從本機憑證授權單位要求憑證
發佈時間: 2009年11月
適用於: Forefront Threat Management Gateway (TMG)
當伺服器憑證是內部使用時,您可以建立本機憑證授權單位 (CA) 而不需要採購商業憑證。
設定本機憑證授權單位
開啟 [控制台]。
按兩下 [新增或移除程式]。
按一下 [新增/移除 Windows 元件]。
按兩下 [Application Server]。
按兩下 [網際網路資訊服務 (IIS)]。
按兩下 [全球資訊網服務]。
選取 [Active Server Pages]。
按一下 [確定] 來關閉 [全球資訊網服務] 對話方塊,按一下 [確定] 以關閉 [網際網路資訊服務 (IIS)] 對話方塊,再按一下 [確定] 來關閉 [Application Server] 對話方塊。
選取 [Certificate Services]。檢視電腦名稱和網域成員資格的相關警告。若要繼續,請按一下警告對話方塊中的 [是],然後在 [Windows 元件] 頁面中按 [下一步]。
在 [CA 類型] 頁面上,選取下列其中一項,再按 [下一步]:
企業根 CA:企業根 CA 必須安裝於網域成員。當授權的使用者 (可由網域控制站識別) 提出要求時,企業根 CA 將自動發行憑證。
獨立根 CA:獨立根 CA 需要系統管理員發行每一個要求的憑證。
在 [CA 識別資訊] 頁面上,提供 CA 的一般名稱,檢查分辨名稱尾碼,選擇有效期間,再按 [下一步]。
在 [憑證資料庫設定] 頁面上,檢視預設設定。您可以修改資料庫位置。按 [下一步]。
在 [完成 Windows 元件精靈] 頁面上,檢視摘要,再按一下 [完成]。
注意
這個程序也會安裝服務,讓電腦透過網頁取得憑證。如果您要使用不同方法來取得電腦憑證,則不需執行本程序中所述的網際網路資訊服務 (IIS) 和動態伺服器網頁安裝。
若要允許 CA 網站的存取權,您必須發行它。若要限制該網站的存取,您可以從該網站中只將需要的特定資料夾發行給特定的一組使用者,而非將整個伺服器發行給所有使用者。如需有關網頁發行的詳細資訊,請參閱規劃發行。安裝伺服器憑證
開啟 Internet Explorer。
從功能表中選取 [工具],然後選取 [網際網路選項]。
選取 [安全性] 索引標籤,並且在 [選取要檢視或變更安全性設定的區域] 中,按一下 [信任的網站]。
按一下 [網站] 按鈕以開啟 [信任的網站] 對話方塊。
在 [將這個網站新增到區域] 中,提供憑證伺服器網站 (http://憑證授權單位伺服器的 IP 位址/certsrvname) 的名稱,然後按一下 [新增]。
按一下 [關閉],以關閉 [信任的網站] 對話方塊,再按 [確定] 以關閉 [網際網路選項]。
瀏覽至:
http://憑證授權單位伺服器的 IP 位址/certsrv
要求憑證。
選取 [進階憑證要求]。
選取 [向這個 CA 建立並提交一個要求]。
完成表單,然後從 [類型] 下拉式清單選取 [伺服器驗證憑證]。若要避免用戶端在嘗試連線時接收到錯誤訊息,所提供之憑證的一般名稱必須符合發行的伺服器名稱是很重要的,如下所示:
若為伺服器發行,請在一般名稱中,鍵入您所發行的伺服器之完整網域名稱 (FQDN) 或 URL。
注意
如需 [進階憑證要求] 頁面上的選項說明,請參閱<使用 Windows Server 2003 憑證服務網頁>(https://www.microsoft.com)。
若為網頁發行,請針對 Forefront TMG 電腦上的憑證,輸入外部用戶端將在其網頁瀏覽器中輸入用來存取網站的主機名稱;例如,news.adatum.com。
若為網頁發行,除了安裝 Forefront TMG 電腦上所需的憑證外,若您也在網頁伺服器上安裝伺服器憑證,則一般名稱必須是 Forefront TMG 電腦透過網頁發行規則,用來傳送 HTTP 要求訊息到網頁伺服器的主機名稱。這名稱必須可以解析為網頁伺服器的 IP 位址,而且可能是與網頁伺服器的完整網域名稱相同,例如 webserver1.adatum.com。
選取 [將憑證存放在本機電腦憑證存放區],按一下 [提交] 以提交要求。檢視出現的警告對話方塊,再按一下 [是]。
如果已安裝獨立根 CA,請在憑證授權單位電腦上執行下列步驟。企業根 CA 將自動執行這些步驟。
按一下 [啟動],依序指向 [所有程式],指向 [系統管理工具] ,然後按一下 [憑證授權] 以開啟 Microsoft Management Console (MMC) [憑證授權單位] 嵌入式管理單元。
展開 [CA_Name] 節點,其中 [CA_Name] 是您憑證授權單位的名稱。
按一下 [擱置要求] 節點,在您的要求上按一下滑鼠右鍵,選取 [所有工作] 後,再選取 [發行]。
在 Forefront TMG 電腦上,返回網頁 http://憑證授權單位伺服器的 IP 位址/certsrv,然後按一下 [檢視擱置中的憑證要求狀態]。
按一下您的要求,並選取 [安裝此憑證]。
確認伺服器憑證已適當地執行下列步驟進行安裝。
按一下 [啟動],按一下 [執行],在 [開啟] 文字方塊鍵入 mmc ,然後按一下 [確定]。
在 [主控台 1] 視窗中,按一下 [檔案] 功能表,然後按一下 [新增/移除嵌入式管理單元]。
在 [新增或移除嵌入式管理單元] 對話方塊中,選取 [憑證],然後按一下 [新增]。
在 [憑證嵌入式管理單元] 頁面上,選取 [電腦帳戶],然後按 [下一步]。
在 [選取電腦] 頁面上,選取 [本機電腦],然後按一下 [完成]。
在 [新增或移除嵌入式管理單元] 對話方塊中,按一下 [確定]。
在主控台樹狀目錄,展開 [憑證 (本機電腦)] 節點,展開 [個人],按一下 [憑證],然後按兩下新伺服器憑證。在 [一般] 索引標籤上,應該會註明 [這個憑證有一個對應的私密金鑰]。在 [憑證路徑] 索引標籤上,您應該會看到在您的憑證與憑證授權單位 (CA) 之間有階層關係,以及說明 [這個憑證沒有問題] 的附註。
關閉 [主控台1] 視窗。
注意
這個程序會在需要數位憑證的電腦上執行。若是網頁發行,至少應該是 Forefront TMG 電腦,也可能包含網頁伺服器電腦。在伺服器發行的情況下,這僅限於您正在發行的伺服器電腦。若是安裝獨立根 CA 而非企業根 CA,則憑證授權單位也會執行動作。
在 Forefront TMG 電腦上,從 CA 取得的伺服器憑證必須儲存在 Forefront TMG 電腦的「個人」憑證存放區。CA 的根憑證必須儲存在 Forefront TMG 電腦中 [信任的根憑證授權] 存放區。若要讓用戶端電腦信任您從本機 CA 中安裝的伺服器憑證,它必須從 CA 安裝根憑證。在需要根憑證的任何用戶端電腦上,依照此程序執行。請注意,您也可以在媒體 (如磁片) 上傳送根憑證,然後在用戶端電腦上安裝該憑證。
安裝根憑證
開啟 Internet Explorer。
從功能表中選取 [工具],然後選取 [網際網路選項]。
選取 [安全性] 索引標籤,然後按一下 [自訂等級] 以開啟 [安全性設定] 對話方塊。將 [重設自訂設定] 下拉式功能表中的值設為 [中安全性],按一下 [確定] 以關閉 [安全性設定] 對話方塊,然後按一下 [確定] 以關閉 [網際網路選項] 對話方塊。
注意
如果安全性設定是 [高安全性],將無法安裝憑證。
瀏覽至:
http://憑證授權單位伺服器的 IP 位址/certsrv
按一下 [下載 CA 憑證、憑證鏈結或 CRL]。在下一個頁面中,按一下 [下載 CA 憑證]。這是必須安裝在 Forefront TMG 電腦上的 CA 根憑證。在 [檔案下載] 對話方塊中,按一下 [開啟]。
在 [憑證] 對話方塊中,按一下 [安裝憑證] 來啟動 [憑證匯入精靈]。
在 [歡迎使用憑證匯入精靈] 頁面中,按 [下一步]。在 [憑證存放區] 頁面上,選取 [將所有憑證放入以下的存放區] 並按一下 [瀏覽]。在 [選取憑證存放區] 對話方塊中,選取 [顯示實體存放區]。展開 [信任的根憑證授權],並選取 [本機電腦] 後,再按一下 [確定]。在 [憑證存放區] 頁面上,按 [下一步]。
在 [完成憑證匯入精靈] 頁面上,檢視詳細資料,然後按一下 [完成]。
確認根憑證已適當地執行下列步驟進行安裝。
開啟 Microsoft Management Console (MMC) 憑證 (本機電腦) 嵌入式管理單元。
展開 [信任的根憑證授權] 節點,按一下 [憑證],並且確認根憑證已生效。
注意
您也可以從 MMC 憑證 (本機電腦) 嵌入式管理單元,將憑證安裝在電腦上。不過,這樣只能存取相同網域中的憑證授權單位。