用Windows Server 2012 R2 搭建二层证书服务结构 Part 3
2013-12-10 13:53
344 查看
用Windows Server 2012 R2 搭建二层证书服务结构 Part 3
二:配置CA02和DC01
1.将DC01改名,配置IP,安装AD域服务,提升为域控制器,域名为Contoso.com,林和域级别2012,因为我环境还有别的2012的服务器。
2.将CA02改名,配置IP,加域。
3.建立一个账号,sysdep,该账号需要拥有Domain Admins,Enterprise Admins,Schema Admins,我俗称为三大Admin权限。
4.在CA02上配置RootCA的证书:
登录到CA02上,将CA01的C:\Cert文件夹下的内容考到本地C盘
以管理员身份打开Powershell,CD目录到本地C:\Cert下,输入:
certutil –dspublish –f CA01_ContosoRootCA.crt RootCA
certutil –addstore –f root CA01_ContosoRootCA.crt
certutil –addstore –f root ContosoRootCA.crl
5. 添加DNS记录:
在DC01上添加一条DNS的A记录,www.contoso.com---192.168.1.2 即我们的CA02,因为我们之前定义了CRL的地址是http://www.contoso.com/pki。
6.配置CA02的CRL:
登录CA02,以管理员身份打开Powershell,输入:
New-item -path c:\pki –type directory
write-output "Example CPS statement" | out-file c:\pki\cps.txt
new-smbshare -name pki C:\pki -FullAccess SYSTEM,"Contoso\Domain Admins" -ChangeAccess "Contoso\Cert Publishers"
7.打开CA02的IIS管理工具,记得先在Roles里面添加以下IIS,默认的IIS功能即可。
打开CA02节点,找到Sites,Default Web Site:
右键选择添加虚拟目录:
别名输入pki,物理位置就是我们刚才建立的pki文件夹,如图:
选中新建的pki后,单击身份验证,再点击右侧的编辑权限:
点击安全选项卡,添加Cert Publishers组。
之后再在添加对象类型中,勾选服务账号,查找位置CA02,添加IIS AppPool\DefaultAppPool
为Cert Publishers组添加修改权限:
保存后,定位到请求筛选
在文件扩展名选项卡,选择编辑功能设置:
勾选允许双重转义:
打开powershell,运行iisreset。
8.为CA02安装证书服务:
与CA01一样,配置CAPolicy.inf文件
[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID= 1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=http://www.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1
安装角色:
点击配置目标服务器上的证书服务:
修改从属CA02的名称:
因为我们的根CA没有加域,所以需要生成证书申请文件手动去跟CA申请证书。
这里的警告是正常的,我们要手动申请证书。
二:配置CA02和DC01
1.将DC01改名,配置IP,安装AD域服务,提升为域控制器,域名为Contoso.com,林和域级别2012,因为我环境还有别的2012的服务器。
2.将CA02改名,配置IP,加域。
3.建立一个账号,sysdep,该账号需要拥有Domain Admins,Enterprise Admins,Schema Admins,我俗称为三大Admin权限。
4.在CA02上配置RootCA的证书:
登录到CA02上,将CA01的C:\Cert文件夹下的内容考到本地C盘
以管理员身份打开Powershell,CD目录到本地C:\Cert下,输入:
certutil –dspublish –f CA01_ContosoRootCA.crt RootCA
certutil –addstore –f root CA01_ContosoRootCA.crt
certutil –addstore –f root ContosoRootCA.crl
5. 添加DNS记录:
在DC01上添加一条DNS的A记录,www.contoso.com---192.168.1.2 即我们的CA02,因为我们之前定义了CRL的地址是http://www.contoso.com/pki。
6.配置CA02的CRL:
登录CA02,以管理员身份打开Powershell,输入:
New-item -path c:\pki –type directory
write-output "Example CPS statement" | out-file c:\pki\cps.txt
new-smbshare -name pki C:\pki -FullAccess SYSTEM,"Contoso\Domain Admins" -ChangeAccess "Contoso\Cert Publishers"
7.打开CA02的IIS管理工具,记得先在Roles里面添加以下IIS,默认的IIS功能即可。
打开CA02节点,找到Sites,Default Web Site:
右键选择添加虚拟目录:
别名输入pki,物理位置就是我们刚才建立的pki文件夹,如图:
选中新建的pki后,单击身份验证,再点击右侧的编辑权限:
点击安全选项卡,添加Cert Publishers组。
之后再在添加对象类型中,勾选服务账号,查找位置CA02,添加IIS AppPool\DefaultAppPool
为Cert Publishers组添加修改权限:
保存后,定位到请求筛选
在文件扩展名选项卡,选择编辑功能设置:
勾选允许双重转义:
打开powershell,运行iisreset。
8.为CA02安装证书服务:
与CA01一样,配置CAPolicy.inf文件
[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID= 1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=http://www.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1
安装角色:
点击配置目标服务器上的证书服务:
修改从属CA02的名称:
因为我们的根CA没有加域,所以需要生成证书申请文件手动去跟CA申请证书。
这里的警告是正常的,我们要手动申请证书。
相关文章推荐
- 用Windows Server 2012 R2 搭建二层证书服务结构 Part 1 推荐
- 用Windows Server 2012 R2 搭建二层证书服务结构 Part 4
- 用Windows Server 2012 R2 搭建二层证书服务结构 Part 5
- 用Windows Server 2012 R2 搭建二层证书服务结构 Part 2
- windows Server 2012 r2搭建Hyper-v和DC
- (四)把域服务升级和迁移到Windows Server 2012 R2上
- 利用windows server 2012 R2的Hyper-V搭建多个虚拟机的 Dynamics CRM 环境知识点小结
- Windows Server 2012 R2 WDS部署服务之四部署Win8 64位操作系统
- 在Windows Server 2008 R2下搭建FTP服务
- 【转】windows server 2012 R2搭建IIS服务器
- Windows Server 2012 R2搭建IIS服务器
- Windows Server 2012 R2 设置 NTP 服务
- Windows Server 2012 R2 IIS8.5+PHP(FastCGI)+MySQL环境搭建教程
- Windows Server 2012 R2 要远程登录,你需要具有通过远程桌面服务进行登录的权限
- Windows Server 2012 R2 WDS部署服务之五排错
- Windows Server 2012 R2搭建IIS服务器及问题
- Windows Server 2012 R2超级虚拟化之七 远程桌面服务的增强
- 基于VMware Workstation在Windows Server 2008 R2上搭建SQL Server 2012高可用性组(AlwaysOn Group)测试环境(一)