用Windows Server 2012 R2 搭建二层证书服务结构 Part 3

用Windows Server 2012 R2 搭建二层证书服务结构 Part 3

二:配置CA02和DC01
1.将DC01改名,配置IP,安装AD域服务,提升为域控制器,域名为Contoso.com,林和域级别2012，因为我环境还有别的2012的服务器。
2.将CA02改名，配置IP，加域。
3.建立一个账号，sysdep，该账号需要拥有Domain Admins,Enterprise Admins,Schema Admins，我俗称为三大Admin权限。
4.在CA02上配置RootCA的证书：
登录到CA02上，将CA01的C:\Cert文件夹下的内容考到本地C盘

以管理员身份打开Powershell，CD目录到本地C:\Cert下，输入：

certutil –dspublish –f CA01_ContosoRootCA.crt RootCA


certutil –addstore –f root CA01_ContosoRootCA.crt


certutil –addstore –f root ContosoRootCA.crl



5. 添加DNS记录：
在DC01上添加一条DNS的A记录，www.contoso.com---192.168.1.2 即我们的CA02，因为我们之前定义了CRL的地址是http://www.contoso.com/pki。




6.配置CA02的CRL：
登录CA02，以管理员身份打开Powershell，输入：

New-item -path c:\pki –type directory



write-output "Example CPS statement" | out-file c:\pki\cps.txt



new-smbshare -name pki C:\pki -FullAccess SYSTEM,"Contoso\Domain Admins" -ChangeAccess "Contoso\Cert Publishers"



7.打开CA02的IIS管理工具，记得先在Roles里面添加以下IIS，默认的IIS功能即可。
打开CA02节点，找到Sites，Default Web Site：




右键选择添加虚拟目录：

别名输入pki,物理位置就是我们刚才建立的pki文件夹，如图：




选中新建的pki后，单击身份验证，再点击右侧的编辑权限：





点击安全选项卡，添加Cert Publishers组。




之后再在添加对象类型中，勾选服务账号，查找位置CA02，添加IIS AppPool\DefaultAppPool




为Cert Publishers组添加修改权限：




保存后，定位到请求筛选





在文件扩展名选项卡，选择编辑功能设置：




勾选允许双重转义：




打开powershell，运行iisreset。




8.为CA02安装证书服务：
与CA01一样，配置CAPolicy.inf文件

[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID= 1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=http://www.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1

安装角色：







点击配置目标服务器上的证书服务：



















修改从属CA02的名称：




因为我们的根CA没有加域，所以需要生成证书申请文件手动去跟CA申请证书。










这里的警告是正常的，我们要手动申请证书。