Geek 的所有交易： 憑證簡易

設立您自己的機制來產生安全性憑證已不再像許多人想得那麼複雜。

Greg Shields

您曾看過的無數次。 也許是在發行項上保護 IIS，或可能是其中一個簽署 Windows PowerShell 指令碼中的步驟。 它可說是一項最 reviled 的陳述式，您將會有任何 IT 知識庫文件中。 它會像這樣： 「 安裝信任的憑證使用內部的憑證服務伺服器，或購買一個從公用憑證授權單位 [CA]，然後 … 」

Argh。 憑證是生存的我們的致命傷。 安裝它們往往是工作停止障礙。 您通常需要兩個選項。 您可以執行任何動作，但時間和精力才能設定憑證服務伺服器的第一個的成本。 第二層要求您從可能會很昂貴受信任協力廠商購買憑證。 只取得核准的成本，可以是一項挑戰。

憑證是表面上任何位置以進行驗證及資料加密的機制。 您可以說憑證不也很重要，不過。 相較於其他解決方案，很容易地滿足安全性要求。 與正常運作的 Active Directory 憑證服務 (AD CS) 伺服器的每部桌上型上適當的根憑證，產生並部署憑證成本您執行任何動作，但幾分鐘的時間和按幾。

不過，若要建構的 AD CS 基礎結構的步驟已通常確認神秘的圖案。 搜尋 「 安裝憑證服務 」，而且您會發現冗長清單的參考，包括 [輔助線、 書籍和可能有可能超過輔助混淆的部落格文章。

這種複雜性背後的原因之一是使用 AD CS 的延展性。 其 Windows 伺服器角色可以輕鬆地做為其中一個八做的 80000 一家公司的需求。 它的所有自動註冊鈴 and whistles 大型公司的需要。 這些鈴 and whistles，不過，有時候 smother 較小的群組與 unfathomable 的複雜性。

設定您自己的 AD CS 伺服器贈與許多優點，其中最重要不需要購買其他人的憑證。 您可能不知道，不過，會建立一份簡單沒有那麼困難。 大部分的讀取略過這一輪，除了，不用多說，讀取下一步。

建立 AD CS 伺服器的簡便方法

設定您自己的 AD CS 伺服器需要更多比 Windows Server 的執行個體。 將執行的標準版 」 或 「 企業版。 在這個範例中，您將不會使用自動註冊或修改憑證範本。 當您安裝在 Windows Server 企業版的 AD CS，您將只需要存取這些和其他進階的功能。

憑證服務也會需要大量伺服器資源不多。 您可以在現有的伺服器已經執行另一個任務或甚至少量設定的虛擬機器 (VM) 來安裝它。 如果您要共用其他功能的 AD CS 角色時，要小心; 解除委任 AD CS 伺服器，可能表示啟動這個處理程序過一次。

啟動您的伺服器上的 [伺服器管理員和憑證授權單位角色服務安裝 AD CS 角色。 您將會提示您使用數個問題開始安裝。 第一個定義的安裝類型。 最簡單的 AD CS 組態是獨立模式中，因此選取出現提示時，該模式。

您通常會在階層中的大型環境中實作 AD CS 伺服器。 一或多個次級 Ca 會在使用離線根 CA 的組合。 您簡單的實作只需要單一的根 CA。 使用此設定下一個畫面中，設定您的伺服器。

然後您會建立伺服器的私密金鑰相關詢問一系列的問題。 建立新的私人機碼，然後選取 [設定密碼編譯和您的 CA 名稱的預設值。 您也必須選取有效期間，預設為五年。 這個有效期間識別最長的一段時間的任何憑證允許 「 現用 」。選取長有效期這裡表示授與自己較長的時間之前需要更新您的 CA 根憑證。 最後，選擇您的憑證資料庫及記錄檔案的位置。

那里，安裝 AD CS 伺服器。 假設您安裝此伺服器的網域系統管理員，它就會自動開始填入它到您的網域中的每一台電腦的根憑證。 如果您已正確執行的所有項目，很快就應該 AD CS 伺服器的根憑證發現在電腦上的 [受信任的根憑證授權單位] 存放區中。 在這個範例中的 AD CS 伺服器的根憑證會反白顯示憑證 Microsoft 管理主控台 (MMC) 中 (請參閱圖 1)。

圖 1 的根 CA 根憑證，憑證管理員]。

發行 IIS 憑證

因為此根 CA 憑證是在您信任的根憑證授權單位存放區中，這台電腦現在會信任任何 AD CS 伺服器所發出的憑證。 這個信任層級是特別強大。 它可讓您為任何特定的目的，就像在 IIS 伺服器上啟用 HTTPS 將自動發行憑證。 若要這樣做，您將使用的步驟，讓我們來看。

您必須建立網域的伺服器憑證，以啟用 IIS 中的 HTTPS。 執行這項操作在 IIS 管理員主控台] 中所選取的伺服器名稱，連按兩下 [伺服器憑證]，然後按一下 [標題建立網域認證為動作] 窗格中的連結。 您會看到精靈提示輸入認證的必要資訊。 輸入該資訊，然後按一下 [下一步]。

精靈的第二個畫面可以稍嫌複雜。 [選取] 按鈕永遠無法自動選取 [AD CS 伺服器。 如果按鈕呈現暗灰色，輸入 CA 名稱後面加上伺服器名稱 (請參閱圖 2)。 在這個範例中的 CA 是貴的公司 DC 的 CA 伺服器 DC 上。 您也必須輸入您的 CA 伺服器的多個 「 易記 」 名稱。

圖 2 指定線上憑證授權單位。

按一下 [完成] 來要求憑證]。 根據預設，AD CS 需要系統管理員核准才能發行憑證，因此您可能會看到錯誤訊息。 這個錯誤訊息可讓您知道憑證要求已成功，但此授權未自動發行憑證 (請參閱圖 3)。

圖 3 這個訊息表示成功的要求擱置的憑證發行。

回到 [CA] 主控台，然後按一下暫止的要求。 您應該會看到要求的憑證。 要求上按一下滑鼠右鍵，然後選取 [發行憑證的問題 (請參閱圖 4)。 此時，傳輸，發出上的一步] IIS 需要匯出和匯入程序從 CA 到 IIS 管理員中的憑證。

圖 4 問題憑證。

在 [CA] 主控台中，按一下已發行的憑證]，然後連按兩下要傳送的憑證]。 選取 [詳細資料 |將複製到檔案以啟動 「 憑證匯出精靈 」。 憑證匯出至檔案，如 「 DER 編碼二進位 X.509 憑證，副檔名為.cer。

最後，傳回在 IIS 管理員中，選取 [完成憑證要求，並指向您剛建立的檔案中的 [結果] 精靈。 現在您可以使用該憑證啟用 HTTPS 通訊。

保護這些憑證的安全

您必須採取這些額外的步驟，因為 Windows 標準版 」 中的 AD CS 不能使用 Active Directory，以確認使用者已允許要求憑證。 如此一來，憑證保留在暫止要求，直到您手動發行。 您可以調整 AD CS 伺服器的原則模組，允許自動核准所有憑證中的設定，但這不是個好主意。 啟用自動發行可讓任何人為任何目的建立的自動核准的憑證 — 不完全安全性最佳作法。

Windows Server 企業版包括其他功能，使其值得候選 AD CS。 您可以自訂憑證範本，並發行憑證的特殊用途 (稱為 v2 和 v3 認證) 就像簽章 Windows PowerShell 指令碼。 這需要在 Windows Server 標準版中的 AD CS 沒有程式碼簽署憑證。 其他 Windows Server 企業版功能可讓您升級到全功能的 PKI 基礎結構的簡單 AD CS 執行個體。

請參閱憑證實際上並沒有該錯誤。 是知道您的需要。 建立您自己的憑證基礎結構並不需要也不容易。 只要啟動簡單並加上您 CA 的設計。

**Greg Shields**類似 MVP，是在集中技術協力電腦。 在 ConcentratedTech.com 中取得多個盾的 Jack-of-all-trades 的秘訣和訣竅。

相關內容

• Geek 的所有交易： 自動化基準線安全性設定
• Geek 的所有交易： 疑難排解單一性
• Geek 的所有交易： 沒有 MED-V 吗？ 利用 MDT 從 P2V XP 升級至 W7