙确定支持联机响应程序的CA的CA证书。

∙确定CA的CRL分发点。

∙选择将要用于为吊销状态响应签名的签名证书。

∙选择吊销提供程序，它是负责检索和缓存联机响应程序所使用的吊销信息的组件。

创建吊销配置的步骤

1.打开“联机响应程序”管理单元。

2.在“操作”窗格中，单击“添加吊销配置”以启动添加吊销配置向导，然后单击“下一步”。

3.在“命名吊销配置”页上，键入吊销配置的名称（例如LH_RC1），然后单击“下一步”。

4.在“选择CA证书位置”页上，单击“从现有企业CA中选择证书”，然后单击“下一步”。

5.在接下来的页上，CA的名称LH_PKI1应该出现在“浏览ActiveDirectory中发布的CA证书”框中。

∙如果它出现，请单击要与吊销配置相关联的CA的名称，然后单击“下一步”。

∙如果它未出现，请单击“按计算机名浏览CA”并键入承载LH_PKI1的计算机的名称或单击“浏览”来查找此计算机。

找到计算机之后，单击“下一步”。

您也许还可以链接到本地证书存储中的CA证书，或在步骤4中从可移动介质中导入它。

6.查看证书并复制父根CA（RootCA1）的CRL分发点。

执行此操作的步骤：

a.打开“证书服务”管理单元。

选择一个已颁发的证书。

b.双击该证书，然后单击“详细信息”选项卡。

c.向下滚动并选择“CRL分发点”字段。

d.选择并复制要使用的CRL分发点的URL。

e.单击“确定”。

在“选择签名证书”页上，接受默认选项“自动选择签名证书”，然后单击“下一步”。

在“吊销提供程序”页上，单击“提供程序”。

在“吊销提供程序属性”页上，单击“添加”，输入CRL分发点的URL，然后单击“确定”。

单击“完成”。

使用“联机响应程序”管理单元选择吊销配置，然后检查状态信息以验证它是否正常运行。

您还可以检查签名证书的属性，以验证联机响应程序是否配置正确。

您可以在执行前面描述的设置步骤时对它们进行验证。

安装完成后，您应当通过确认可以自动注册证书、吊销证书，以及在联机响应程序中提供准确的吊销数据，来验证您的基本测试安装是否正常运行。

验证ADCS测试设置是否正常运行的步骤

1.在CA上配置多个证书模板，以便为此计算机上的LH_CLI1和用户自动注册证书。

2.将新证书的有关信息发布到ADDS之后，在客户端计算机上打开命令提示符，然后输入以下命令来启动证书自动注册：

certutil-pulse

3.在LH_CLI1上，使用“证书”管理单元验证是否已根据需要向用户和计算机颁发了证书。

4.在CA上，使用“证书颁发机构”管理单元查看和吊销一个或多个已颁发的证书，方法是单击“证书颁发机构（计算机）/CA名称/颁发的证书”，然后选择要吊销的证书。

在“操作”菜单上，指向“所有任务”，然后单击“吊销证书”。

选择吊销证书的原因，然后单击“是”。

5.在“证书颁发机构”管理单元中，通过在控制台树中单击“证书颁发机构（计算机）/CA名称/吊销的证书”发布新的CRL。

然后，在“操作”菜单上，指向“所有任务”，然后单击“发布”。

6.删除颁发CA中的所有CRL分发点扩展，方法是打开“证书颁发机构”管理单元，然后选择该CA。

在“操作”菜单上，单击“属性”。

7.在“扩展”选项卡上，确认将“选择扩展”设置为“CRL分发点（CDP）”。

8.单击列出的所有CRL分发点，单击“删除”，然后单击“确定”。

9.停止并重新启动ADCS。

10.重复上面的步骤1和步骤2，然后验证客户端是否仍可以获取吊销数据。

为此，使用“证书”管理单元将证书导出到文件（.cer）。

在命令提示符下，键入：

certutil-url<

exportedcert.cer>

11.在出现的“验证并检索”对话框中，单击“来自CDP”和“来自OCSP”并比较结果。

ADCS高级实验室方案

以下部分介绍了如何设置实验室，以评估比在基本实验室设置中更多的ADCS功能。

设置高级实验室的步骤

若要在实验室环境中测试ADCS的其他功能，您需要五台运行WindowsServer2008的计算机和一台运行WindowsVista的客户端计算机。

∙LH_CA_ROOT1：

此计算机将承载测试环境的独立根CA。

∙LH_CA_ISSUE1：

此企业CA将从属于LH_CA_ROOT1，并为联机响应程序和客户端计算机颁发客户端证书。

∙LH_ORS1。

此服务器将承载联机响应程序。

∙LH_NDES。

此服务器将承载网络设备注册服务，从而可以为路由器和其他网络设备颁发和管理证书。

这台运行WindowsVista的客户端计算机将从LH_CA_ISSUE1自动注册证书并从LH_ORS1验证证书状态。

若要为ADCS配置高级实验室设置，您需要完成下列前提步骤：

1.在的LH_DC1上设置一个域控制器，包括一些OU，以便为域中的客户端计算机LH_CLI1以及承载CA和联机响应程序的服务器包含一个或多个用户。

2.在测试配置中的其他服务器上安装WindowsServer2008并将这些服务器加入域。

3.在LH_CLI1上安装WindowsVista，并将LH_CLI1加入。

设置独立根CA

设置企业从属颁发CA

安装和配置联机响应程序

将颁发CA配置为颁发OCSP响应签名证书

将颁发机构信息访问扩展配置为支持联机响应程序

步骤6：

将OCSP响应签名模板分配给CA

步骤7：

注册OCSP响应签名证书

步骤8：

步骤9：

设置和配置网络设备注册服务

步骤10：

验证高级ADCS测试设置是否正常运行

独立根CA是判断基本实验室设置的是否可信的依据。

它用于将证书颁发给从属颁发CA。

由于此CA对公钥基础结构（PKI）的安全十分重要，因此仅当需要将证书颁发给从属CA时此CA才会在许多PKI中联机。

设置独立根CA的步骤

1.以管理员身份登录到LH_CA_ROOT1。

2.启动“添加角色”向导。

在“选择服务器角色”页上，选中“ActiveDirectory证书服务”复选框，然后单击两次“下一步”。

3.在“选择角色服务”页上，选中“证书颁发机构”复选框，然后单击“下一步”。

4.在“指定安装类型”页上，单击“独立”，然后单击“下一步”。

5.在“指定CA类型”页上，单击“根CA”，然后单击“下一步”。

6.在“设置私钥”和“为CA配置加密”页上，您可以配置可选设置，其中包括加密服务提供程序。

7.在“此CA的公用名称”框中，键入CA的公用名称RootCA1，然后单击“下一步”。

8.在“设置证书有效期”页上，接受根CA的默认有效期，然后单击“下一步”。

9.在“配置证书数据库”页上，接受默认值或为证书数据库和证书数据库日志指定其他存储位置，然后单击“下一步”。

10.在验证了“确认安装选择”页上的信息后，单击“安装”。

大多数组织至少使用一个从属CA来防止不必要的公开根CA。

企业CA还允许您将证书模板和ADDS用于注册和发布证书。

设置企业从属颁发CA的步骤

1.以域管理员身份登录到LH_CA_ISSUE1。

4.在“指定安装类型”页上，单击“企业”，然后单击“下一步”。

5.在“指定CA类型”页上，单击“从属CA”，然后单击“下一步”。

7.在“申请证书”页上，浏览到LH_CA_ROOT1，如果根CA没有连接到网络，则将证书申请保存到文件中，以便以后进行处理。

单击“下一步”。

颁发了根CA证书并且使用该证书完成从属CA的安装之后，才能使用从属CA设置。

8.在“此CA的公用名称”框中，键入CA的公用名称LH_CA_ISSUE1。

9.在“设置证书有效期”页上，接受CA的默认有效期，然后单击“下一步”。

10.在“配置证书数据库”页上，接受默认值或为证书数据库和证书数据库日志指定其他存储位置，然后单击“下一步”。

11.在验证了“确认安装选择”页上的信息后，单击“安装”。

联机响应程序通常不安装在CA所在的计算机上。

作为安装过程的一部分，将在IIS中创建名为OCSP的虚拟目录，并将Web代理注册为Internet服务器应