AD管理之三,企业根CA的安装

简介:
        在这个充满危险的互联网上…为嘛说互联网危险?比如今天你在一个群里被人爆了老底,明天或许10个群里,100个论坛里,1000个网站里,连你祖上18代都给揭露了出来。。
正题,现在无论是一些网站的账号注册,或者一些登陆,充值的界面,几乎都是使用的SSL连接。那么,无论是想要实现电子邮件的保护,还是SSL 网站安全连接,都必须有证书(certification)的存在,才能使用公钥/私钥来执行数据的加密和身份验证。借用戴有炜老师书里面的一个例子,话 说他妈“证书就跟机动车驾照一样,必须拥有机动车驾照(证书)才能开车(使用密钥)”,那么证书是哪里来的? 好问题,机动车驾照哪里来的? 得有一个大家都信任的机构交通局(证书颁发机构certification authority,CA)来进行颁发的。
        那么,对于在互联网上使用的一些证书,可能需要我们想互联网上的一些知名的商业CA进行申请。 (额,有人问为什么? 你自己打印了张支票,刻了一个章,填上一串9,能去银行取出来钱嘛?)同样的道理。。
        但是如果在自己的公司里,如果我们的网站,邮件只是自己内部人在使用,那么还是完全可以搭建自己的CA来使用的。为什么?老板说的算。。。
        接下来,详细介绍如何通过使用windows server 2008 R2的Active Directory 证书服务来搭建我们企业内部第一台企业根CA。
        首先,企业根CA需要Active Directory域的支持,企业根CA可以安装在域控制器本身,或者成员服务器上;企业根CA发放证书的对象仅限于域用户。
        老一套,打开我们windows server 2008 R2上面的服务器管理器 image
        接下来,我们来添加一个服务
         image
        在服务器角色选择里面,我们勾选上Active Directory证书服务
         image
        在角色服务处,除了默认的证书颁发机构之外,我们勾选上“证书颁发机构Web注册”,点击之后会弹出一个提示,我们选择“ 添加所需的角色服务”来安装此组件所需的IIS网站,勾选此组件的目的是为了让用户可以直接利用浏览器去申请证书。
         image
        在接下来的 安装类型中,选择 企业。如果此计算机没有在域中,或者不是使用Domain Admin身份来登录的话,企业CA是无法选择的。
         image
        下一步之后,会提示选择CA的类型,这里我们来选择根CA。
         image
        在下一步操作中,我们选择“新建私钥”。此私钥作为CA的私钥,CA必须有用私钥,才有向客户端发放证书的权利。
如果在此之前你已经安装过CA,创建过一次私钥,在这次安装的时候,也可以直接使用之前创建过的私钥。
         image
        在下一步选择加密方式的时候,我们使用默认的加密方式即可。
         image
        关于CA的名称,只是作为一个显示名称存在,可以自己定义。好记,容易识别即可。也可直接采用默认
        证书的有效期默认是5年,如果没有特殊要求,采用默认即可。
        关于证书数据库和日志的位置,一般情况下采用默认即可。也可以自己定义
        在对于IIS下一步选择角色服务的操作中,CA需要用到的已经默认勾选,如果无特殊需要添加的,采用默认即可。
        最后一步,会显示出来综合的配置,点击安装,开始执行安装,需要注意的是,一旦机器安装了CA,则此计算机就不允许在进行更改计算机名等操作。
        企业根CA可以颁发的证书有很多类型,而且是根据“证书模板”来颁发证书。如下图所示:
         image
        到此为止,一个简单的企业根CA已经搭建完成,而且Active Directory域会通过组策略来让域内的所有计算机来自动信任根CA,其实这个“信任”的过程,说白了。也就是将跟CA的证书安装到客户端的过程。
        域内的计算机用户也可以通过WEB界面去申请,下载证书。可以通过  http://ca的主机名、计算机名或者IP地址/certsrv来进行访问。




本文转自 149banzhang 51CTO博客,原文链接:http://blog.51cto.com/149banzhang/707352,如需转载请自行联系原作者
目录
相关文章
|
6月前
|
存储 域名解析 网络协议
AD域的搭建和操作使用
AD域的搭建和操作使用
|
3月前
|
存储 网络协议 安全
【Azure 环境】ARM部署模板大于4MB的解决方案及Linked Template遇见存储账号防火墙无法访问
【Azure 环境】ARM部署模板大于4MB的解决方案及Linked Template遇见存储账号防火墙无法访问
|
21天前
|
安全 Java 测试技术
ToB项目身份认证AD集成(二):快速搞定window server 2003部署AD域服务并支持ssl
本文详细介绍了如何搭建本地AD域控测试环境,包括安装AD域服务、测试LDAP接口及配置LDAPS的过程。通过运行自签名证书生成脚本和手动部署证书,实现安全的SSL连接,适用于ToB项目的身份认证集成。文中还提供了相关系列文章链接,便于读者深入了解AD和LDAP的基础知识。
|
29天前
|
安全 BI 数据安全/隐私保护
什么是AD域?域能给公司带来什么好处?哪款AD域管理工具比较好?
经营公司中很重要的一点就是对公司的管理,所以基本上所有中型公司为了更方便地管理公司电脑,打印机和用户都会请IT咨询公司来做AD域的设计。
116 0
|
3月前
|
Windows
【Azure 应用服务】应用代码中需要使用客户端证书访问服务接口,部署在应用服务后报错不能找到证书(Cannot find the X.509 certificate)
【Azure 应用服务】应用代码中需要使用客户端证书访问服务接口,部署在应用服务后报错不能找到证书(Cannot find the X.509 certificate)
安装.Net Framework提示:无法建立到信任根颁发机构的证书链
安装.Net Framework提示:无法建立到信任根颁发机构的证书链
148 0
安装.Net Framework提示:无法建立到信任根颁发机构的证书链
|
数据安全/隐私保护 安全 Shell
为公司内部搭建CA
步骤一 首先我们要知道CA的配置文件 openssl的配置文件:/etc/pki/tls/openssl.cnf 我们打开这个配置文件 这文件中很多跟CA相关的信息如图 解释: 我们可以搭建好几个CA,那么谁是默认的?图中① “=”号后面的信息就是默认的CA 图中②是默认CA...
1636 0