当前位置: 首页 > news >正文

内网安全之搭建ADCS证书服务

在域控上安装ADCS服务时,默认会自动配置完LDAPS,如果不是在域控上安装ADCS服务,需要手动配置LDAPS

安装证书服务ADCS

打开服务器管理器——>添加角色和功能
image.png
选择“基于角色或基于功能的安装”选项,然后点击下一步
image.png
选择“从服务器池中选择服务器”选项,然后点击下一步
image.png
这里勾选“Active Directory 证书服务”选项,然后点击下一步
image.png
这里到了选择功能的对话框,保持默认即可,然后点击下一步。
image.png
这里显示 Active Directory 域服务的描述以及注意事项,然后点击下一步。
image.png
这里勾选“证书颁发机构”选项,如果想要允许 Web 端注册证书的话,也可以勾选 “证书颁发机构 Web 注册”。
image.png
ADCS 支持 6 种角色服务:

  • 证书颁发机构:该组件的主要目的是办理证书、撤销证书以及发布授权信息 访问(AIA)和撤销信息。
  • 联机响应程序:可以使用该组件来配置和管理在线证书状态协议(OSCP)验证和吊销检查。在线响应程序解码特定证书的吊销状态请求,评估这些证书的状态,并返回具有请求的证书状态信息的签名响应。
  • 网络设备注册服务(NDES):通过该组件,路由器、交互机和其他网络设备 可从 ADCS 获取证书
  • 证书颁发机构 Web 注册:该组件提供了一种用户使用未加入域或运行 Windows 以外操作系统的设备的情况下颁发和续订证书的方法。
  • 证书注册 Web 服务(CES):该组件用于运行 Windows 的计算机和 CA 之间的代理客户端。CES 使用户、计算机或应用程序能够通过使用 Web 服务连接到 CA:
    • 请求、更新和安装办法的证书
    • 检索证书吊销列表(CRL)
    • 下载根证书
    • 通过互联网或跨森林注册
    • 为属于不受信任的 ADDS 域或未加入域的计算机自动续订证书
  • 证书注册策略 Web 服务:该组件使用户能够获取证书注册策略信息。结合 CES,它可以在用户设备未加入域或无法连接到域控的场景下实现基于策略的证书服务

这里 Web 服务器角色(IIS)描述以及注意事项,然后点击下一步
image.png
显示选择角色服务,保持默认即可,然后点击下一步
image.png
这里到了确认安装所选内容对话框,勾选“如果需要,自动重新启动目标服务器” 选项,然后点击安装。
image.png

配置ADCS

接下来就需要配置 ADCS 证书服务了,点击“配置目标服务器上的 ActiveDirectory 证书服务”。
image.png
会弹出指定凭据以配置角色服务对话框,这里我们保持默认,然后点击下一步。
image.png
勾选“证书颁发机构”和“证书颁发机构 Web 注册”,然后点击下一步
image.png
勾选“企业 CA(E)”,然后点击下一步
image.png
勾选“根 CA®”,然后点击下一步
image.png
勾选“创建新的私钥®”,然后点击下一步
image.png
指定加密选项,我们保持默认即可,然后点击下一步
image.png
指定 CA 名称,我们保持默认即可,然后点击下一步
image.png
有效期我们保持默认即可,然后点击下一步
image.png
CA 数据库的存储位置,我们保持默认即可,然后点击下一步
image.png
然后确认以下信息是否有误,无误的话,点击配置
image.png
配置完成
image.png

申请证书

在域控上执行 certlm.msc 命令,申请一个模板为域控制器的证书即可。
image.png
image.png
这时可以看到我们为域控申请的证书
image.png
我们使用ldp进行连接,可以看到连接失败
image.png

这时我们查看受信任的根证书颁发机构有没有我们想要的证书,可以看到并没有,所以我们需要导入证书
image.png
在 CA 服务器上执行 certlm.msc 命令,查看受信任的根本书颁发机构,然后将 CA 证书导出。然后将导出的 CA 证书导入到域控的受信任的根本书颁发机构即可。
image.png
image.png
image.png
导入成功后,使用ldp即可连接成功
image.png

相关文章:

  • C++ 时间处理-从字符串中解析日期时间
  • 中银基金软件开发工程师春招群面记录
  • 网络安全之BGP详解
  • 通过管理系统完成商品属性维护
  • vue3 + antd-vue@4 a-table单元格合并,rowSpan(行合并),colSpan(列合并)详解, 表头合并详解, 表头自定义详解
  • docker 配置文件使用经验,后续持续增加
  • 设计模式7——建造者模式
  • 保护共享资源的方法(互斥锁)
  • Spring框架中获取方法参数名称:DefaultParameterNameDiscoverer
  • 开发人员容易被骗的原因有很多,涉及技术、安全意识、社会工程学以及工作环境等方面。以下是一些常见原因:
  • 揭秘指针魔法,让你的编程之旅如虎添翼!‍♂️✨
  • 赶紧收藏!2024 年最常见 20道 Redis面试题(三)
  • 前端 CSS 经典:好看的标题动画
  • 深度学习之基于YOLOV5的口罩检测系统
  • mysql--数据库表的创建及基础命令
  • JavaScript 如何正确处理 Unicode 编码问题!
  • 【Under-the-hood-ReactJS-Part0】React源码解读
  • 2017-08-04 前端日报
  • chrome扩展demo1-小时钟
  • Effective Java 笔记(一)
  • Git初体验
  • iOS高仿微信项目、阴影圆角渐变色效果、卡片动画、波浪动画、路由框架等源码...
  • java取消线程实例
  • Octave 入门
  • React系列之 Redux 架构模式
  • Vue.js源码(2):初探List Rendering
  • Vue全家桶实现一个Web App
  • 阿里云应用高可用服务公测发布
  • 半理解系列--Promise的进化史
  • 创建一个Struts2项目maven 方式
  • 翻译:Hystrix - How To Use
  • 精彩代码 vue.js
  • 利用DataURL技术在网页上显示图片
  • 写代码的正确姿势
  • 一个SAP顾问在美国的这些年
  • 【运维趟坑回忆录 开篇】初入初创, 一脸懵
  • Play Store发现SimBad恶意软件,1.5亿Android用户成受害者 ...
  • Prometheus VS InfluxDB
  • # Swust 12th acm 邀请赛# [ E ] 01 String [题解]
  • # 深度解析 Socket 与 WebSocket:原理、区别与应用
  • $.ajax中的eval及dataType
  • $GOPATH/go.mod exists but should not goland
  • (9)YOLO-Pose:使用对象关键点相似性损失增强多人姿态估计的增强版YOLO
  • (C语言)fgets与fputs函数详解
  • (MATLAB)第五章-矩阵运算
  • (Redis使用系列) Springboot 使用Redis+Session实现Session共享 ,简单的单点登录 五
  • (超详细)语音信号处理之特征提取
  • (动手学习深度学习)第13章 计算机视觉---图像增广与微调
  • (附源码)php投票系统 毕业设计 121500
  • (黑客游戏)HackTheGame1.21 过关攻略
  • (全注解开发)学习Spring-MVC的第三天
  • (四)JPA - JQPL 实现增删改查
  • (原创)攻击方式学习之(4) - 拒绝服务(DOS/DDOS/DRDOS)
  • . NET自动找可写目录
  • .Net 4.0并行库实用性演练