Lab 2 循序渐进配置Windows Server 2012 AD CS（颁发机构&联机响应篇）

安全往往是企业管理的重中之重，我们的Boss希望我们的网站是加密的，邮件是加密的，文档是加密的，而且绝大多数的微软服务器产品都是需要公有的或者自建的证书，而AD CS可以为我们提供颁发和管理在采用软件安全系统中使用的公钥证书。

证书服务这玩意我们也不可能天天和他打交道，配置好了之后，很长一段时间我们都不用管它。但是万事开头难，如何迈出这第一步，我相信最有效的方法就是做一次实验，多错一次，自然就会了。

下面我们来看看实验的资源清单

1. 服务器（1.4GHz主频以上，64位，1.5G内存，60G硬盘）两台，可以是虚拟机

2. Windows Server 2012的安装镜像文件 拷贝以下链接到迅雷或其他下载工具

ed2k://|file|cn_windows_server_2012_x64_dvd_915588.iso|3826081792|6A56281311F9FE6973F66CF36E2F50BE|/

3. 交换机一台

步骤一、完成配置Windows Server 2012 AD DS

Step 1

本实验是建立在域环境下进行的，所以在进行本实验之前，请先完成Lab 1 轻松配置Windows Server 2012 AD DS。

步骤二、安装Windows Server 2012，用于证书服务器的基础环境

Step 2

请参考Lab 1 轻松配置Windows Server 2012 AD DS的Step 1 至Step 7。

步骤三、证书服务器配置

Step 3

配置证书服务器的IP地址，以下是我的配置。10.40.94.1是域控制器的IP。

Step 4

将服务器换个计算机名（注意不要和其他计算机名重复），并且加入域。

步骤四、安装企业根CA

Step 5

打开服务器管理器，点击“添加角色与功能”。

Step 6

勾选“默认情况下跳过此页”点击“下一步”，跳过开始页。

Step 7

选择“基于角色或基于功能的安装”，点击“下一步”。

Step 8

务必确认是证书服务器（SZSRVCA01v）被选中，点击“下一步”。

Step 9

勾选“Active Directory证书服务”，点击两次“下一步”。因为我们这里只添加“Active Directory证书服务”角色，不添加其他功能。

Step 10

注意，安装了AD CS后，计算机名将无法再改变，请再次确认已经加入该服务器已经加入域并且变更成合适的计算机名。如果漏掉以上操作，请关掉向导，回到Step 4重新操作。

Step 11

下面一项一项的对AD CS服务进行安装，仅勾选“证书颁发机构”，点击“下一步”。

Step 12

再次确认安装内容，点击“安装”，静候安装完成。

Step 13

安装完成后，回到“服务器管理器”，可以看到待办任务：配置目标服务器上的Active Directory证书服务。

Step 14

凭据要求，因为我们安装的是企业根CA，故需要使用Enterprise Admins成员登陆服务器进行配置。域管理员Administrator具有这个权限，如图所示。

Step 15

勾选“证书颁发机构”，我们将在接下来的向导中配置这个服务。点击“下一步”。

Step 16

指定CA的设置类型，本实验中勾选“企业CA”，点击“下一步”。

Step 17

指定CA类型，本实验中勾选“根CA”，点击“下一步”。

Step 18

因为是新安装CA，故选择“创建新的私钥”。点击“下一步”。

Step 19

选择加密算法和**长度，可以保持默认，点击“下一步”。

Step 20

为CA起一个看起来不那么山寨的名字，点击“下一步”。

Step 21

为根证书指定一个有效期，默认是5年，嫌麻烦可以指定的久一点，我指定的是10年。

Step 22

指定数据库位置，缺省就好，点击“下一步”。

Step 23

再次确认安装内容，确认无误之后单击“配置”。

Step 24

配置完成后，企业根CA就配置完毕了。

步骤五、安装联机响应程序

PKI包含了多个组件，包括证书，证书吊销列表（certificate revocation lists）和证书颁发机构（certification authorities）。大多数情况，当应用程序需要认证，签名或者做加密操作时，需要确***的状态。证书状态和吊销检查主要依靠两个手段来确认：

• 时间。证书在过期前都会被认为是有效的，直到系统时间超过过期时间，或者在过期之前已经被吊销。

• 吊销状态。证书可以在过期之前被吊销，当**泄露或其他原因需要吊销证书时，管理员可以对证书吊销。

确认吊销状态有多种手段，如CRLs，增量CRLs和在线证书状态协议（Online Certificate Status Protocol）。而联机响应程序使用的正是在线证书状态协议。OCSP相对CRLs，适合实时性要求较高的场合，查询数据量小，能缓解CA的带宽压力。下面就来介绍如何使用微软Active Directory Certificate Service实现OCSP。

Step 25

打开“服务器管理器”，单击“添加角色与功能”，单击“下一步”。

Step 26

确认是证书服务器（SZSRVCA01v）被选中，点击“下一步”。

Step 27

勾选“联机响应程序”，点击两次“下一步”。

Step 28

因为联机响应是通过Http协议进行通信的，所以系统默认安装上了IIS角色，以下IIS角色服务在安装联机响应程序是被需要的，请务必确保勾选后，点击“下一步”。

安全性

• 请求筛选

常见HTTP功能

• HTTP错误

• 静态内容

• 默认内容

• 目录浏览

• HTTP重定向

性能

• 静态内容压缩

运行状况和诊断

• HTTP日志记录

• 跟踪

• 请求监视器

• 日志记录工具

应用程序开发

• .NET Extensibility 4.5

• ISAPI 筛选器

管理工具

• IIS管理控制台

• IIS6元数据库兼容性

• IIS管理脚本和工具

Step 29

确认将安装以下服务，点击“安装”。

Step 30

等待安装完成后，可以点击“配置目标服务器上的Active Directory证书服务”，也可以关闭向导，在任务提醒处进入接下来的配置。

Step 31

安装联机响应仅需要本地管理员角色，确认有权限，点击“下一步”。

Step 32

勾选“联机响应程序”，点击“下一步”。

Step 33

点击“配置”

Step 34

配置成功。

步骤六、配置CA

Step 35

打开“证书模板”管理单元。

Step 36

右键单击“OCSP响应签名”模板，单击“复制模板”，如下图。

Step 37

为新模板起一个名字，我的就叫“新OCSP响应签名”。

Step 38

切换到“安全”选项卡，添加当前服务器（SZSRVCA01v），并给它赋予“读取”和“自动注册”的权限。

Step 39

打开“证书颁发机构”，右键当前点击证书颁发机构（AcerTWP-SZSRVCA01v-CA），单击“属性”。

Step 40

切换到“扩展”选项卡。单击“添加”，在“位置”处输入http://<ServerDNSName>/ocsp 。<ServerDNSName>是一个变量表示当前服务器的DNS名，所以对于我的环境来说，在此处输入http://szsrvca01/ocsp 也是对的。

Step 41

选中“http://<ServerDNSName>/ocsp ”，勾选“包括在在线证书状态协议（OCSP）扩展中（O）”。这一步很重要。应用后，会要求重启证书服务，重启后配置生效。

Step 42

回到“证书颁发机构”管理单元，右键单击“证书模板”，单击“要颁发的证书模板“。

Step 43

选中我们自己创建的新OCSP响应签名模板，点击”确定“后即可发布该模板。这样我们就可以申请到以这个模板创建的证书了。

步骤七、配置证书自动注册

Step 44

登陆域控制器，打开“组策略管理”管理单元，右键编辑Default Domain Policy，展开至“用户配置”->“策略”->”Windows设置”->“安全设置”->“公钥策略”，右键点击“证书服务器客户端-自动注册”。单击“属性”。

Step 45

启用该模板，并且勾选“续订过期证书、更新未决证书并删除吊销的证书”和“更新使用证书模板的证书”。

Step 46

回到证书服务器，打开CMD，输入命令“gpupdate/force”。回车后等待组策略刷新，重启证书服务器。

步骤八、创建吊销配置

Step 47

打开“证书”管理单元，展开至 证书（本地计算机）->个人->证书，看是否包含一个预期目的为“OCSP签名”的证书。右键点击它，点击“管理私钥”。

Step 48

点击添加，输入NETWORK SERVICE，点击确定

Step 49

单击NETWORK SERVICE，确保选中，然后勾选“完全控制”。点击“确定”。

Step 50

打开“联机响应程序”管理单元。在右侧操作窗格内，点击“添加吊销配置”。点击“下一步”。

Step 51

为吊销配置定义一个名称。

Step 52

勾选“选择现有企业CA的证书”

Step 53

点击“浏览”，选中当前CA。

Step 54

缺省配置，勾选“自动注册OCSP签名证书”。点击下一步。

Step 55

打开“证书颁发机构”管理单元，双击一个已颁发的证书，切换到“详细信息”选项卡。

Step 56

找到“CRL分发点”字段，复制CRL的URL。

Step 57

回到吊销配置向导，点击“提供程序”。点击“添加”，输入我们刚拷贝的URL。这一切都做完后，就可以点击完成了。

Step 58

如果配置正确，打开数组配置后，应该能看到签名证书的状态是确定。

到目前为止，AD CS角色的颁发机构和联机响应就配置完成了。接下来我们会配置证书Web服务，证书注册策略Web服务，证书颁发机构Web注册三个角色，鉴于篇幅的原因，这三个内容会放在我的下一篇博客中讲述。配置CA的过程中，我也是参照官方的文档在摸索，其中也少不了同事的一些意见和建议，给了我不少的帮助。相信把这一系列Lab做完，在对PKI的理解上也能更上一层楼，在此，与君共勉。