2012年1月14日 星期六

S小魚仔S Windows Server 2008 R2 AD CS (AD憑證服務)

Active Directory Certificate Services」 是以「PKI」為基礎的「安全性通訊協定」,「SSL (Secure Socket Layer)」也是同樣。
無論是「電子郵件保護」或「SSL」網站安全連線,都被必須申請「憑證 (Certification)」,才可以使用「公開金鑰」來執行資料「加密」與「身分驗證」的動作,憑證就好像是「汽車駕駛」一樣,必須擁有「汽車駕駛執照 (憑證)」才能開車 (使用金鑰)。而負責發放憑證的機構被稱為「憑證授權單位 (Certification Authority,CA)」。

使用者或網站的「公開金鑰」與「私密金鑰」是如何產生的呢? 在申請「憑證」時,需要輸入「姓名」、「地址」、「電子郵件信箱」..等資料,這些程式會被傳送到一個稱為「CSP (Cryptographic Service Provider)」的程式,此程式已經被安裝在申請者的「電腦內」或 此「電腦可以存取的設備內」。

如果使用「Active Directory Certificate Services」來提供「CA」服務的話,則您可以選擇將「CA」設定為下面角色:

企業根 Enterprise root CA
企業根「CA」需要「Active Directory」網域,您可以將企業根「CA」安裝到「網域控制站」或「成員伺服器」。企業根「CA」發放憑證的對象僅限「網域使用者」,當「網域 使用者」來申請「憑證」時,企業根「CA」可以從「Active Directory」來得知該「使用者」的「相關資訊」,並據以決定使用者「是/否」有「權利來申請所需憑證」。
大部份情況之下,企業根「CA」主要應該是用來發放「憑證」給「次級CA」,雖然 「企業根 CA 還是可以發放「保護電子郵件安全」、「網站 SSL 安全連線」等憑證,不過應該將發放這些「憑證」的工作交付給「次級 CA」來負責。

企業次級 Enterprise subordinate CA
企業次級 CA」 也需要「Active Directory」網域,「企業次級 CA」適合用於來發放「保護電子郵件安全」、「網站 SSL 安全連線」等憑證。「企業次級 CA」必須向其「父系 CA (例如企業根 CA) 取得憑證以後」,才會正常運作,「企業次級 CA」也可以發放憑證給再下一層的「次級CA」。

獨立根 Standalone root CA
獨立 根 CA」的腳色與功類似於「企業根CA」,但不需要「Active Directory」網域,扮演「獨立 根 CA」腳色的電腦,都可以是「獨立的伺服器」、「成員伺服器」或「網域控制站」,無論「是/否」網域「使用者」,都可以向「獨立 根 CA」,申請憑證。

獨立次級 Standalone subordinate CA
獨立 次級 CA」的腳色與功類似於「企業次級 CA」,但不需要「Active Directory」網域,扮演「獨立 次級 CA」腳色的「電腦」可以是「獨立伺服器」、「成員伺服器」、「網域控制站」。無論「是/否」 網域使用者,都可以向「獨立 次級 CA」申請憑證。

由於此篇講的是「AD」憑證,「IIS」的「SSL」在此不做討論。

新增「伺服器角色」=>「Active Directory 憑證服務



預設會自動勾選「憑證授權單位
PS. 如需要使用「網頁」註冊「AD 憑證」,勾選「憑證授權單位網頁註冊

新增「IIS」所需「服務

勾選「線上回應

由於這是「AD 網域」架構,安裝「企業

選擇「

建立「新的私密金鑰

選擇「加密」模式

設定「CA 憑證名稱」,系統會自動帶入

選擇「有效期限

AD 憑證「資料」檔,存放位置

接著就開啟 安裝「IIS

預設會勾選「所需」的服務

檢查一下...

安裝嚕...

安裝完畢 ^_^"

接著開啟「伺服器管理員」,會找到「Active Directory 憑證服務」和「網頁伺服器 (IIS)

預設值,啟用「CertSrv」目錄

Clinet 如何透過「Http」安裝「AD 憑證」?

透過「http://網域/CertSrv」or「Http://xxx.xx.xx.xx/CertSrv」,可以輸入「網域」的「帳戶

點選「要求憑證
點選「使用者憑證
點選「
PS. IE 「8」 or 「9」,會關閉「ActiveX」相關控制,記得要設定 ( 工具=>網際網路選項=>安全性=>網際網路=>自訂等級 )

點選「

點選「其他選項

點選「提交

點選「

點選「

點選「安裝這個憑證

點選「安裝此CA憑證

點選「開啟

1. 這時候會顯示「這個 CA 憑證不受信任」,這是因為 是「私人憑證」,不是「公信單位」申請。
2. 點選「安裝憑證

點選「下一步

點選「下一步

點選「完成

確定

接著 開啟「IE」=>「工具」=>「網際網路選項」=>「內容」=>「憑證

在「中繼憑證授權單位」,就會找到「註冊」的「憑證

在「已發出的憑證」可以找到「註冊」出去的「憑證

同時也能進行「撤銷憑證



=========================================
參考資料:

「The Will Will Web」-「購買與安裝 SSL 憑證完全攻略 (以 IIS7 為例)

Sign in Taiwan CSS Platform Team」-CA 到期後,如何延長期限 ?

「Mircosoft」-「不受信任的憑證

沒有留言:

張貼留言