Not
Åtkomst till denna sida kräver auktorisation. Du kan prova att logga in eller byta katalog.
Åtkomst till denna sida kräver auktorisation. Du kan prova att byta katalog.
Det här avsnittet innehåller följande avsnitt.
Distributionskomponenter för servercertifikat
Du kan använda den här guiden för att installera Active Directory Certificate Services (AD CS) som en rotcertifikatutfärdare för företag (CA) och för att enrollera servercertifikat på servrar som kör Nätverkspolicy Server (NPS), Routning och fjärråtkomsttjänsten (RRAS), eller både NPS och RRAS.
Om du distribuerar SDN med certifikatbaserad autentisering måste servrarna använda ett servercertifikat för att bevisa sina identiteter för andra servrar så att de får säker kommunikation.
Följande bild visar de komponenter som krävs för att distribuera servercertifikat till servrar i din SDN-infrastruktur.
Note
I bilden ovan visas flera servrar: DC1, CA1, WEB1 och många SDN-servrar. Den här guiden innehåller instruktioner för att distribuera och konfigurera CA1 och WEB1, och för att konfigurera DC1, vilket i den här guiden förutsätter att du redan har installerat i nätverket. Om du inte redan har installerat Active Directory-domänen kan du göra det med hjälp av Core Network Guide för Windows Server 2016.
Mer information om varje objekt som visas i bilden ovan finns i följande:
CA1 som kör AD CS-serverrollen
I det här scenariot är Enterprise Root-certifikatutfärdare (CA) också en utfärdande certifikatutfärdare. Certifikatutfärdaren utfärdar certifikat till serverdatorer som har rätt säkerhetsbehörighet för att registrera ett certifikat. Active Directory Certificate Services (AD CS) är installerat på CA1.
För större nätverk, eller där säkerhetsfrågor motiverar det, kan du separera rollerna för rotcertifikatutfärdare och utfärdande certifikatutfärdare, och implementera underordnade certifikatutfärdare som utfärdar certifikat.
I de mest säkra distributionerna tas företagets rot-CA offline och skyddas fysiskt.
CAPolicy.inf
Innan du installerar AD CS konfigurerar du CAPolicy.inf-filen med specifika inställningar för distributionen.
Kopia av certifikatmallen RAS- och IAS-servrar
När du distribuerar servercertifikat gör du en kopia av certifikatmallen RAS- och IAS-servrar och konfigurerar sedan mallen enligt dina krav och anvisningarna i den här guiden.
Du använder en kopia av mallen i stället för den ursprungliga mallen så att konfigurationen av den ursprungliga mallen bevaras för eventuell framtida användning. Du konfigurerar kopian av mallen RAS- och IAS-servrar så att certifikatutfärdare kan skapa servercertifikat som den utfärdar till de grupper i Active Directory-användare och datorer som du anger.
Ytterligare CA1-konfiguration
Certifikatutfärdare publicerar en lista över återkallade certifikat (CRL) som datorer måste kontrollera för att säkerställa att certifikat som visas för dem som identitetsbevis är giltiga certifikat och inte har återkallats. Du måste korrekt konfigurera din certifikatsutfärdare med rätt plats för listan över återkallade certifikat (CRL) så att datorerna vet var de ska söka efter CRL under autentiseringsprocessen.
WEB1 som kör serverrollen Webbtjänster (IIS)
På den dator som kör webbserverrollen (IIS), WEB1, måste du skapa en mapp i Utforskaren för användning som plats för CRL och AIA.
Virtuell katalog för CRL och AIA
När du har skapat en mapp i Utforskaren måste du konfigurera mappen som en virtuell katalog i IIS-hanteraren (Internet Information Services) samt konfigurera åtkomstkontrollistan för den virtuella katalogen så att datorer kan komma åt AIA och CRL när de har publicerats där.
DC1 som kör AD DS- och DNS-serverrollerna
DC1 är domänkontrollanten och DNS-servern i nätverket.
Standardprincip för domän för grupppolicy
När du har konfigurerat certifikatmallen på CA:n kan du konfigurera standarddomänprincipen i gruppolicy så att certifikat registreras automatiskt till NPS- och RAS-servrar. Gruppolicy är konfigurerad i AD DS på servern DC1.
Resurspost för DNS-alias (CNAME)
Du måste skapa en aliasresurspost (CNAME) för webbservern för att säkerställa att andra datorer kan hitta servern, samt AIA och CRL som lagras på servern. Dessutom ger användning av ett alias CNAME-resurspost flexibilitet så att du kan använda webbservern för andra ändamål, till exempel värd för webb- och FTP-platser.
NPS1 kör rolltjänsten Nätverkspolicyserver för serverrollen Nätverkspolicy och åtkomsttjänster.
NPS installeras när du utför uppgifterna i Windows Server 2016 Core Network Guide, så innan du utför uppgifterna i den här guiden bör du redan ha en eller flera NPS installerade i nätverket.
Tillämpad grupprincip och certifikat som registrerats på servrar
När du har konfigurerat certifikatmallen och automatisk registrering kan du uppdatera grupprincipen på alla målservrar. För närvarande registrerar servrarna servercertifikatet från CA1.
Översikt över distributionsprocessen för servercertifikat
Note
Information om hur du utför de här stegen finns i avsnittet Distribution av servercertifikat.
Processen för att konfigurera registrering av servercertifikat sker i följande steg:
Installera webbserverrollen (IIS) på WEB1.
På DC1 skapar du en aliaspost (CNAME) för din webbserver, WEB1.
Konfigurera webbservern så att den är värd för CRL från certifikatutfärdaren, publicera därefter CRL och kopiera företagsrot-CA-certifikatet till den nya virtuella katalogen.
På den dator där du planerar att installera AD CS tilldelar du datorn en statisk IP-adress, byter namn på datorn, ansluter datorn till domänen och loggar sedan in på datorn med ett användarkonto som är medlem i grupperna Domänadministratörer och Företagsadministratörer.
På den dator där du planerar att installera AD CS konfigurerar du CAPolicy.inf-filen med inställningar som är specifika för distributionen.
Installera AD CS-serverrollen och utför ytterligare konfiguration av CA:en.
Kopiera CRL- och CA-certifikatet från CA1 till resursen på webbservern WEB1.
På certifikatutfärdaren (CA) konfigurerar du en kopia av certifikatmallen för RAS- och IAS-servrar. Certifikatutfärdare utfärdar certifikat baserat på en certifikatmall, så du måste konfigurera mallen för servercertifikatet innan certifikatutfärdare kan utfärda ett certifikat.
Konfigurera automatisk registrering av servercertifikat i gruppolicy. När du konfigurerar automatisk registrering får alla servrar som du har angett med Active Directory-gruppmedlemskap automatiskt ett servercertifikat när grupprincipen på varje server uppdateras. Om du lägger till fler servrar senare får de också automatiskt ett servercertifikat.
Uppdatera Gruppolicy på servrar. När grupprincipen uppdateras får servrarna servercertifikatet, som baseras på den mall som du konfigurerade i föregående steg. Det här certifikatet används av servern för att bevisa dess identitet för klientdatorer och andra servrar under autentiseringsprocessen.
Note
Alla domänmedlemsdatorer får automatiskt Enterprise Root CA's certifikat utan att automatisk registrering behöver konfigureras. Det här certifikatet skiljer sig från det servercertifikat som du konfigurerar och distribuerar med hjälp av automatisk registrering. CA-certifikatet installeras automatiskt i certifikatlager för Betrodda rotcertifikatutfärdare för alla datorer som är medlemmar i domänen, så att de litar på certifikat som utfärdas av den här CA.
Kontrollera att alla servrar har registrerat ett giltigt servercertifikat.