架設一台企業根 Enterprise root CA。因為之後有些服務可能會使用到憑證理如Exchang & IIS & workfolder &ADRMS。等服務可以直接來申請使用,當然如果是提供給外部使用者的服務如果需要使用到憑證那就必須要從第三方憑證發放中心來申請當然這就是需要費用的囉。
安裝CA角色
勾選 AD 憑證服務
因為需要讓用戶可以透過web申請,勾選憑證授權單位網頁註冊
安裝完成後,點選設定AD憑證服務
使用domain admins 來認證
將角色服務勾選,此選項只能勾選前面步驟選擇安裝的角色
選擇企業CA
選擇根CA
因為是新安裝的CA所以選擇建立私密金鑰
密碼編譯,依需求選擇即可
修改 CA 名稱
設定憑證有效日期
依照需求修改CA資料庫及Log路徑
確認後,點選[設定]
CA基本設定完畢
當完成CA安裝設定後,可以利用GPO佈署RootCA用戶端讓用戶信RootCA
開啟CA管理工具
匯出Root CA
在一般頁點選[檢視憑證]
詳細資料標籤> 複製到檔案
出現匯出精靈
選擇 DER編碼
設定匯出的檔名及存放路徑
點選完成就匯出成功
GPO佈署RootCA
因為是要讓網域內電腦都信任此RootCA,在前面步驟匯出的憑證copy到DC上,然後編輯群組原則Default Domain Policy 將憑證匯入後部署下去
電腦原則 > 原則 > Windows 設定 > 安全性設定 > 公開金鑰原則 > 受信任的根憑證授權單位
輸入前面匯出的rootca 路徑
匯入完成
用戶執行gpupdate /force,就會看到佈署rootca成功
本文同步發表於IT幫鐵人賽 :
http://ithelp.ithome.com.tw/ironman7/app/article/all/recent/10158194
本篇瀏覽人數: 8373
您好,有些問題想請教,先說明我的目的:”讓client透過windows server建立的AD來登入,並使用TLS加密連線”
目前已做到建立AD、client登入,但在TLS連線交握一直失敗。
您的文章中提到要讓用戶信任RootCA(這個步驟我還沒完成),不曉得是否跟這有關?
但完成這個步驟後依舊無法成功
感謝您撥冗查看~
您好
這個我沒有研究,不過如果你方便將你AD 和用戶端做那些設定分享一下
我也想來研究一下 如何解決您的問題。
請問如果CA Server 要移轉,在CA server 停止服務中,發出去的憑證會馬上失效嗎?
您好
我沒有很確定,但我認為不會
你好請問憑證匯出要匯入網域共享資料夾上,路徑是要用本機路徑還是unc網路路徑呢?
網域內的使用者才會信任憑證嗎?
您好
匯出後 在匯入 沒有所有本機或unc 路徑,只是你再匯入時要找的到就好