用Windows Server 2012 R2 搭建二层证书服务结构 Part 3

用Windows Server 2012 R2 搭建二层证书服务结构 Part 3

二:配置CA02和DC01

1.将DC01改名,配置IP,安装AD域服务,提升为域控制器,域名为Contoso.com,林和域级别2012，因为我环境还有别的2012的服务器。

2.将CA02改名，配置IP，加域。

3.建立一个账号，sysdep，该账号需要拥有Domain Admins,Enterprise Admins,Schema Admins，我俗称为三大Admin权限。

4.在CA02上配置RootCA的证书：

• 登录到CA02上，将CA01的C:\Cert文件夹下的内容考到本地C盘

• 以管理员身份打开Powershell，CD目录到本地C:\Cert下，输入：

certutil –dspublish –f CA01_ContosoRootCA.crt RootCA
certutil –addstore –f root CA01_ContosoRootCA.crt
certutil –addstore –f root ContosoRootCA.crl

5. 添加DNS记录：

• 在DC01上添加一条DNS的A记录，www.contoso.com---192.168.1.2 即我们的CA02，因为我们之前定义了CRL的地址是http://www.contoso.com/pki。

6.配置CA02的CRL：

• 登录CA02，以管理员身份打开Powershell，输入：

New-item -path c:\pki –type directory

write-output "Example CPS statement" | out-file c:\pki\cps.txt

new-smbshare -name pki C:\pki -FullAccess SYSTEM,"Contoso\Domain Admins" -ChangeAccess "Contoso\Cert Publishers"

7.打开CA02的IIS管理工具，记得先在Roles里面添加以下IIS，默认的IIS功能即可。

• 打开CA02节点，找到Sites，Default Web Site：

• 右键选择添加虚拟目录：

• 别名输入pki,物理位置就是我们刚才建立的pki文件夹，如图：

• 选中新建的pki后，单击身份验证，再点击右侧的编辑权限：

• 点击安全选项卡，添加Cert Publishers组。

• 之后再在添加对象类型中，勾选服务账号，查找位置CA02，添加IIS AppPool\DefaultAppPool

• 为Cert Publishers组添加修改权限：

• 保存后，定位到请求筛选

• 

• 在文件扩展名选项卡，选择编辑功能设置：

• 勾选允许双重转义：

• 打开powershell，运行iisreset。

8.为CA02安装证书服务：

• 与CA01一样，配置CAPolicy.inf文件

[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID= 1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=http://www.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1

 

• 安装角色：

 

• 点击配置目标服务器上的证书服务：

• 修改从属CA02的名称：

• 因为我们的根CA没有加域，所以需要生成证书申请文件手动去跟CA申请证书。

• 这里的警告是正常的，我们要手动申请证书。

 

转载于:https://blog.51cto.com/mingwang/1338833