内网安全之搭建ADCS证书服务
在域控上安装ADCS服务时,默认会自动配置完LDAPS,如果不是在域控上安装ADCS服务,需要手动配置LDAPS
安装证书服务ADCS
打开服务器管理器——>添加角色和功能
选择“基于角色或基于功能的安装”选项,然后点击下一步
选择“从服务器池中选择服务器”选项,然后点击下一步
这里勾选“Active Directory 证书服务”选项,然后点击下一步
这里到了选择功能的对话框,保持默认即可,然后点击下一步。
这里显示 Active Directory 域服务的描述以及注意事项,然后点击下一步。
这里勾选“证书颁发机构”选项,如果想要允许 Web 端注册证书的话,也可以勾选 “证书颁发机构 Web 注册”。
ADCS 支持 6 种角色服务:
- 证书颁发机构:该组件的主要目的是办理证书、撤销证书以及发布授权信息 访问(AIA)和撤销信息。
- 联机响应程序:可以使用该组件来配置和管理在线证书状态协议(OSCP)验证和吊销检查。在线响应程序解码特定证书的吊销状态请求,评估这些证书的状态,并返回具有请求的证书状态信息的签名响应。
- 网络设备注册服务(NDES):通过该组件,路由器、交互机和其他网络设备 可从 ADCS 获取证书
- 证书颁发机构 Web 注册:该组件提供了一种用户使用未加入域或运行 Windows 以外操作系统的设备的情况下颁发和续订证书的方法。
- 证书注册 Web 服务(CES):该组件用于运行 Windows 的计算机和 CA 之间的代理客户端。CES 使用户、计算机或应用程序能够通过使用 Web 服务连接到 CA:
- 请求、更新和安装办法的证书
- 检索证书吊销列表(CRL)
- 下载根证书
- 通过互联网或跨森林注册
- 为属于不受信任的 ADDS 域或未加入域的计算机自动续订证书
- 证书注册策略 Web 服务:该组件使用户能够获取证书注册策略信息。结合 CES,它可以在用户设备未加入域或无法连接到域控的场景下实现基于策略的证书服务
这里 Web 服务器角色(IIS)描述以及注意事项,然后点击下一步
显示选择角色服务,保持默认即可,然后点击下一步
这里到了确认安装所选内容对话框,勾选“如果需要,自动重新启动目标服务器” 选项,然后点击安装。
配置ADCS
接下来就需要配置 ADCS 证书服务了,点击“配置目标服务器上的 ActiveDirectory 证书服务”。
会弹出指定凭据以配置角色服务对话框,这里我们保持默认,然后点击下一步。
勾选“证书颁发机构”和“证书颁发机构 Web 注册”,然后点击下一步
勾选“企业 CA(E)”,然后点击下一步
勾选“根 CA®”,然后点击下一步
勾选“创建新的私钥®”,然后点击下一步
指定加密选项,我们保持默认即可,然后点击下一步
指定 CA 名称,我们保持默认即可,然后点击下一步
有效期我们保持默认即可,然后点击下一步
CA 数据库的存储位置,我们保持默认即可,然后点击下一步
然后确认以下信息是否有误,无误的话,点击配置
配置完成
申请证书
在域控上执行 certlm.msc 命令,申请一个模板为域控制器的证书即可。
这时可以看到我们为域控申请的证书
我们使用ldp进行连接,可以看到连接失败
这时我们查看受信任的根证书颁发机构有没有我们想要的证书,可以看到并没有,所以我们需要导入证书
在 CA 服务器上执行 certlm.msc 命令,查看受信任的根本书颁发机构,然后将 CA 证书导出。然后将导出的 CA 证书导入到域控的受信任的根本书颁发机构即可。
导入成功后,使用ldp即可连接成功
