伺服器憑證部署規劃
部署伺服器憑證之前,您必須先規劃下列項目:
規劃基本伺服器組態
在規劃用作憑證授權單位和網頁伺服器的電腦上安裝 Windows Server 2016 後,您必須重新命名電腦,並為本機電腦指派和設定靜態 IP 位址。
如需詳細資訊,請參閱 Windows Server 2016 核心網路指南。
規劃網域存取
若要登入網域,電腦必須是網域成員電腦,而且必須於嘗試登入之前在 AD DS 中建立使用者帳戶。 此外,本指南中的大部分程序都要求使用者帳戶是 Active Directory 使用者和電腦中 Enterprise Admins 或 Domain Admins 群組的成員,因此您必須使用具有適當群組成員資格的帳戶登入 CA。
如需詳細資訊,請參閱 Windows Server 2016 核心網路指南。
規劃網頁伺服器上虛擬目錄的位置和名稱
若要將 CRL 和 CA 憑證的存取權提供給其他電腦,您必須將這些項目儲存在網頁伺服器上的虛擬目錄中。 在本指南中,虛擬目錄位於網頁伺服器 WEB1 上。 此資料夾位於「C:」磁碟機,名稱為「pki」。在網頁伺服器上,您可以從適合您部署的任何資料夾位置找到虛擬目錄。
規劃網頁伺服器的 DNS 別名 (CNAME) 記錄
別名 (CNAME) 資源記錄有時也稱為正式名稱資源記錄。 您可以使用這些記錄,將一個以上的名稱指向單一主機,讓在相同電腦上裝載檔案傳輸通訊協定 (FTP) 伺服器和網頁伺服器變得容易。 例如,針對裝載 ftp 與 www 服務的伺服器電腦,已知的伺服器名稱 (ftp, www) 是使用對應至網域名稱系統 (DNS) 主機名稱的別名 (CNAME) 資源記錄來登錄,例如 WEB1。
本指南提供相關指示,協助您將網頁伺服器設定為裝載憑證授權單位 (CA) 的憑證撤銷清單 (CRL)。 由於您可能也想要將網頁伺服器用於其他用途,例如裝載 FTP 或網站,所以最好在 DNS 中為網頁伺服器建立別名資源記錄。 在本指南中,CNAME 記錄名為 「pki」,但您可以選擇適合您部署的名稱。
規劃 CAPolicy.inf 的組態
安裝 AD CS 之前,您必須在 CA 上設定含有部署正確資訊的 CAPolicy.inf。 CAPolicy.inf 檔案包含下列資訊:
[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID=1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=https://pki.corp.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=weeks
CRLPeriodUnits=1
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1
您必須為此檔案規劃下列項目:
URL。 範例 CAPolicy.inf 檔案的 URL 值為 https://pki.corp.contoso.com/pki/cps.txt。 這是因為本指南中的網頁伺服器名稱為 WEB1,且具有 pki 的 DNS CNAME 資源記錄。 網頁伺服器也會加入 corp.contoso.com 網域。 此外,網頁伺服器上還有名為「pki」的虛擬目錄,其中存放了憑證撤銷清單。 請確定您在 CAPolicy.inf 檔案中提供的 URL 值會指向網域中網頁伺服器上的虛擬目錄。
RenewalKeyLength。 Windows Server 2012 中 AD CS 的預設更新金鑰長度為 2048。 您應盡可能選取最長的金鑰長度,同時仍與您要使用的應用程式相容。
RenewalValidityPeriodUnits。 範例 CAPolicy.inf 檔案的 RenewalValidityPeriodUnits 值為 5 年。 這是因為 CA 的預期壽命約為十年。 RenewalValidityPeriodUnits 的值應該反映 CA 的整體有效期間,或您想要提供註冊的最高年數。
CRLPeriodUnits。 範例 CAPolicy.inf 檔案的 CRLPeriodUnits 值為 1。 這是因為本指南中憑證撤銷清單的範例重新整理間隔為 1 週。 在您使用此設定指定的間隔值中,您必須將 CA 上的 CRL 發佈至儲存 CRL 的網頁伺服器虛擬目錄,並為驗證程序中的電腦提供其存取權。
AlternateSignatureAlgorithm。 此 CAPolicy.inf 藉由實作替代簽章格式來實作改善的安全性機制。 如果您仍有需要此 CA 憑證的 Windows XP 用戶端,就不應該實作此設定。
如果您稍後不打算將任何次級 CA 新增至公開金鑰基礎結構,並且想要防止新增任何次級 CA,您可以將 PathLength 金鑰新增至 CAPolicy.inf 檔案,並將值設為 0。 若要新增此金鑰,請將下列程式碼複製並貼到您的檔案中:
[BasicConstraintsExtension]
PathLength=0
Critical=Yes
重要
除非您有特定原因,否則不建議變更 CAPolicy.inf 檔案中的任何其他設定。
規劃 CA1 上的 CDP 和 AIA 延伸模組組態
您在設定 CA1 上的憑證撤銷清單 (CRL) 發佈點 (CDP) 和授權單位資訊存取 (AIA) 設定時,需要網頁伺服器的名稱和網域名稱。 您也需要您在網頁伺服器上建立的虛擬目錄名稱,該虛擬目錄存放了憑證撤銷清單 (CRL) 和憑證授權單位憑證。
進行此部署步驟時必須輸入的 CDP 位置具有下列格式:
http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl.
例如,如果您的網頁伺服器名稱為 WEB1,網頁伺服器的 DNS 別名 CNAME 記錄是「pki」,且您的網域為 corp.contoso.com、虛擬目錄名稱為 pki,則 CDP 位置為:
http:\/\/pki.corp.contoso.com\/pki\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
必須輸入的 AIA 位置具有下列格式:
http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<ServerDNSName>\_<CaName><CertificateName>.crt.
例如,如果您的網頁伺服器名稱為 WEB1,網頁伺服器的 DNS 別名 CNAME 記錄是「pki」,且您的網域為 corp.contoso.com、虛擬目錄名稱為 pki,則 AIA 位置為:
http:\/\/pki.corp.contoso.com\/pki\/<ServerDNSName>\_<CaName><CertificateName>.crt
規劃 CA 與網頁伺服器之間的複製作業
若要將 CRL 和 CA 憑證從 CA 發佈至網頁伺服器虛擬目錄,您可以在 CA 上設定 CDP 和 AIA 位置之後,執行 certutil -crl 命令。 在按照本指南中的指示執行此命令之前,請確定您已在 CA 屬性 [延伸模組] 索引標籤上設定正確路徑。 此外,若要將企業 CA 憑證複製到網頁伺服器,您必須已在網頁伺服器上建立虛擬目錄,並將資料夾設定為共用資料夾。
規劃 CA 上的伺服器憑證範本組態
若要部署自動註冊的伺服器憑證,您必須複製名為 [RAS 和 資訊存取伺服器] 的憑證範本。 根據預設,此複本的名稱為 [RAS 和資訊存取伺服器的複本]。 如果您想重新命名這個範本的複本,請規劃您要在此部署步驟期間使用的名稱。
注意
本指南的最後三個部署章節 (讓您可以設定伺服器憑證自動註冊、重新整理伺服器上的群組原則,以及驗證伺服器是否已從 CA 收到有效伺服器憑證) 不需要額外的規劃步驟。