用Windows Server 2012 R2 搭建二层证书服务结构 Part 1:
该文章中的示例同样适用于SCCM 2012 R2系列中的证书部署,就不在SCCM专题中再次讲述了。
实验环境:
CA01:Root证书服务器,平时应处于关机状态做保存。
IP :192.168.1.1
CA02:子证书服务器,也是Enterprise 企业证书服务器,需要加入Contoso.com域中(我的实验环境的域名均为Contoso.com)。
IP:192.168.1.2
DC01:DC域控制器,DNS服务器。
IP:192.168.1.3
Client01:测试证书是否正常的客户端。
IP 192.168.1.200
第一步:配置RootCA
1.安装操作系统,配置IP,更改计算机名称。
2.配置CAPolicy.inf文件:
打开PowerShell, 输入:notepad c:\Windows\CAPolicy.inf 回车。
点击是,创建新文件。
输入下列内容,如果环境有XP,不要输入最后一行,XP不支持该方式。:
[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID= 1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=http://www.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=20
CRLPeriod=weeks
CRLPeriodUnits=26
CRLDeltaPeriod=Days
CRLDeltaPeriodUnits=0
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1
点击另存为,名称为CAPolicy.inf,文件类型为所有文件,编码为ANSI:
弹出是否替换现有文件,选择是。
3.安装RootCA服务:
添加服务中选择AD证书服务:
只选择证书颁发机构即可:
等待安装完成后,点击下边的蓝字,配置目标服务器上的证书服务:
提供相应的凭据,我们使用本地的管理员:
勾选要配置的服务:
RootCA不加域,因此只可以选择独立CA:
选择根CA:
选择创建新的私钥:
按下图信息配置加密选项:
设置CA的公用名称:
设置有效期:
设置数据库位置,默认即可。
确认信息无误,点击配置:
配置完成,关闭窗口
转载于:https://blog.51cto.com/mingwang/1338756