「Active Directory Certificate Services」 是以「PKI」為基礎的「安全性通訊協定」,「SSL (Secure Socket Layer)」也是同樣。
無論是「電子郵件保護」或「SSL」網站安全連線,都被必須申請「憑證 (Certification)」,才可以使用「公開金鑰」來執行資料「加密」與「身分驗證」的動作,憑證就好像是「汽車駕駛」一樣,必須擁有「汽車駕駛執照 (憑證)」才能開車 (使用金鑰)。而負責發放憑證的機構被稱為「憑證授權單位 (Certification Authority,CA)」。
使用者或網站的「公開金鑰」與「私密金鑰」是如何產生的呢? 在申請「憑證」時,需要輸入「姓名」、「地址」、「電子郵件信箱」..等資料,這些程式會被傳送到一個稱為「CSP (Cryptographic Service Provider)」的程式,此程式已經被安裝在申請者的「電腦內」或 此「電腦可以存取的設備內」。
如果使用「Active Directory Certificate Services」來提供「CA」服務的話,則您可以選擇將「CA」設定為下面角色:
「企業根 Enterprise root CA」
企業根「CA」需要「Active Directory」網域,您可以將企業根「CA」安裝到「網域控制站」或「成員伺服器」。企業根「CA」發放憑證的對象僅限「網域使用者」,當「網域 使用者」來申請「憑證」時,企業根「CA」可以從「Active Directory」來得知該「使用者」的「相關資訊」,並據以決定使用者「是/否」有「權利來申請所需憑證」。
大部份情況之下,企業根「CA」主要應該是用來發放「憑證」給「次級CA」,雖然 「企業」根 CA 還是可以發放「保護電子郵件安全」、「網站 SSL 安全連線」等憑證,不過應該將發放這些「憑證」的工作交付給「次級 CA」來負責。
「企業次級 Enterprise subordinate CA」
「企業次級 CA」 也需要「Active Directory」網域,「企業次級 CA」適合用於來發放「保護電子郵件安全」、「網站 SSL 安全連線」等憑證。「企業次級 CA」必須向其「父系 CA (例如企業根 CA) 取得憑證以後」,才會正常運作,「企業次級 CA」也可以發放憑證給再下一層的「次級CA」。
「獨立根 Standalone root CA」
「獨立 根 CA」的腳色與功類似於「企業根CA」,但不需要「Active Directory」網域,扮演「獨立 根 CA」腳色的電腦,都可以是「獨立的伺服器」、「成員伺服器」或「網域控制站」,無論「是/否」網域「使用者」,都可以向「獨立 根 CA」,申請憑證。
「獨立次級 Standalone subordinate CA」
「獨立 次級 CA」的腳色與功類似於「企業次級 CA」,但不需要「Active Directory」網域,扮演「獨立 次級 CA」腳色的「電腦」可以是「獨立伺服器」、「成員伺服器」、「網域控制站」。無論「是/否」 網域使用者,都可以向「獨立 次級 CA」申請憑證。
由於此篇講的是「AD」憑證,「IIS」的「SSL」在此不做討論。
新增「伺服器角色」=>「Active Directory 憑證服務」
預設會自動勾選「憑證授權單位」
PS. 如需要使用「網頁」註冊「AD 憑證」,勾選「憑證授權單位網頁註冊」
新增「IIS」所需「服務」
勾選「線上回應」
由於這是「AD 網域」架構,安裝「企業」
選擇「根」
建立「新的私密金鑰」
選擇「加密」模式
設定「CA 憑證名稱」,系統會自動帶入
選擇「有效期限」
AD 憑證「資料」檔,存放位置
接著就開啟 安裝「IIS」
預設會勾選「所需」的服務
檢查一下...
安裝嚕...
安裝完畢 ^_^"
接著開啟「伺服器管理員」,會找到「Active Directory 憑證服務」和「網頁伺服器 (IIS)」
預設值,啟用「CertSrv」目錄
Clinet 如何透過「Http」安裝「AD 憑證」?
透過「http://網域/CertSrv」or「Http://xxx.xx.xx.xx/CertSrv」,可以輸入「網域」的「帳戶」
點選「要求憑證」
點選「使用者憑證」
點選「是」
PS. IE 「8」 or 「9」,會關閉「ActiveX」相關控制,記得要設定 ( 工具=>網際網路選項=>安全性=>網際網路=>自訂等級 )
點選「是」
點選「其他選項」
點選「提交」
點選「是」
點選「是」
點選「安裝這個憑證」
點選「安裝此CA憑證」
點選「開啟」
1. 這時候會顯示「這個 CA 憑證不受信任」,這是因為 是「私人憑證」,不是「公信單位」申請。
2. 點選「安裝憑證」
點選「下一步」
點選「下一步」
點選「完成」
「確定」
接著 開啟「IE」=>「工具」=>「網際網路選項」=>「內容」=>「憑證」
在「中繼憑證授權單位」,就會找到「註冊」的「憑證」
在「已發出的憑證」可以找到「註冊」出去的「憑證」
同時也能進行「撤銷憑證」
=========================================
參考資料:
「The Will Will Web」-「購買與安裝 SSL 憑證完全攻略 (以 IIS7 為例)」
「Sign in Taiwan CSS Platform Team」-「CA 到期後,如何延長期限 ?」
「Mircosoft」-「不受信任的憑證」
無論是「電子郵件保護」或「SSL」網站安全連線,都被必須申請「憑證 (Certification)」,才可以使用「公開金鑰」來執行資料「加密」與「身分驗證」的動作,憑證就好像是「汽車駕駛」一樣,必須擁有「汽車駕駛執照 (憑證)」才能開車 (使用金鑰)。而負責發放憑證的機構被稱為「憑證授權單位 (Certification Authority,CA)」。
使用者或網站的「公開金鑰」與「私密金鑰」是如何產生的呢? 在申請「憑證」時,需要輸入「姓名」、「地址」、「電子郵件信箱」..等資料,這些程式會被傳送到一個稱為「CSP (Cryptographic Service Provider)」的程式,此程式已經被安裝在申請者的「電腦內」或 此「電腦可以存取的設備內」。
如果使用「Active Directory Certificate Services」來提供「CA」服務的話,則您可以選擇將「CA」設定為下面角色:
「企業根 Enterprise root CA」
企業根「CA」需要「Active Directory」網域,您可以將企業根「CA」安裝到「網域控制站」或「成員伺服器」。企業根「CA」發放憑證的對象僅限「網域使用者」,當「網域 使用者」來申請「憑證」時,企業根「CA」可以從「Active Directory」來得知該「使用者」的「相關資訊」,並據以決定使用者「是/否」有「權利來申請所需憑證」。
大部份情況之下,企業根「CA」主要應該是用來發放「憑證」給「次級CA」,雖然 「企業」根 CA 還是可以發放「保護電子郵件安全」、「網站 SSL 安全連線」等憑證,不過應該將發放這些「憑證」的工作交付給「次級 CA」來負責。
「企業次級 Enterprise subordinate CA」
「企業次級 CA」 也需要「Active Directory」網域,「企業次級 CA」適合用於來發放「保護電子郵件安全」、「網站 SSL 安全連線」等憑證。「企業次級 CA」必須向其「父系 CA (例如企業根 CA) 取得憑證以後」,才會正常運作,「企業次級 CA」也可以發放憑證給再下一層的「次級CA」。
「獨立根 Standalone root CA」
「獨立 根 CA」的腳色與功類似於「企業根CA」,但不需要「Active Directory」網域,扮演「獨立 根 CA」腳色的電腦,都可以是「獨立的伺服器」、「成員伺服器」或「網域控制站」,無論「是/否」網域「使用者」,都可以向「獨立 根 CA」,申請憑證。
「獨立次級 Standalone subordinate CA」
「獨立 次級 CA」的腳色與功類似於「企業次級 CA」,但不需要「Active Directory」網域,扮演「獨立 次級 CA」腳色的「電腦」可以是「獨立伺服器」、「成員伺服器」、「網域控制站」。無論「是/否」 網域使用者,都可以向「獨立 次級 CA」申請憑證。
由於此篇講的是「AD」憑證,「IIS」的「SSL」在此不做討論。
新增「伺服器角色」=>「Active Directory 憑證服務」
預設會自動勾選「憑證授權單位」
PS. 如需要使用「網頁」註冊「AD 憑證」,勾選「憑證授權單位網頁註冊」
新增「IIS」所需「服務」
勾選「線上回應」
由於這是「AD 網域」架構,安裝「企業」
選擇「根」
建立「新的私密金鑰」
選擇「加密」模式
設定「CA 憑證名稱」,系統會自動帶入
選擇「有效期限」
AD 憑證「資料」檔,存放位置
接著就開啟 安裝「IIS」
預設會勾選「所需」的服務
檢查一下...
安裝嚕...
安裝完畢 ^_^"
接著開啟「伺服器管理員」,會找到「Active Directory 憑證服務」和「網頁伺服器 (IIS)」
預設值,啟用「CertSrv」目錄
Clinet 如何透過「Http」安裝「AD 憑證」?
透過「http://網域/CertSrv」or「Http://xxx.xx.xx.xx/CertSrv」,可以輸入「網域」的「帳戶」
點選「要求憑證」
PS. IE 「8」 or 「9」,會關閉「ActiveX」相關控制,記得要設定 ( 工具=>網際網路選項=>安全性=>網際網路=>自訂等級 )
點選「是」
點選「其他選項」
點選「安裝這個憑證」
點選「安裝此CA憑證」
點選「開啟」
1. 這時候會顯示「這個 CA 憑證不受信任」,這是因為 是「私人憑證」,不是「公信單位」申請。
2. 點選「安裝憑證」
點選「下一步」
點選「下一步」
點選「完成」
「確定」
接著 開啟「IE」=>「工具」=>「網際網路選項」=>「內容」=>「憑證」
在「中繼憑證授權單位」,就會找到「註冊」的「憑證」
在「已發出的憑證」可以找到「註冊」出去的「憑證」
同時也能進行「撤銷憑證」
=========================================
參考資料:
「The Will Will Web」-「購買與安裝 SSL 憑證完全攻略 (以 IIS7 為例)」
「Sign in Taiwan CSS Platform Team」-「CA 到期後,如何延長期限 ?」
「Mircosoft」-「不受信任的憑證」
沒有留言:
張貼留言