记防火墙认证功能配置详解
目录
一、准备工作 2
二、架设证书服务器 2
三、申请证书 16
四、颁发证书 22
五、下载证书 24
六、 下载根证书保存到本地,目的是导入到防火墙中 29
七、 将根 CA 导入到防火墙设备中 30
附录 42
版本修订记录
版本号 修改内容 修改人 修改日期 审核人
V1.0 新建&增加新内容模块 – 2021/6/29
一、准备工作
1、准备一台物理或虚拟的计算机中安装windowsserver2008企业版;
2、这台计算机将作为证书服务器的根CA并颁发证书,建议创建一个分区(如:D盘),该分区至少10GB可用空间;
3、DigitalChinaUKeyAdm.exe (软件见附件)管理软件,用来制作USB-Key;
4、USB-Key(图片见附录)。
二、架设证书服务器
为了管理方便,可以只架设一台服务器作为根CA,证书的申请、颁发、USB-Key的制作都可以在本地完成,证书颁发完成之后,CA服务器建议脱机管理(比如关机)。
新建虚拟机,选择WINSER208镜像,不用填写激活码直接点击下一步直到完成,等待系统安装完成
2.1登录到windowsserver2008系统,打开“服务器管理”,选择角色→添加角色。
2.2选择“下一步”到“服务器角色”,选中“ActiveDirectory证书服务”,需要注意的是虽然这里安装的是“ActiveDirectory证书服务”但是并不一定要在域环境下安装部署,选择“下一步”。
2.3如图可以查看安装ActiveDirectory证书服务的一些说明及注意事项,选择“下一步”
2.4选择为“ActiveDirectory证书服务”安装的角色服务,选择“证书颁发机构”、“证书颁发机构Web注册”和“联机响应程序”,选择“证书颁发机构Web注册”会弹出一个“添加角色向导”的窗口,选择“添加必须的角色服务”,选择“下一步”。
2.6因为是第一次安装部署证书服务器,因此选择“根CA”,“子级CA”是在CA证书服务器已经部署好之后我们还需要部署CA服务器时选择,选择“下一步”。
2.7创建私钥,因为是第一次部署,因此选择“新建私钥”,选择“下一步”。
2.8为CA配置加密,这里接受默认设置并可以,建议勾选“使用CSP提供的强私钥保护功能”,选择“下一步”。
2.9配置CA的名称,可分辨名称后缀可以留空,选择“下一步”
2.10选择此CA服务器颁发的证书有效期,选择“下一步”。
2.11选择CA数据文件与日志文件的保存位置,保存到创建的分区里面,选择“下一步”
2.12安装“ActiveDirectory证书服务”需要安装Web服务器(IIS),可以通过Web进行证书申请,选择“下一步”。
2.13选择IIS角色服务,根据企业实际需求来选择,正常默认即可,选择“下一步”
2.14到这里已经完成“ActiveDirectory证书服务”的配置,选择“安装”,安装完成之后建议重启系统,以保证所有服务都正常启用。
2.15选择开始→管理工具→CertificationAuthority,查看“ActiveDirectory证书服务”是否正确安装。
三、申请证书
3.1设置IE浏览器安全功能,选择配置IEESC→选择两个禁用,确定。
3.2通过http://localhost/certsrv,进入到如图所示的页面,选择申请证书,当网页弹出安全相关提示栏时选择如图所示,后续选择是进行下一步操作。
3.2选择“高级证书申请“→“创建并向此CA提交一个申请”,并完成信息录入,申请格式一定要选择“PKCS10”
四、颁发证书
用户提交证书申请之后,证书服务器管理员登录到服务器,打开管理工具→CertificationAuthorit→挂起的申请,查看证书申请请求,右键证书请求→属性→颁发,对证书进行颁发,选择“颁发的证书”可以查看成功颁发的证书。
五、下载证书
5.1访问http://localhost/certsrv,,点击查看挂起的证书申请的状态,选择所申请的证书,安装此证书.
5.2 导出证书 打开 IE,选择工具Internet 选项内容证书,将证书导出到本地计算机 用于制作 USB-Key。
六、 下载根证书保存到本地,目的是导入到防火墙中
通过访问 http://loaclhost/rectsrv,,选择“下 载证书、证书链或 CRL ”,选中 CA 证书中的当前证书,点击“下载证书”保存 到本地。
七、 将根 CA 导入到防火墙设备中
7.1 登录防火墙(以N系列防护墙5.5为例),选择用户系统→PKI,新建一个密钥。
7.2 创建信任域
输入信任域名称
依次输入信任域名称→选择手动输入→导入CA证书(certnew.cer)→选择上一步创建的密钥对→点击申请证书。
429
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
