安装篇---3---Windows Server 2012 R2证书服务ADCS

calixchung

作为一个比较基础的服务，活动目录证书服务在整个Server操作系统中具有举足轻重的地位！
下面我们来认识一下这个服务的一些特性。
首先，证书？干嘛用的，百度会讲的比我深入具体，这里我只说两点：1，用来加密2，用来身份验证
证书用来加密何解？众所周知的是我们访问每一个互联网站点，以www.czzyca.com为例，我们是以普通的http方式访问，也就是说这个访问过程中所有数据都是明文传输的，可以说他是不安全的，所有访问的数据包都是可以被抓取并被分析得到一些敏感数据的。那么你有没有注意到当你登陆淘宝或者京东的时候，在浏览器的地址栏有什么不一样么？

(0 Bytes, 下载次数: 1541)

1970-1-1 08:00 上传

点击文件名下载附件              (0 Bytes, 下载次数: 1536)

1970-1-1 08:00 上传

点击文件名下载附件

(0 Bytes, 下载次数: 1558)

1970-1-1 08:00 上传

点击文件名下载附件              (0 Bytes, 下载次数: 1551)

1970-1-1 08:00 上传

点击文件名下载附件

对比上面的图，你可以发现，只要是普通浏览都是以http的方式来访问，一旦登陆就会跳转到https的页面
这是为何？因为一旦输入用户名和密码点击登陆那一瞬间，账号密码都会通过网络传送到服务器上进行身份验证，或许你觉得无所谓，可是你想过吗？如果有人正在截取你的网络数据包，我相信这不是什么难事，种下木马或者直接在网络设备商做一些小动作，你通过网络传输的所有数据均可以被拿出来分析。所以证书这时候就可以拿出来显摆了，他可以保证服务器与客户端的数据传输是被严格加密的，最起码在当前的互联网环境中想要破解这层加密是不大现实的！而这些证书都是从哪里来的呢？总要有人制作这些证书吧？对了，有个机构，这里为了方便理解我就说有个机构，其实有很多机构都有这个能力包括每台计算机。这个机构在windows Server中就叫做证书颁发机构（公安局，颁发身份证的）
证书还能用来进行身份验证，当我手持一份证书，这份证书就能证明我是谁，我只要出具这份证书就能获得批准通过验证，进行相关活动。哪里体现的比较明显呢，中国建设银行ccb，存？存不？不存滚蛋。。。。。。他的网银是如何运作的我不管，单单看他给我发的一个优盘一样的东西（优盾）这里面存了什么？如果你仔细看看，你就会发现这里面有一张全球唯一的证书其中包含了证明你身份的东西。一旦我要进行网银交易，那么就要在提供用户名密码的时候多加一个步骤就是提供证书，虽然用户名密码已经基本可以断定你就是你，可是通过威逼利诱以及一些不合法的手段获取账号密码也不是那么麻烦，可是要想伪造这份证书，呵呵，我只能呵呵。。。

废话这么多，有个基本的概念就可以了，我们就来看看Windows Server下的证书吧。
首先证书这个东西要有一个基础的环境，无论是什么服务都要有基础平台，我们只讨论域环境下的证书服务！！！工作组的不在这次案例的考虑范畴。
证书服务一般情况下就部署在域控制器dc上，而且一个林只能有一个证书颁发机构，就像一个国家只能由一个大公安部门，虽然各地都有公安局，但是还是归公安部管。
首先我有一个最基础的活动目录域环境：域名calixchung.com，ip地址10.0.0.2
(0 Bytes, 下载次数: 1537)

1970-1-1 08:00 上传

点击文件名下载附件
添加删除角色
(0 Bytes, 下载次数: 1539)

1970-1-1 08:00 上传

点击文件名下载附件
就选择基于角色或功能的安装
(0 Bytes, 下载次数: 1562)

1970-1-1 08:00 上传

点击文件名下载附件
由于仅有一台服务器，所以就选这台
(0 Bytes, 下载次数: 1569)

1970-1-1 08:00 上传

点击文件名下载附件
勾选Active Directory证书服务（adcs）
(0 Bytes, 下载次数: 1543)

1970-1-1 08:00 上传

点击文件名下载附件
添加功能
(0 Bytes, 下载次数: 1526)

1970-1-1 08:00 上传

点击文件名下载附件
功能这里无需选择其他，下一步即可
(0 Bytes, 下载次数: 1503)

1970-1-1 08:00 上传

点击文件名下载附件
这里简单看下说明：（需要注意的一点是，一旦完成了证书服务的安装这台计算机就不能改名了！！！）或许你没见过计算机名称修改是灰色的不允许更改的，安装过后就是这样。
(0 Bytes, 下载次数: 1500)

1970-1-1 08:00 上传

点击文件名下载附件
需要注意的第二点是：勾选证书颁发机构Web注册，因为获取证书一个很方便的途径就是通过IIS
(0 Bytes, 下载次数: 1544)

1970-1-1 08:00 上传

点击文件名下载附件
添加功能IIS
(0 Bytes, 下载次数: 1541)

1970-1-1 08:00 上传

点击文件名下载附件
概述扫一眼飘过
(0 Bytes, 下载次数: 1595)

1970-1-1 08:00 上传

点击文件名下载附件
默认勾选即可，下一步，这里主要是把dc做成一台Web服务器为客户端提供一个注册证书的接口。可以说，证书服务在完成之后也就是一台Web服务器，只不过他挂载的一个提供证书注册的网站。
(0 Bytes, 下载次数: 1630)

1970-1-1 08:00 上传

点击文件名下载附件
安装
(0 Bytes, 下载次数: 1549)

1970-1-1 08:00 上传

点击文件名下载附件
等待完成。
(0 Bytes, 下载次数: 1485)

1970-1-1 08:00 上传

点击文件名下载附件
完成，配置adcs
(0 Bytes, 下载次数: 1540)

1970-1-1 08:00 上传

点击文件名下载附件
就用管理员对ca进行管理

(0 Bytes, 下载次数: 1549)

1970-1-1 08:00 上传

点击文件名下载附件
勾选刚刚安装的两个角色
(0 Bytes, 下载次数: 1509)

1970-1-1 08:00 上传

点击文件名下载附件
这里就选企业ca，独立ca也就是工作组环境的不做考虑。
(0 Bytes, 下载次数: 1524)

1970-1-1 08:00 上传

点击文件名下载附件
根ca，从属ca更具有专业性，和高可用性，暂不考虑。
(0 Bytes, 下载次数: 1502)

1970-1-1 08:00 上传

点击文件名下载附件
因为是全新的安装并不涉及迁移所以就新建私钥。
(0 Bytes, 下载次数: 1488)

1970-1-1 08:00 上传

点击文件名下载附件
加密等级，就以默认即可。
(0 Bytes, 下载次数: 1516)

1970-1-1 08:00 上传

点击文件名下载附件
为ca取个名字，好记，好识别。
(0 Bytes, 下载次数: 1530)

1970-1-1 08:00 上传

点击文件名下载附件

(0 Bytes, 下载次数: 1478)

1970-1-1 08:00 上传

点击文件名下载附件
配置完成。
(0 Bytes, 下载次数: 1505)

1970-1-1 08:00 上传

点击文件名下载附件

这样一个崭新的证书颁发机构就成立了，活动目录域证书服务就启动了。
下面我们来做一些初始化动作。
打开证书颁发机构管理工具
(0 Bytes, 下载次数: 1347)

1970-1-1 08:00 上传

点击文件名下载附件
右击安装好的证书颁发机构，点击属性
(0 Bytes, 下载次数: 1348)

1970-1-1 08:00 上传

点击文件名下载附件
在扩展选项卡中
(0 Bytes, 下载次数: 1336)

1970-1-1 08:00 上传

点击文件名下载附件
将http方式的crl分发点证书吊销列表方式勾选3个复选框
(0 Bytes, 下载次数: 1339)

1970-1-1 08:00 上传

点击文件名下载附件
应用，根据提示重新启动证书服务。因为这个域环境下颁发的证书不仅仅为域用户服务，而且有可能为发布到公网的网站等服务，所以必须要能够通过http的方式来检查吊销列表，域用户可以不用http方式来检查吊销列表，可以通过ldap的方式。
(0 Bytes, 下载次数: 1351)

1970-1-1 08:00 上传

点击文件名下载附件

(0 Bytes, 下载次数: 1353)

1970-1-1 08:00 上传

点击文件名下载附件
最后发布证书吊销列表。
(0 Bytes, 下载次数: 1302)

1970-1-1 08:00 上传

点击文件名下载附件
发布吊销列表，客户端就能检查到哪些证书是有效哪些是无效的了。
(0 Bytes, 下载次数: 1301)

1970-1-1 08:00 上传

点击文件名下载附件



证书服务已经起来了，如何运用，将在后期逐步扩展。
下面我们来分析一下淘宝登陆的时候所用到的证书以及我天朝最为奇葩的网站铁道部的那张臭名昭著的根证书。
使用者，这里可以看出这张证书是给浙江杭州淘宝中国这个网站用的。他的dns name最前面是个*，这是一个通配符，也就是说，登陆时候的login.taobao.com这个域名可以用这个证书来加密，假如淘宝网还有个页面叫logout.taobao.com，那么他也可以用这个证书来加密，这就要讨论证书的类型了。这个证书从哪儿来的，可以看到他的颁发者是国际知名的证书供应商Verisign，现已经被赛门铁克收购。绝大多数互联网的证书都是他颁发的。还可以看出，检查crl的时候是通过http的方式去检查的。你可以在浏览器中输入该地址下载吊销列表看看到底他吊销过多少证书。
(0 Bytes, 下载次数: 1351)

1970-1-1 08:00 上传

点击文件名下载附件 (0 Bytes, 下载次数: 1334)

1970-1-1 08:00 上传

点击文件名下载附件 (0 Bytes, 下载次数: 1325)

1970-1-1 08:00 上传

点击文件名下载附件 (0 Bytes, 下载次数: 1319)

1970-1-1 08:00 上传

点击文件名下载附件

12306的根证书，这里说一下标准的证书导入方式：
首先运行mmc，打开管理控制台，然后文件---添加删除管理单元，选择证书-添加---选择计算机账号---打开证书管理控制台，将12306的证书导入到受信任的根证书颁发机构，这样大家都会信任这张证书，而不会出现没有安装证书的时候那个浏览器上的提示警告。因为通过证书加密是需要去信任着个证书的颁发者的，而verisign为什么颁发的证书客户端都信任呢，因为windows在开发的时候已经加入了受信任的根证书颁发机构了。

(0 Bytes, 下载次数: 1331)

1970-1-1 08:00 上传

点击文件名下载附件

让我不能理解的是12306的crl检查点地址居然是一个无法访问的局域网地址，何来吊销检查？！怪不得证书有效期设置这么长时间，这张证书果然含金量相当高啊！！！那么有钱买张公网证书能死啊？
(0 Bytes, 下载次数: 1337)

1970-1-1 08:00 上传

点击文件名下载附件

calixchung

后续补充及总结。由于一个生产环境可能很多服务都需要用到证书服务，所以久而久之，证书服务器就会提供越来越多的证书，那么如何保证他的稳定可靠，从硬件层面当然要考虑到。我们来简单谈谈从系统层面如何？dc域控可以做多个来保证容错，而且每个数据库都是同步的基本上没什么问题。那ca呢？能做多个吗？这里的多个可能有点不妥不过也可以这么说，但是他是一个衍生的关系有一个然后不断地向下展开从属CA，而不像dc那样横向的复制扩展开来。而且真要是生产环境中也不要把ca这么重要的服务放在dc上，因为可能还要为公网的用户提供服务，所以最好能坐在一台member成员服务器上，然后衍生出从属ca。。