MIS之IT基礎建設(10)-Windows Server 2012 R2 CA Server 建立

架設一台企業根 Enterprise root CA。因為之後有些服務可能會使用到憑證理如Exchang & IIS & workfolder &ADRMS。等服務可以直接來申請使用,當然如果是提供給外部使用者的服務如果需要使用到憑證那就必須要從第三方憑證發放中心來申請當然這就是需要費用的囉。

安裝CA角色

勾選 AD 憑證服務

ca1

因為需要讓用戶可以透過web申請,勾選憑證授權單位網頁註冊

ca2

安裝完成後,點選設定AD憑證服務

ca3

使用domain admins 來認證

ca4

將角色服務勾選,此選項只能勾選前面步驟選擇安裝的角色

ca5

選擇企業CA

ca6

選擇根CA

ca7

因為是新安裝的CA所以選擇建立私密金鑰

ca8

密碼編譯,依需求選擇即可

ca9

修改 CA 名稱

ca10

設定憑證有效日期

ca11

依照需求修改CA資料庫及Log路徑

ca12

確認後,點選[設定]

ca13

CA基本設定完畢

ca14

當完成CA安裝設定後,可以利用GPO佈署RootCA用戶端讓用戶信RootCA

開啟CA管理工具

匯出Root CA

ca15

在一般頁點選[檢視憑證]

ca16

詳細資料標籤> 複製到檔案

ca17

出現匯出精靈

ca18

選擇 DER編碼

ca19

設定匯出的檔名及存放路徑

ca20

點選完成就匯出成功

ca21

GPO佈署RootCA

因為是要讓網域內電腦都信任此RootCA,在前面步驟匯出的憑證copy到DC上,然後編輯群組原則Default Domain Policy 將憑證匯入後部署下去

電腦原則 > 原則 > Windows 設定 > 安全性設定 > 公開金鑰原則 > 受信任的根憑證授權單位

輸入前面匯出的rootca 路徑

ca22

ca23

匯入完成

ca25

用戶執行gpupdate /force,就會看到佈署rootca成功

ca26

本文同步發表於IT幫鐵人賽 :

http://ithelp.ithome.com.tw/ironman7/app/article/all/recent/10158194



本篇瀏覽人數: 4399
分類: 2014-IT邦幫忙鐵人賽(第七屆)。這篇內容的永久連結

在〈MIS之IT基礎建設(10)-Windows Server 2012 R2 CA Server 建立〉中有 4 則留言

  1. newbieMIS表示:

    您好,有些問題想請教,先說明我的目的:”讓client透過windows server建立的AD來登入,並使用TLS加密連線”
    目前已做到建立AD、client登入,但在TLS連線交握一直失敗。
    您的文章中提到要讓用戶信任RootCA(這個步驟我還沒完成),不曉得是否跟這有關?
    但完成這個步驟後依舊無法成功
    感謝您撥冗查看~

    • 榮哥表示:

      您好
      這個我沒有研究,不過如果你方便將你AD 和用戶端做那些設定分享一下
      我也想來研究一下 如何解決您的問題。

  2. giyang表示:

    請問如果CA Server 要移轉,在CA server 停止服務中,發出去的憑證會馬上失效嗎?

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *