Featured image of post Windows Server中独立CA模式部署及配置指南
运维笔记

Windows Server中独立CA模式部署及配置指南

本文介绍了在内部网络环境中部署Windows Server独立CA的详细步骤,包括AD CS初始化、跨网段环境下CDP和AIA的配置、环境预配置等内容。主要涉及独立CA模式选择、新私钥创建、证书属性配置、Web服务发布等操作,以实际案例的形式详细说明了独立CA的搭建思路,可作为 Windows Server 中独立CA部署的参考指南。

在内部网络环境中部署证书颁发服务一般有两种,Windows提供的AD CS和Linux提供的OpenSSL,AD CS提供了开箱可用的证书颁发服务,能与微软全家桶进行较好的配合,而OpenSSL则更具灵活性,适用于具有二次开发能力的大型互联网企业。

本次案例我们将部署AD CS中的独立CA,在尽可能小的影响下为内部网络增加证书颁发服务。

我们将使用到以下两台全新安装的机器,分别为

  • 用于提供证书签发服务的standalone-ca
    • 该机器IP为10.0.0.4,子网掩码为255.255.255.0
    • 操作系统为Windows Server 2019
  • 用于作为申请证书签发客户机的web-server
    • 该机器IP为10.0.1.7,子网掩码为255.255.255.0
    • 操作系统为Windows Server 2019

PKI系统组件可参考下图

image-20230208142455732

AD CS初始化

下面我们会为已经完成[环境预配置](#为standalone-ca添加Active Directory 证书服务)的standalone-ca配置Active Directory证书服务

打开服务器管理器,点击右上角通知图标,打开配置目标服务器上的Active Directory证书服务image-20230208095623640

点击下一步

image-20230208100018652

勾选证书颁发机构联机响应程序,然后点击下一步

image-20230208100202996

这里我们选择独立CA(企业CA要求该服务器必须在域内)

image-20230208100347111

选择根CA,该机器将提供内网环境下唯一CA服务。

image-20230208100901358

选择创建新的私钥,这里我们将使用全新私钥来创建证书,如果需要导入以前的证书,可以参考之前发过的企业CA迁移方案的文章。

image-20230208100913514

这里可以根据需求选择指定加密选项,这里我们选择默认项

image-20230208101504089

使用默认项指定CA名称

image-20230208101705103

后续内容使用默认选项进行配置。在确认界面点击配置完成初始化

image-20230208102017567

针对跨网段环境下的CDP和AIA修复

注意,该部分内容将会使用到Web注册服务以及证书颁发机构,操作前请提前添加此功能。

注意,本部分参考在 CA1 上配置 CDP 和 AIA 扩展 | Microsoft Learn Server 2016 + Win10 搭建CA证书登录环境_wosky01084的博客-CSDN博客

注意,若需要理解CDP和CRL相关内容,可参考安装、配置和管理证书颁发机构2823A_02 - 百度文库 (baidu.com)

standalone-ca证书颁发机构签发出来的证书中包含CDP信息以及AIA信息,默认这些信息仅允许通过机器名来访问,但是对于多个子网的情况下,我们无法解析机器名对应的IP。

[例] 无法正常吊销的证书

image-20230208142755615

image-20230208143346145

这里可以通过两种方式来解决

  1. 修改DNS来添加指向
  2. 修改证书签发信息,直接包含可访问的地址

这里我们将会讲解如何通过第二种方式来解决该问题。

打开证书颁发机构工具

image-20230208114547346

在根证书上右键点击属性

image-20230208114727945

在属性窗口选择拓展选项卡,

image-20230208114826372

我们将会添加一条新的CRL分发点,并勾选以下配置,(注意请不要照抄添加弹窗下给出的参考分发点信息,其中CAName需要修改为CaName,这里是一个微软的BUG)

CRL分发点位置http://10.0.0.4/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

image-20230208155430431

同时我们将取消勾选默认分发点的配置

image-20230208155446564

添加新的AIA拓展信息

http://10.0.0.4/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt

image-20230208150218214

同时我们取消勾选掉默认AIA信息

image-20230208150254436

注意,我们也可以将前期配置好的OCSP服务器信息添加到OCSP拓展。

完成上述配置后重启AD CS,再次签发的证书即可成功应用新配置。

image-20230208151847014

image-20230208151900295

补充内容:环境预配置

web-server添加IIS功能

打开服务器管理器,点击仪表盘添加角色和功能

![image-20230208090146604](D:/办公文件/03 短期任务/20221206-20230328-CA服务迁移/Windows Server中独立CA模式部署及配置指南.assets/image-20230208090146604.png)

添加角色和功能向导界面采用默认设置,点击下一步。在服务器角色界面选择Web服务器(IIS),在弹出的窗口中保持默认并点击添加功能

image-20230208090440477

继续在添加角色和功能向导界面采用默认设置,点击下一步,直到进入确认界面,点击安装image-20230208090710355

当安装完成后重启操作系统,web-server配置完成。

standalone-ca添加Active Directory 证书服务

打开服务器管理器,点击仪表盘添加角色和功能

image-20230208090929191

添加角色和功能向导界面采用默认设置,点击下一步。在服务器角色界面选择Active Directory 证书服务,在弹出的窗口中保持默认并点击添加功能

image-20230208091014217

AD CS角色服务界面选择证书颁发机构联机响应程序,在弹出的窗口中保持默认并点击添加功能

image-20230208091321461

继续在添加角色和功能向导界面采用默认设置,点击下一步,直到进入确认界面,点击安装image-20230208091514539

当安装完成后重启操作系统,standalone-ca配置完成。

注意,如果需要为用户提供Web注册服务,需要另外为standalone-ca添加证书颁发机构Web注册角色,添加方式与上述操作类似。