所有交易的奇： 证书更加轻松

建立自己的机制来生成安全证书已不再像很多人认为的那样复杂。

Greg Shields

您已看过这万倍。 或许是在一篇文章上保护 IIS，或者，也许是签名 Windows PowerShell 脚本中的步骤之一。 它是证明您将任何 IT 知识文库文章中会遇到的最 reviled 语句之一。 其实是这样："安装受信任的证书使用内部证书服务服务器或通过购买一个从公共证书颁发机构 [CA]，然后 …"

Argh。 证书是我们存在的不幸。 安装它们很多时候是工作停止障碍。 通常有两个选项。 您执行任何操作，但时间和精力才能设置您自己的证书服务服务器的第一个成本。 第二个要求的开销可能会受信任第三方购买证书。 只需获得批准的成本会很难。

证书是看似无处不作为用于身份验证和数据加密机制。 您可能会说尽管证书不就那么重要。 与其他解决方案相比，它们为满足安全需求的一种简单方法。 使用完全正常的 Active Directory 证书服务 (AD CS) 服务器和每个桌面上的适当的根证书，生成和部署证书消耗执行任何操作，但几分钟的时间并单击几。

但是，构造一个 AD CS 的基础结构的步骤通常被认为是预知画。 搜索"安装证书服务"，并且您会发现冗长的引用，包括参考线、 书籍和很可能将多个协助混淆的博客张贴内容列表。

这种复杂性的背后的一个原因是 AD CS 的可伸缩性。 其 Windows 服务器角色可以方便地作为一个八个用作 80000 的公司的需要。 它具有所有自动注册铃铛和口哨声大公司需要。 那些铃铛和口哨声，但是，有时 smother 较小的组具有 unfathomable 的复杂性。

设置您自己的 AD CS 服务器 bestows 许多好处，其中最不无需从别人那里购买证书。 您可能不知道，但是，是构建一个简单并不那么具有挑战性。 这一轮忽略大部分您阅读 — 除外，当然，读取下一步。

AD CS 服务器生成的便捷方法

设置您自己的 AD CS 服务器需要稍多于 Windows Server 的实例。 标准版或企业版将执行操作。 在此示例中，您将不能使用自动注册或修改证书模板。 在安装 AD CS 位于 Windows 服务器企业版时，只能将有这些问题以及其他高级的功能的访问。

证书服务也需要进行一些在服务器资源方面。 可以安装在现有的服务器已经执行另一项任务或甚至轻轻地配置的虚拟机 (VM) 上。 如果您决定共享 AD CS 角色与其他功能，应小心; 停止使用 AD CS 服务器可能意味着这一过程全部重新启动。

您的服务器上启动服务器管理器，并使用证书颁发机构角色服务安装 AD CS 角色。 将提示您有几个问题以开始安装。 第一个定义安装类型。 最简单的 AD CS 配置独立模式，因此选择该模式下，当系统提示您。

通常将在层次结构中的大型环境中实现 AD CS 服务器。 在结合使用脱机根 CA，一个或多个从属 Ca 将起作用。 您简单的实现只需单个的根 CA。 下一个屏幕中应用此设置配置您的服务器。

然后您将会询问一系列问题有关创建服务器专用密钥。 创建新的专用密钥，然后选择配置加密和您的 CA 名称的默认值。 您还需要选择一个有效期，默认为五年。 此有效期内标识最长时间内的任何证书允许"实时"。选择此处更长的有效期内表示授予您自己更长一段时间之前需要更新您的 CA 根证书。 最后，选择您的证书数据库和其日志文件的位置。

那里，您已经安装了您 AD CS 的服务器。 假设您安装此服务器作为域管理员，它将自动开始填充它拖到您的域中的每台计算机上的根证书。 如果您已经一切正常，您应很快发现一台计算机上的受信任的根证书颁发机构存储中的 AD CS 服务器的根证书。 在此示例中的 AD CS 服务器的根证书将突出显示证书 Microsoft 管理控制台 (MMC) 中 （请参阅图 1）。

图 1 的根 CA 根证书，在证书管理器中。

问题 IIS 证书

因为此根 CA 证书的位置在受信任的根证书颁发机构存储中，此计算机现在将信任由 AD CS 服务器颁发的所有证书。 这一级别是信任的极其强大。 它允许您为任何特定目的，类似于 IIS 服务器上启用 HTTPS 将自动颁发证书。 让我们看一下您将使用来执行此操作的步骤。

您必须创建域服务器证书，以启用 HTTPS 在 IIS 中。 执行此操作通过在 IIS 管理器控制台中选择服务器名称，双击服务器证书，然后单击标题创建域证书为在操作窗格中的链接。 您将看到一个向导，将提示输入所需的证书的信息。 输入该信息，然后单击下一步。

向导的第二个屏幕可能有些不易理解。 选择按钮始终不可用来自动选择一个 AD CS 服务器。 如果按钮显示为灰色，输入服务器名称后跟的 CA 名称 （请参阅图 2）。 CA 在本例中是有权的公司-DC-CA 服务器 DC 上。 您还需要输入您的 CA 服务器的多个"友好"名称。

图 2 指定联机证书颁发机构。

单击完成来请求证书。 默认情况下 AD CS 需要管理员的批准才能颁发证书，所以您可能看到一条错误消息。 此错误消息，可以知道证书申请是否成功，但该颁发机构没有自动颁发证书 （请参阅图 3）。

图 3 此消息指示成功的请求，挂起的证书颁发。

返回到 CA 控制台，然后单击待定的请求。 您应该看到申请的证书。 用鼠标右键单击该请求，然后选择要颁发的证书的问题 （请参阅图 4）。 针对这一点，传输的颁发证书回到 IIS 需要导出和导入过程从 CA 到 IIS 管理器中。

图 4 问题证书。

在 CA 控制台中，单击颁发的证书，然后双击要传输的证书。 选择详细信息 |将复制到文件以启动证书导出向导。 将证书导出到一个文件，如 DER 编码二进制 X.509 证书使用.cer 扩展名。

最后，返回 IIS 管理器，选择完成证书申请并得到向导指向您刚才创建的文件。 您现在可以使用该证书启用 HTTPS 通信。

保持这些证书的安全

您必须执行这些额外的步骤，因为 AD CS 在 Windows 标准版中的不能使用 Active Directory 来验证谁有权申请证书。 因此，证书保留在待定的请求，直到手动颁发。 您可以调整 AD CS 服务器的策略模块，以允许自动批准的所有证书中的设置，但这不是一个好主意。 启用自动颁发会让任何人出于任何目的创建自动批准的证书 — — 不完全安全最佳做法。

Windows 服务器企业版包括其他功能，可使 AD CS 适合物有所值。 您可以自定义证书模板和颁发证书，为的类似于签名 Windows PowerShell 脚本的特殊用途 （称为 v2 和 v3 证书）。 这就要求不可用来在 Windows 服务器标准版中的 AD CS 代码签名证书。 其他 Windows 服务器企业版功能使您可以升级到完整的 PKI 基础结构的简单 AD CS 实例。

请参阅证书实际上并未弄。 适配知道需要用到它们。 创建您自己的证书基础结构不需要是困难的。 刚开始您的 CA 设计简单。

**Greg Shields**是一位 MVP，也是 Concentrated Technology 的合伙人。 在 ConcentratedTech.com 中获取更多的防护板的 Jack-of-all-trades 提示和技巧。

相关内容

• 所有交易的奇： 自动化基准安全设置
• 所有交易的奇： 疑难解答单一性
• 所有交易的奇： 没有 MED-V 吗？ 通过 MDT 实现 XP 到 W7 的 P2V 升级