当前位置: 首页 > news >正文

内网安全之搭建ADCS证书服务

在域控上安装ADCS服务时,默认会自动配置完LDAPS,如果不是在域控上安装ADCS服务,需要手动配置LDAPS

安装证书服务ADCS

打开服务器管理器——>添加角色和功能
image.png
选择“基于角色或基于功能的安装”选项,然后点击下一步
image.png
选择“从服务器池中选择服务器”选项,然后点击下一步
image.png
这里勾选“Active Directory 证书服务”选项,然后点击下一步
image.png
这里到了选择功能的对话框,保持默认即可,然后点击下一步。
image.png
这里显示 Active Directory 域服务的描述以及注意事项,然后点击下一步。
image.png
这里勾选“证书颁发机构”选项,如果想要允许 Web 端注册证书的话,也可以勾选 “证书颁发机构 Web 注册”。
image.png
ADCS 支持 6 种角色服务:

  • 证书颁发机构:该组件的主要目的是办理证书、撤销证书以及发布授权信息 访问(AIA)和撤销信息。
  • 联机响应程序:可以使用该组件来配置和管理在线证书状态协议(OSCP)验证和吊销检查。在线响应程序解码特定证书的吊销状态请求,评估这些证书的状态,并返回具有请求的证书状态信息的签名响应。
  • 网络设备注册服务(NDES):通过该组件,路由器、交互机和其他网络设备 可从 ADCS 获取证书
  • 证书颁发机构 Web 注册:该组件提供了一种用户使用未加入域或运行 Windows 以外操作系统的设备的情况下颁发和续订证书的方法。
  • 证书注册 Web 服务(CES):该组件用于运行 Windows 的计算机和 CA 之间的代理客户端。CES 使用户、计算机或应用程序能够通过使用 Web 服务连接到 CA:
    • 请求、更新和安装办法的证书
    • 检索证书吊销列表(CRL)
    • 下载根证书
    • 通过互联网或跨森林注册
    • 为属于不受信任的 ADDS 域或未加入域的计算机自动续订证书
  • 证书注册策略 Web 服务:该组件使用户能够获取证书注册策略信息。结合 CES,它可以在用户设备未加入域或无法连接到域控的场景下实现基于策略的证书服务

这里 Web 服务器角色(IIS)描述以及注意事项,然后点击下一步
image.png
显示选择角色服务,保持默认即可,然后点击下一步
image.png
这里到了确认安装所选内容对话框,勾选“如果需要,自动重新启动目标服务器” 选项,然后点击安装。
image.png

配置ADCS

接下来就需要配置 ADCS 证书服务了,点击“配置目标服务器上的 ActiveDirectory 证书服务”。
image.png
会弹出指定凭据以配置角色服务对话框,这里我们保持默认,然后点击下一步。
image.png
勾选“证书颁发机构”和“证书颁发机构 Web 注册”,然后点击下一步
image.png
勾选“企业 CA(E)”,然后点击下一步
image.png
勾选“根 CA®”,然后点击下一步
image.png
勾选“创建新的私钥®”,然后点击下一步
image.png
指定加密选项,我们保持默认即可,然后点击下一步
image.png
指定 CA 名称,我们保持默认即可,然后点击下一步
image.png
有效期我们保持默认即可,然后点击下一步
image.png
CA 数据库的存储位置,我们保持默认即可,然后点击下一步
image.png
然后确认以下信息是否有误,无误的话,点击配置
image.png
配置完成
image.png

申请证书

在域控上执行 certlm.msc 命令,申请一个模板为域控制器的证书即可。
image.png
image.png
这时可以看到我们为域控申请的证书
image.png
我们使用ldp进行连接,可以看到连接失败
image.png

这时我们查看受信任的根证书颁发机构有没有我们想要的证书,可以看到并没有,所以我们需要导入证书
image.png
在 CA 服务器上执行 certlm.msc 命令,查看受信任的根本书颁发机构,然后将 CA 证书导出。然后将导出的 CA 证书导入到域控的受信任的根本书颁发机构即可。
image.png
image.png
image.png
导入成功后,使用ldp即可连接成功
image.png

相关文章:

  • C++ 时间处理-从字符串中解析日期时间
  • 中银基金软件开发工程师春招群面记录
  • 网络安全之BGP详解
  • 通过管理系统完成商品属性维护
  • vue3 + antd-vue@4 a-table单元格合并,rowSpan(行合并),colSpan(列合并)详解, 表头合并详解, 表头自定义详解
  • docker 配置文件使用经验,后续持续增加
  • 设计模式7——建造者模式
  • 保护共享资源的方法(互斥锁)
  • Spring框架中获取方法参数名称:DefaultParameterNameDiscoverer
  • 开发人员容易被骗的原因有很多,涉及技术、安全意识、社会工程学以及工作环境等方面。以下是一些常见原因:
  • 揭秘指针魔法,让你的编程之旅如虎添翼!‍♂️✨
  • 赶紧收藏!2024 年最常见 20道 Redis面试题(三)
  • 前端 CSS 经典:好看的标题动画
  • 深度学习之基于YOLOV5的口罩检测系统
  • mysql--数据库表的创建及基础命令
  • CSS3 变换
  • Effective Java 笔记(一)
  • Flex布局到底解决了什么问题
  • Hibernate【inverse和cascade属性】知识要点
  • HTTP那些事
  • iOS仿今日头条、壁纸应用、筛选分类、三方微博、颜色填充等源码
  • Java新版本的开发已正式进入轨道,版本号18.3
  • k8s 面向应用开发者的基础命令
  • laravel with 查询列表限制条数
  • LeetCode541. Reverse String II -- 按步长反转字符串
  • Linux编程学习笔记 | Linux多线程学习[2] - 线程的同步
  • Mysql优化
  • SQLServer之创建数据库快照
  • Swoft 源码剖析 - 代码自动更新机制
  • win10下安装mysql5.7
  • windows-nginx-https-本地配置
  • 安卓应用性能调试和优化经验分享
  • 不上全站https的网站你们就等着被恶心死吧
  • 机器学习中为什么要做归一化normalization
  • 记录:CentOS7.2配置LNMP环境记录
  • 类orAPI - 收藏集 - 掘金
  • 使用 Xcode 的 Target 区分开发和生产环境
  • 收藏好这篇,别再只说“数据劫持”了
  • 微信公众号开发小记——5.python微信红包
  • 关于Android全面屏虚拟导航栏的适配总结
  • ​Spring Boot 分片上传文件
  • # Swust 12th acm 邀请赛# [ E ] 01 String [题解]
  • #FPGA(基础知识)
  • %@ page import=%的用法
  • (1)Android开发优化---------UI优化
  • (2009.11版)《网络管理员考试 考前冲刺预测卷及考点解析》复习重点
  • (附源码)springboot金融新闻信息服务系统 毕业设计651450
  • (附源码)ssm航空客运订票系统 毕业设计 141612
  • (论文阅读23/100)Hierarchical Convolutional Features for Visual Tracking
  • (论文阅读30/100)Convolutional Pose Machines
  • (四)模仿学习-完成后台管理页面查询
  • (学习日记)2024.01.09
  • (一)为什么要选择C++
  • (转)重识new
  • (转载)从 Java 代码到 Java 堆