四、DA服务器配置(即边缘服务器)
DA服务器需要2块网卡,一块用来连接内网,另一块用来连接公网,且网卡均需要指定DNS后缀,这是DA的需求。
内网卡配置如下,注意,不要填写默认网关地址
指定DNS后缀
外网卡配置信息,如下所示
注意,外网卡有2个外网地址
指定外网卡DNS后缀
安装IIS,采用默认安装
提示IIS安装成功
获取边缘服务器证书。
在运行窗口中输入mmc回车后打开控制台,点击文件下拉菜单,选择“添加/删除管理单元”
选中可用的管理单元中的“证书”,点击“添加”,选择“计算机帐户”
勾选“本地计算机(运行此控制台的计算机)”,点击“完成”
逐次展开证书—》个人—》证书,然后再中间空白处右击,选择“所有任务”子菜单“申请新证书”
选中“ActiveDirectory 注册策略”,下一步
勾选“WebServer 2012 R2”,并点击“注册此证书需要详细信息。单击这里以配置设置”
使用者名称下类型,选择“公用名”,值填写:DA2012.sxleilong.com,然后点击“添加”,备用名称下可写可不写,如果想写,可选中类型DNS,值和上边一样
切换到“常规”选项卡,填写友好的名称“IP-HTTPSCertificate”,点击“确定”
下一步,直到提示AD注册策略成功,点击“完成”
关闭控制台1,此时会提示是否将控制台设置存入控制台1,点击“否”
创建虚拟目录。
打开IIS管理器,展开到“Default Web Site”并右击,选择“添加虚拟目录”
填写别名CRLD,指定物理路径,因为目前没有物理路径,所以需要创建该路径,选中C盘,点击“新建文件夹”,变更名称为CRLDist
选中刚创建的虚拟目录,点击中间“配置编辑器”
节中依次选择“system.webServer\security\authentication\requestFiltering”,更改allowDoubleEscaping的值为True
配置证书分发点文件夹权限。
选中刚创建的文件夹CRLDist,并进行隐藏共享
点击“权限”,然后赋予AD(域控)计算机完全控制权限
打开CRLDist文件夹属性,切换到“安全”选项卡,点击“编辑”,赋予AD计算机完全控制权限
发布证书分发点。
回到CA服务器(AD),打开证书颁发机构,选择“吊销的证书”并右击,选则所有任务的子菜单“发布”
选中“新的CRL”,点击“确定”
访问DA2012服务器上的crldist共享文件可以看到有生成文件
转载于:https://blog.51cto.com/sxleilong/1351743