本次实验为了方便,所有服务都在一台机进行安装配置,后续实际情况根据自己需求进行多台机器配置
实验环境: Window Server 2012 R2 192.168.1.1/24
AD域安装配置
安装服务,然后全部默认下一步,最后点击安装即可
接着将此电脑提升为域控制器
添加新林,按照需求填写
输入密码
接着默认下一步,最后点击安装,注意Administrator账号密码没有配置会导致失败
重启服务器,重启完之后AD域就配置完成
IIS服务器申请证书
一般来说IIS服务都会自动安装完成,如果没有的话则自己手动安装,安装并不需要什么特殊组件,全部默认下一步即可
打开iis管理器
点击服务器证书
点击创建证书申请
根据自己的需求填写即可
默认下一步即可
选择保存的位置,此文件将用于后续web注册证书,保存位置要牢记
CA证书服务器配置
安装服务
选择角色服务,下一步安装
安装完成之后不要急着点击完成,点击配置证书服务
勾选2个选项
因为是在域环境里,选择企业CA
选择根CA
默认下一步创建密钥
根据需求选择,一般默认选项就能满足
确认无误,下一步
根据需求选择此证书模板的有效期
下一步默认即可,最终选择配置
web注册证书
开始打开web进行注册证书,网址为http://192.168.1.1/certsrv
输入管理员账号密码,如果没有该网站,文章后面会进行相关排错教程
遇到警告,点击添加,将该网址添加到信任区即可
登录进去网址之后,点击申请证书
选择高级证书申请
选择使用base64编码提交证书申请
将之前创建的申请证书内容复制到框呢,并选择web证书模块,点击提交
之前在iis申请的证书
接下来就完成了,点击下载证书
另存到桌面上
IIS完成证书申请
打开iis管理器
打开服务器证书
点击完成证书申请
选择刚刚存储的位置,并起个名字
开始配置网址ssl
我使用的为默认网页,点击绑定
点击添加,并选择443端口 https 和证书文件
测试访问
成功
设置新证书有效期
设置创建证书的默认有效期
遇到类似的需要使用Web Server证书时,我们通过建立的5年有效期的证书模板上创建一个新的证书,本以为也会是5年的有效期,但是,我们会发现,有效期还是默认为2年。
这时候就需要修改注册表
运行打开注册表
路径为HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<CA服务器名>\ValidityPeriodUnits
双击编辑,修改为10年
打开证书颁发机构管理器
右键点击所有任务——停止服务,再点击启用服务,这样子新证书都是10年有效期了。
CA web认证打不开网址排错
打开iis管理器查看网址的子目录是否存在CertSrv
可以看到,是没有的,一般装完CA再装IIS就会出现这种情况
用管理员打开cmd用证书自带的指令恢复一下
certuril /vroot
再打开iis管理器查看一些,可以看到已经恢复了
接着访问一下,成功