Windows2016 主从CA
设备 | FQDN | 作用 |
Windows2016-1 | ca.say.local | AD域控,根企业CA |
Windows2016-2 | congca.say.local | 从独立CA |
Windows10 | win10pc1.say.local | 证书客户端 |
★附注1:本文服务器拓扑如上,Windows2016-1搭建域控,搭建企业根CA,Windows2016-2搭建独立从CA
从属CA需要向其父CA获取证书,而且在启动CA服务时,需要向其父CA去的证书吊销列表(CRL),否则无法启动
父CA通过CRL分发点,来告知从属CA该从何处下载CRL吊销列表,通常父CA有以下三种方法来指定:
- LDAP路径:适用于域成员之间
- HTTP路径:适用于两台机器非与成员或其中有一台机器非与成员
- FILE路径:同HTTP
★附注2:部署思路顺序
- 先更改各个计算机的计算机名&IP地址
- Windows2016-1先安装域服务(此时不要安装证书服务),完成域控的部署
- Windows2016-1再安装企业根CA证书机构
- Windows2016-1配置证书机构属性中的CRL分发节点与授权信息访问(AIA)的选项
- Windows2016-1发布新的CRL吊销列表
- Windows2016-1在“运行”中,输入PKIVIEW.MSC,查看3个HTTP路径是否成功配置
- Windows2016-2安装CA,配置为独立从CA并保存证书申请文件(*.req)
- Windows2016-2访问http://192.168.10.1/certsrv,申请证书并安装,成功启动
- 至此,从属独立CA已经搭建完毕
- Windows10客户机,下载证书安装测试
★附注3:其实没什么难点,只是步骤多而已,核心内容就是如何将企业根CA的CRL吊销列表发布,使从CA可以下载
:Windows2016-1搭建AD域控,say.local
STEP2:Windows2016-1安装CA,并配置为企业根CA
STEP3:配置完成后,右键打开属性,打开“扩展”--->点击http://--->勾选下图红框中的两个选项
STEP4:点击选项栏,切换至AIA,选中http://--->勾选下图红框中的选项,随后点击应用,自动重启或手动重启即可
STEP5:右键“吊销的证书”,点击”发布“,打开后选择”新的CRL“,点击确定
STEP6:修改与发布完成后,在“运行(win+R打开)”中输入PKIVIEW.MSC(此命令仅适用于企业CA)
STEP7:在Windows2016-2安装CA并配置为独立从CA服务器,证书的申请会存储在C:\下
STEP8:在Windows2016-2输入http://192.168.10.2/certsrv,并且输入域控管理员账户
STEP9:完成验证后,点击"申请证书”,进入后点击“高级证书申请”
STEP10:点击使用base64编码………………
STEP11:将C:\下的申请文件.req使用文本的方式打开后,将文件内所有的数据全部复制到网页的文本框中,一定要将证书模版,选择为“丛书证书颁发机构,否则根CA会拒绝接收申请,”随后点击“提交”
STEP12:随后下载证书链,随后另存为,别让自己找不到
STEP13:完成后,打开证书颁发机构,右键-->所有任务-->安装CA证书(不安装无法启动),选择刚刚下载的证书链
STEP14:安装成功后可以在MMC控制台看到刚刚安装的证书
STEP15:双击打开证书-->详细信息-->CRL分发点,可以看到CRL分发点的HTTP信息
STEP16:随后就可以右键-->所有任务-->启动服务
STEP17:客户机测试冲独立从CA下载证书链,并安装至信任根证书机构