WindowsAD证书服务系列部署CA(3)

实验目的：部署独立根CA和企业从属CA，并设置组策略发布根证书

实验环境：

LON-DC1  域控        Win2012R2  172.16.0.10

LON-SVR1 非域服务器  Win2012R2  172.16.0.21

实验步骤：

一、在LON-SVR1上安装证书服务角色

用本地管理员账号登入LON-SVR1，并通过Server Manager或Powershell添加Active Directory证书服务

在服务器管理器中，点击右上角的提示，去配置ADCS角色

点击"配置目标服务器上的Active Directory证书服务"，出现配置向导窗口

默认使用管理员凭据，点击下一步配置角色服务，将"证书颁发机构"和"证书颁发机构web注册"勾选起来，然后点击下一步

在设置类型页面中，默认非域服务器只能安装独立CA，所以直接点击下一步

在CA类型页面中，默认选择根CA，点击下一步

在私钥页面，选中创建新的私钥，点击下一步

在加密页面指定私钥长度，默认的是2048，我们将它设置为4096，然后点击下一步

在CA名称页面中，将CA名称命名为AdatumRootCA,点击下一步

有效期，证书数据库，我们都保持默认，最后完成证书服务配置

接下来我们运行certsrv.msc命令，打开证书颁发机构控制台，选中AdatumRootCA的属性

打开AdatumRootCA属性中的扩展选项，添加一个CDP位置http://lon-dc1.adatum.com/certdata/，变量依次选择CaName，CRLNameSuffix,DeltaCRLAllowed插入到URL中

最后在URL的末尾添加.crl的后缀，点击确定

在扩展选项面板中，选中新添加的CDP位置，勾选"包括在CRL中。客户端用它来寻找增量CRL的位置"和"包含在颁发的证书的CDP扩展中"

点击应用，会收到提示是否重启证书服务，这里我们选中否，不重启服务

在"选择扩展"中选择"授权信息访问AIA",点击添加

在位置中输入与CDP相同的URL，并插入变量ServerDNSName,然后在后面加入一个下划线符号_，再插入变量CaName和CertificateName,最后在URL的末尾添加.crt后缀，点击确定完成配置

在扩展选项面板中，选中新加入的AIA位置，勾选"包含在颁发的证书的AIA扩展中"

完成配置后，点击应用，根据弹出的提示，点击是，重启证书服务。

打开证书颁发机构控制台，展开AdatumRootCA，然后右键点击"吊销的证书"，选择所有任务，点击发布

在弹出的窗口中，默认发布新的CRL，点击确定

打开AdatumRootCA属性，点击查看证书，然后选择证书的详细信息选项，点击复制到文件

导出时使用默认的格式DER编码二进制X.509(.CER)，然后设定导出文件路径为\\lon-dc1\c$,文件名命名为RootCA

在LON-SRV1上打开文件路径C:\Windows\System32\CertSrv\CertEnroll，将文件夹中的AdatumRootCA和LON-SRV1_AdatumRootCA复制到\\lon-dc1\c$中

我们可以验证一下，LON-DC1的C盘根目录下面应该是有3个文件的，如果不是这3个文件请按上面的操作重新检查一遍

二、为LON-SVR1创建DNS的A记录，并为LON-SVR1配置共享

在LON-DC1上，打开DNS控制台，然后在正向查找区域的adatum.com中右键选择"新建主机(A或AAAA)"

在名称栏位中填入LON-SVR1,在IP地址栏位填入172.16.0.21,然后点击添加主机

A记录添加完毕后，我们需要为LON-SVR1配置共享，我们在LON-SVR1中打开控制面板，然后打开查看网络状态和任务，进入到网络和共享中心页面

点击页面左上方的"更改高级共享设置"，进入到高级共享设置页面，确保在"来宾或公用"下面的文件和打印机共享是启用的

三、部署一台企业从属CA

接下来我们部署一台企业从属CA，我们登入到LON-DC1中，然后安装ADCS服务，步骤与LON-SVR1相同，但是有一点不同的是，在这里我们用域管理账号登陆到LON-DC1执行安装任务，你也可以不用DC而用一台域成员服务器作为从属CA服务器

安装完成后，我们需要进行CA配置，打开CA配置向导，保持默认的域管理员账号作为凭据，点击下一步

在角色服务页面中，将证书颁发机构和证书颁发机构web注册都勾选，然后点击下一步

在设置类型页面中，我们要指定的类型就要变成企业CA了，而不能再选择独立CA了，选择后点击下一步

CA类型页面中，我们需要选择从属CA，然后点击下一步

在私钥页面，选择创建新的私钥，点击下一步

在CA的加密页面，使用默认值即可，直接点击下一步

在CA名称页面，我们将CA的公用名修改一下，改成Adatum-IssuingCA,然后点击下一步

在证书请求页面中保持默认设置，点击下一步

后续的设置都按默认设置，直接点击下一步，直到CA配置完毕，完成配置后，我们会看到一个警告说要从父CA获取证书，这个是接下来需要操作的步骤

四、安装一个从属CA证书

首先我们打开在LON-DC1的C盘，右键点击RootCA.cer文件，选择安装证书

在证书的安装向导中选择本地计算机，然后点击下一步

将证书存放位置改为"受信任的根证书颁发机构"，点击下一步，完成安装

成功安装后会收到以下的提示窗口

接下来我们回到C盘根目录，将LON-DC1.adatum.com_adatum-LON-DC1-CA.req文件复制到LON-SVR1的C盘根目录下

拷贝完成后，我们切换到LON-SVR1服务器，打开证书管理器，右键选择AdatumRootCA->所有任务->提交一个新的申请

我们将刚才拷贝过来的.req文件放入到提交申请中，然后刷新一下挂起的申请这个容器，可以看到已经有一个申请在这个容器中了

我们需要对这个挂起的申请执行颁发任务，右键选择这个申请->所有任务->颁发

执行了颁发任务后，我们可以到证书控制台中的颁发的证书容器中查看是否有证书记录，如果成功颁发这里面会有一条记录，证书模板是SubCA

确认证书已被颁发后，我们需要将证书导出，首先双击证书，在弹出的面板中选择详细信息->复制到文件，打开证书导出向导

在文件格式中选择第三项，并勾选它下面的子项，然后点击下一步

文件存放位置选择LON-DC1\C$，文件名设置为SubCA

完成上面的操作后，我们回到LON-DC1，打开它的C盘，确认SubCA已经在它的C盘根目录中了

然后我们在LON-DC1上打开证书管理控制台，可以看到目前CA的服务是没有启动的，我们要给它安装证书，右键点击Adatum-IssuingCA->所有任务->安装CA证书

将我们刚才从LON-SVR1中导出的证书给LON-DC1安装上，如果中间出现了错误提示，说吊销服务器处于脱机状态，可以执行certutil -setreg ca\loglevel 2，然后重新导入并启动CA服务

五、使用组策略来发布根CA证书

在LON-DC1上运行GPMC.MSC打开组策略管理器，对Domian Default Policy进行编辑，此处是实验才编辑这个策略，不推荐大家在生产环境中去修改默认的组策略，最好是新建一个专门的组策略用于设置证书发布

在计算机配置下面依次展开  策略->Windows设置->安全设置->公钥策略，然后右键点击受信任的根证书颁发机构，在弹出的选项中选择导入

我们将放在LON-DC1的C盘根目录下的RootCA导入进来，然后完成向导

成功导入后，可以看到在受信任的根证书颁发机构中会出现AdatumRootCA的证书项目

以上就完成了企业的证书架构部署。

本文出自 “乾涸的海綿” 博客，请务必保留此出处http://thefallenheaven.blog.51cto.com/450907/1614657

Windows AD证书服务系列---部署CA(3)