服务器证书部署规划
在部署服务器证书之前,必须进行以下规划:
规划基本服务器配置
在计划用作证书颁发机构和 Web 服务器的计算机上安装 Windows Server 2016 后,必须重命名计算机,并为本地计算机分配和配置静态 IP 地址。
有关详细信息,请参阅 Windows Server 2016 核心网络指南。
规划域访问
若要登录到域,计算机必须是域成员计算机,而且必须在进行登录尝试之前在 AD DS 中创建用户帐户。 此外,该指南中涉及的大多数过程都要求用户帐户是 Active Directory 用户和计算机中的企业管理员或域管理员组的成员,因此请务必使用具有相应组成员身份的帐户登录到 CA。
有关详细信息,请参阅 Windows Server 2016 核心网络指南。
规划 Web 服务器上虚拟目录的位置和名称
若要向其他计算机提供对 CRL 和 CA 证书的访问权限,必须将这些项存储在 Web 服务器上的虚拟目录中。 在本指南中,虚拟目录位于 Web 服务器 WEB1 上。 此文件夹位于“C:”驱动器上,名称为“pki.”。可以在适合部署的任何文件夹位置找到 Web 服务器上的虚拟目录。
为 Web 服务器规划 DNS 别名 (CNAME) 记录
别名 (CNAME) 资源记录有时也称作规范名称资源记录。 借助这些记录,您可以使用多个名称来指向单一主机,从而轻松实现某些目的,例如在同一个计算机上同时驻留文件传输协议 (FTP) 服务器和 Web 服务器。 例如,众所周知的服务器名称(ftp、www)使用别名 (CNAME) 资源记录进行注册,这些记录映射到这些服务所在的服务器计算机的域名系统 (DNS) 主机名(例如 WEB1)。
本指南提供有关配置 Web 服务器以托管证书颁发机构 (CA) 的证书吊销列表 (CRL) 的说明。 由于你可能还希望将 Web 服务器用于其他目的(例如托管 FTP 或网站),因此最好在 DNS 中为 Web 服务器创建别名资源记录。 本指南中的 CNAME 记录名为“pki”,不过你可以选择适合自己部署的名称。
规划 CAPolicy.inf 的配置
在安装 AD CS 之前,必须使用部署的正确信息在 CA 上配置 CAPolicy.inf。 CAPolicy.inf 文件包含以下信息:
[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID=1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=https://pki.corp.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=weeks
CRLPeriodUnits=1
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1
必须为该文件进行以下规划:
URL。 示例 CAPolicy.inf 文件的 URL 值为 https://pki.corp.contoso.com/pki/cps.txt。 这是因为本指南中的 Web 服务器名为 WEB1,且 DNS CNAME 资源记录为 pki。 Web 服务器也会加入 corp.contoso.com 域。 此外,Web 服务器上还有一个名为“pki”的虚拟目录,用于存储证书吊销列表。 确保在 CAPolicy.inf 文件中提供的 URL 值指向域中 Web 服务器上的虚拟目录。
RenewalKeyLength。 Windows Server 2012 中 AD CS 的默认续订密钥长度为 2048。 选择的密钥长度应尽可能长,同时要与将使用的应用程序兼容。
RenewalValidityPeriodUnits。 示例 CAPolicy.inf 文件的 RenewalValidityPeriodUnits 值为 5 年。 这是因为 CA 的正常有效期约为 10 年。 RenewalValidityPeriodUnits 的值应反映 CA 的总体有效期或者要注册的最高年数。
CRLPeriodUnits。 示例 CAPolicy.inf 文件的 CRLPeriodUnits 值为 1。 这是因为本指南中证书吊销列表的示例刷新间隔为 1 周。 按照使用此设置指定的时间间隔值,必须将 CA 上的 CRL 发布到存储 CRL 的 Web 服务器虚拟目录,并为身份验证过程中涉及的计算机提供对该位置的访问权限。
AlternateSignatureAlgorithm。 此 CAPolicy.inf 通过实现备用签名格式来实现改进后的安全机制。 如果仍有需要来自此 CA 的证书的 Windows XP 客户端,请勿实现此设置。
如果以后不打算将任何从属 CA 添加到公钥基础结构,并且想要阻止添加任何从属 CA,可以采用 0 值将 PathLength 密钥添加到 CAPolicy.inf 文件中。 若要添加此密钥,请将以下代码复制并粘贴到文件中:
[BasicConstraintsExtension]
PathLength=0
Critical=Yes
重要
除非有明确的目的,否则不建议更改 CAPolicy.inf 文件中的任何其他设置。
规划 CA1 上的 CDP 和 AIA 扩展配置
在 CA1 上配置“证书吊销列表 (CRL) 分发点 (CDP)”和“授权信息访问 (AIA)”设置时,需要 Web 服务器的名称和域名。 还需要在 Web 服务器上创建的虚拟目录的名称,其中存储了证书吊销列表 (CRL) 和证书颁发机构证书。
在此部署步骤中必须输入的 CDP 位置的格式如下:
http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl.
例如,如果 Web 服务器名为 WEB1、Web 服务器的 DNS 别名 CNAME 记录为“pki”、域为 corp.contoso.com 且虚拟目录名为 pki,则 CDP 位置为:
http:\/\/pki.corp.contoso.com\/pki\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
必须输入的 AIA 位置的格式如下:
http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<ServerDNSName>\_<CaName><CertificateName>.crt.
例如,如果 Web 服务器名为 WEB1、Web 服务器的 DNS 别名 CNAME 记录为“pki”、域为 corp.contoso.com 且虚拟目录名为 pki,则 AIA 位置为:
http:\/\/pki.corp.contoso.com\/pki\/<ServerDNSName>\_<CaName><CertificateName>.crt
规划 CA 和 Web 服务器之间的复制操作
若要将 CRL 和 CA 证书从 CA 发布到 Web 服务器虚拟目录,可以在 CA 上配置 CDP 和 AIA 位置后运行 certutil -crl 命令。 使用本指南中的说明运行此命令之前,请确保在 CA 属性扩展选项卡上配置正确的路径。 此外,若要将企业 CA 证书复制到 Web 服务器,必须已在 Web 服务器上创建虚拟目录,并将该文件夹配置为共享文件夹。
规划 CA 上的服务器证书模板配置
若要部署自动注册的服务器证书,必须复制名为“RAS 和 IAS 服务器”的证书模板。 默认情况下,此副本名为“RAS 和 IAS 服务器的副本”。 如果要重命名此模板副本,请规划要在此部署步骤中使用的名称。
注意
本指南中的最后三个部署部分(让你能配置服务器证书自动注册、在服务器上刷新组策略,以及验证服务器是否已从 CA 收到有效的服务器证书)不需要额外的规划步骤。