從本機憑證授權單位要求憑證

  • 發行項

發佈時間: 2009年11月

適用於: Forefront Threat Management Gateway (TMG)

當伺服器憑證是內部使用時,您可以建立本機憑證授權單位 (CA) 而不需要採購商業憑證。

設定本機憑證授權單位

  1. 開啟 [控制台]。

  2. 按兩下 [新增或移除程式]

  3. 按一下 [新增/移除 Windows 元件]

  4. 按兩下 [Application Server]

  5. 按兩下 [網際網路資訊服務 (IIS)]

  6. 按兩下 [全球資訊網服務]

  7. 選取 [Active Server Pages]

  8. 按一下 [確定] 來關閉 [全球資訊網服務] 對話方塊,按一下 [確定] 以關閉 [網際網路資訊服務 (IIS)] 對話方塊,再按一下 [確定] 來關閉 [Application Server] 對話方塊。

  9. 選取 [Certificate Services]。檢視電腦名稱和網域成員資格的相關警告。若要繼續,請按一下警告對話方塊中的 [是],然後在 [Windows 元件] 頁面中按 [下一步]

  10. [CA 類型] 頁面上,選取下列其中一項,再按 [下一步]

    • 企業根 CA:企業根 CA 必須安裝於網域成員。當授權的使用者 (可由網域控制站識別) 提出要求時,企業根 CA 將自動發行憑證。

    • 獨立根 CA:獨立根 CA 需要系統管理員發行每一個要求的憑證。

  11. [CA 識別資訊] 頁面上,提供 CA 的一般名稱,檢查分辨名稱尾碼,選擇有效期間,再按 [下一步]

  12. [憑證資料庫設定] 頁面上,檢視預設設定。您可以修改資料庫位置。按 [下一步]

  13. [完成 Windows 元件精靈] 頁面上,檢視摘要,再按一下 [完成]

注意

這個程序也會安裝服務,讓電腦透過網頁取得憑證。如果您要使用不同方法來取得電腦憑證,則不需執行本程序中所述的網際網路資訊服務 (IIS) 和動態伺服器網頁安裝。

若要允許 CA 網站的存取權,您必須發行它。若要限制該網站的存取,您可以從該網站中只將需要的特定資料夾發行給特定的一組使用者,而非將整個伺服器發行給所有使用者。如需有關網頁發行的詳細資訊,請參閱規劃發行

安裝伺服器憑證

  1. 開啟 Internet Explorer。

  2. 從功能表中選取 [工具],然後選取 [網際網路選項]

  3. 選取 [安全性] 索引標籤,並且在 [選取要檢視或變更安全性設定的區域] 中,按一下 [信任的網站]

  4. 按一下 [網站] 按鈕以開啟 [信任的網站] 對話方塊。

  5. [將這個網站新增到區域] 中,提供憑證伺服器網站 (http://憑證授權單位伺服器的 IP 位址/certsrvname) 的名稱,然後按一下 [新增]

  6. 按一下 [關閉],以關閉 [信任的網站] 對話方塊,再按 [確定] 以關閉 [網際網路選項]

  7. 瀏覽至:

    http://憑證授權單位伺服器的 IP 位址/certsrv

  8. 要求憑證。

  9. 選取 [進階憑證要求]

  10. 選取 [向這個 CA 建立並提交一個要求]

  11. 完成表單,然後從 [類型] 下拉式清單選取 [伺服器驗證憑證]。若要避免用戶端在嘗試連線時接收到錯誤訊息,所提供之憑證的一般名稱必須符合發行的伺服器名稱是很重要的,如下所示:

    • 若為伺服器發行,請在一般名稱中,鍵入您所發行的伺服器之完整網域名稱 (FQDN) 或 URL。

      注意

      如需 [進階憑證要求] 頁面上的選項說明,請參閱<使用 Windows Server 2003 憑證服務網頁>(https://www.microsoft.com)。

    • 若為網頁發行,請針對 Forefront TMG 電腦上的憑證,輸入外部用戶端將在其網頁瀏覽器中輸入用來存取網站的主機名稱;例如,news.adatum.com。

    • 若為網頁發行,除了安裝 Forefront TMG 電腦上所需的憑證外,若您也在網頁伺服器上安裝伺服器憑證,則一般名稱必須是 Forefront TMG 電腦透過網頁發行規則,用來傳送 HTTP 要求訊息到網頁伺服器的主機名稱。這名稱必須可以解析為網頁伺服器的 IP 位址,而且可能是與網頁伺服器的完整網域名稱相同,例如 webserver1.adatum.com。

  12. 選取 [將憑證存放在本機電腦憑證存放區],按一下 [提交] 以提交要求。檢視出現的警告對話方塊,再按一下 [是]

  13. 如果已安裝獨立根 CA,請在憑證授權單位電腦上執行下列步驟。企業根 CA 將自動執行這些步驟。

    1. 按一下 [啟動],依序指向 [所有程式],指向 [系統管理工具] ,然後按一下 [憑證授權] 以開啟 Microsoft Management Console (MMC) [憑證授權單位] 嵌入式管理單元。

    2. 展開 [CA_Name] 節點,其中 [CA_Name] 是您憑證授權單位的名稱。

    3. 按一下 [擱置要求] 節點,在您的要求上按一下滑鼠右鍵,選取 [所有工作] 後,再選取 [發行]

  14. 在 Forefront TMG 電腦上,返回網頁 http://憑證授權單位伺服器的 IP 位址/certsrv,然後按一下 [檢視擱置中的憑證要求狀態]

  15. 按一下您的要求,並選取 [安裝此憑證]

  16. 確認伺服器憑證已適當地執行下列步驟進行安裝。

    1. 按一下 [啟動],按一下 [執行],在 [開啟] 文字方塊鍵入 mmc ,然後按一下 [確定]

    2. [主控台 1] 視窗中,按一下 [檔案] 功能表,然後按一下 [新增/移除嵌入式管理單元]

    3. [新增或移除嵌入式管理單元] 對話方塊中,選取 [憑證],然後按一下 [新增]

    4. [憑證嵌入式管理單元] 頁面上,選取 [電腦帳戶],然後按 [下一步]

    5. [選取電腦] 頁面上,選取 [本機電腦],然後按一下 [完成]

    6. [新增或移除嵌入式管理單元] 對話方塊中,按一下 [確定]

    7. 在主控台樹狀目錄,展開 [憑證 (本機電腦)] 節點,展開 [個人],按一下 [憑證],然後按兩下新伺服器憑證。在 [一般] 索引標籤上,應該會註明 [這個憑證有一個對應的私密金鑰]。在 [憑證路徑] 索引標籤上,您應該會看到在您的憑證與憑證授權單位 (CA) 之間有階層關係,以及說明 [這個憑證沒有問題] 的附註。

    8. 關閉 [主控台1] 視窗。

注意

這個程序會在需要數位憑證的電腦上執行。若是網頁發行,至少應該是 Forefront TMG 電腦,也可能包含網頁伺服器電腦。在伺服器發行的情況下,這僅限於您正在發行的伺服器電腦。若是安裝獨立根 CA 而非企業根 CA,則憑證授權單位也會執行動作。

在 Forefront TMG 電腦上,從 CA 取得的伺服器憑證必須儲存在 Forefront TMG 電腦的「個人」憑證存放區。CA 的根憑證必須儲存在 Forefront TMG 電腦中 [信任的根憑證授權] 存放區。

若要讓用戶端電腦信任您從本機 CA 中安裝的伺服器憑證,它必須從 CA 安裝根憑證。在需要根憑證的任何用戶端電腦上,依照此程序執行。請注意,您也可以在媒體 (如磁片) 上傳送根憑證,然後在用戶端電腦上安裝該憑證。

安裝根憑證

  1. 開啟 Internet Explorer。

  2. 從功能表中選取 [工具],然後選取 [網際網路選項]

  3. 選取 [安全性] 索引標籤,然後按一下 [自訂等級] 以開啟 [安全性設定] 對話方塊。將 [重設自訂設定] 下拉式功能表中的值設為 [中安全性],按一下 [確定] 以關閉 [安全性設定] 對話方塊,然後按一下 [確定] 以關閉 [網際網路選項] 對話方塊。

    注意

    如果安全性設定是 [高安全性],將無法安裝憑證。

  4. 瀏覽至:

    http://憑證授權單位伺服器的 IP 位址/certsrv

  5. 按一下 [下載 CA 憑證憑證鏈結CRL]。在下一個頁面中,按一下 [下載 CA 憑證]。這是必須安裝在 Forefront TMG 電腦上的 CA 根憑證。在 [檔案下載] 對話方塊中,按一下 [開啟]

  6. [憑證] 對話方塊中,按一下 [安裝憑證] 來啟動 [憑證匯入精靈]。

  7. [歡迎使用憑證匯入精靈] 頁面中,按 [下一步]。在 [憑證存放區] 頁面上,選取 [將所有憑證放入以下的存放區] 並按一下 [瀏覽]。在 [選取憑證存放區] 對話方塊中,選取 [顯示實體存放區]。展開 [信任的根憑證授權],並選取 [本機電腦] 後,再按一下 [確定]。在 [憑證存放區] 頁面上,按 [下一步]

  8. [完成憑證匯入精靈] 頁面上,檢視詳細資料,然後按一下 [完成]

  9. 確認根憑證已適當地執行下列步驟進行安裝。

    1. 開啟 Microsoft Management Console (MMC) 憑證 (本機電腦) 嵌入式管理單元。

    2. 展開 [信任的根憑證授權] 節點,按一下 [憑證],並且確認根憑證已生效。

    注意

    您也可以從 MMC 憑證 (本機電腦) 嵌入式管理單元,將憑證安裝在電腦上。不過,這樣只能存取相同網域中的憑證授權單位。