一、准备
需要准备两台服务器进行测试:
第一台域控制器:DC01 192.168.10.1,Windows Server 2019安装AD域并且提升为域控contoso.com。
第二台加域的成员服务器:DCNLB 192.168.10.12,Windows Server 2019加入域contoso.com。
二、第一台域控制器:DC01 安装Active Directory 证书服务
2.1、开始之前
2.2、安装类型
2.3、服务器选择:Active Directory 证书服务
2.4、功能
2.5、AD CS
2.6、角色服务:Web 服务器角色(IIS)
2.7、确认
2.8、安装
2.9、配置目标服务器上的Active Directory 证书服务
2.10、AD CS 配置
2.10.1、凭据
2.10.2、角色服务
2.10.3、设置类型
2.10.4、CA类型
2.10.5、私钥
2.10.6、加密
2.10.7、CA名称:contoso-DC01-CA-1
2.10.8、有效期
2.10.9、证书数据库
2.10.10、确认
2.10.11、进度
2.10.12、结果
2.10.13、测试安装的证书服务:打开IIS,网站里出现CertSrv证明安装成功
三、第二台加域的成员服务器:
3.1、安装了WEB服务器
3.1.1、服务器角色:Web服务器(IIS)
3.1.2、功能
3.1.3、Web 服务器角色(IIS)
3.1.4、角色服务
3.1.5、安装
3.1.6、安装完,关闭
3.2、web服务器申请证书
3.2.1、打开IIS,选择:服务器证书
3.2.2、创建证书申请
通用名称:*.contoso.com
其他填:cn
3.2.3、加密服务提供程序属性
3.2.4、文件名称:为证书申请指定一个文件名
文件名:key,格式:txt,保存至桌面,后面要用到。
3.2.5、打开浏览器 ,输入:http://CA服务器IP/certsrv
打开ie浏览器,输入http://192.168.10.1/certsrv
输入域控账户,密码
3.2.6、申请证书
3.2.7、高级证书申请
3.2.8、使用base64编码的CMC。。。
3.2.9、将key文件里面的 所有内容复制出来,粘贴到编辑框,选择证书模板为WEB服务器
3.3、将证书导入到 证书-本地计算机
3.3.1、打开证书-本地计算机,导入证书
如果我们是作为管理员,要选择证书-本地计算机导入证书。
运行:certlm.msc
3.3.2、个人-右键-所有任务-导入
3.3.3、证书导入向导-下一步
3.3.4、选择桌面的证书-下一步
3.3.5、证书存储-个人-下一步-完成
3.3.6、等待响应-出现导入成功。
3.3.7、个人-证书-双击-查看证书
3.3.8、报错:(1)Windows没有足够信息,不能验证该证书。(2)证书状态:无法找到该证书的颁发者。
Windows没有足够信息,不能验证该证书。
证书路径:证书状态:无法找到该证书的颁发者。
3.3.9、解决:
尝试解决思路:重启该服务器。重启之后,再次查看证书,无报错。
证书路径:
此时,在受信任的根证书颁发机构,证书目录下能找到该条颁发者信息。
到这一步重启后,证书才真正导入成功。
3.4、将证书导入进web服务器 绑定https访问
3.4.1、编辑网站,绑定 https
3.4.2、绑定后 https编辑 里面查看该证书
查看证书:证书状态→该证书没有问题
3.4.3、访问https网站
首先,清理IE浏览器缓存和历史记录,访问:https://192.168.10.12/
出现IIS界面,说明ca证书配置成功。
