实验:配置在线应答器

实验环境:

LON-DC1  Windows2012R2  172.16.0.10 AD+CA

LON-SVR2 Windows2012R2  172.16.0.24 联系响应程序服务器


实验步骤:

使用域管理员账号登入LON-SVR2,运行powershell命令:Add-WindowsFeature adcs-online-cert -IncludeManagementTools

wKiom1UCUTexKzFZAALgWD0PtuQ039.jpg

安装完毕后,我们需要对其进行配置,从服务器管理器面板中点击"配置目标服务器上的Active Directory证书服务"

wKiom1UCUeGwnD6JAAPuJbmVohI457.jpg

在设置向导中,默认使用域管理员凭证,点击下一步,选择联机响应程序

wKioL1UCVjDDbPKPAAOUYSyaksI976.jpg

然后跟随向导提示,一直点击下一步,直到完成配置

wKiom1UCVWeAMbKDAANRNuf5oKs789.jpg

配置好联机响应程序后,登录LON-DC1打开证书颁发机构控制台,并打开Adatum-IssuingCA的属性页面

wKioL1UCgLziNVgCAANk6FYk7_k628.jpg

切换到"扩展"选项卡,选择"授权信息访问AIA",并添加一个URL地址http://LON-DC1/ocsp,然后勾选"包含在颁发的证书的AIA扩展中"和"包括在在线证状态书协议OCSP的扩展中"

wKiom1UCgKXxD5MhAAQbVnD0FfI128.jpg

设置完成后,会要求重启证书服务,我们点击"是"

wKiom1UCgPOzaGk2AAQ0Zu0u52o728.jpg

重启完成后,我们右键点击证书颁发机构控制台中的证书模板,选择"管理"

wKioL1UCgpCTtnn4AAI8seoCaR0464.jpg

找到"OCSP响应签名"模板,双击打开它,将安全选项卡中的Authenticated Users指派注册权限

wKiom1UCgx7Qjm2IAAR0X3D2Y2g809.jpg

修改完毕后,我们回到证书颁发机构控制台,将修改后的模板加入到证书模板容器中,右键点击"证书模板",选择新建->要颁发的证书模板

wKioL1UChMyzhOPtAAOG6odnslk180.jpg

然后将我们修改后的OCSP响应签名模板加入到证书模板中

wKioL1UChRbBIMzRAAN5TalCagA790.jpg

做完以上设置后,我们切换到LON-SVR2,从服务器管理器中打开联机响应程序管理控制台

wKiom1UChFuxccL6AAR2gRyCvko623.jpg

右键点击控制台中的"吊销设置",选择"添加吊销配置"

wKioL1UChfawW-XpAAJihGWyjss371.jpg

在新增吊销向导中,填入吊销配置的名称"AdatumCA联机响应程序"

wKioL1UChrWC-baJAANSf5mPv9M057.jpg

进入一下步,选择CA证书位置,因为我们的实验是AD域环境,所以我们默认使用第一个选项即可,直接点击下一步

wKiom1UChjCSJZHrAAO4huzbd0U167.jpg

选择CA证书页面中,我们点击浏览,选择CA证书Adatum-IssuingCA,然后点击下一步

wKiom1UChn2Cp4Q1AAPybATjoBQ068.jpg

选择签名证书页面,我们保持默认的设置,点击下一步

wKioL1UCiB7iZ1NzAAP9rae8pYU682.jpg

然后我们可以看到,向导开始进行吊销配置的设置

wKioL1UCiHWDzfZGAAOELPjsBOg188.jpg

完成向导后,在联机响应程序管理控制台的右侧面板中,我们可以看到"AdatumCA联机响应程序 工作"的文字描述,说明我们的联机响应程序已经成功设置好

wKiom1UCiG_QZNGjAAPizoVmb08081.jpg