2012對加入域的用戶實行證書認證

時間 2020-10-12

標籤 windows 安全服務器 ide 網站加密 rest server cmd 欄目 Windows 简体版

原文原文鏈接

公司內域環境增強安全認證，採用證書認證來屏蔽非公司電腦的隨意加入域。windows

驗環境：安全

server1:windows server 2012, 192.168.0.1 , ad dc ，abc.com服務器

client1:windows 8 ， 198.168.0.100 ide

client2::windows 8, 192.168.0.101網站

實驗目標：一、客戶端加入dc自動得到證書；二、非證書認證的計算機沒法登錄域加密

配置：rest

1、server1安裝和配置adcsserver

1.1server1已經安裝adds角色，並提高爲dc;cmd

1.2server1安裝adcsit

服務器管理器--管理--添加角色和功能--(打勾)ad證書服務--(打勾)證書頒發機構--完成

1.3server1 配置adcs

服務器管理器--adcs--配置目標服務器上的adcs--adcs配置--憑據（用戶）--(打勾)證書頒發機構

--(打勾）企業ca //在域管理環境中使用的證書，非域環境使用獨立好比網站https。

--(打勾)根ca //域中第一臺adcs就是根，

--(打勾)建立新的私鑰 //新的證書頒發

--指定加密項(sha1-2048)-- //默認就好

--指定ca名稱（默認）

--有效期 //默認到期自動續

--配置 --restart-computer；

1.4啓動adcs服務

服務器管理器--adcs--(右鍵)證書頒發機構--證書頒發機構--ca證書名稱--（右鍵）全部任務--啓動服務--頒發的證書--看是否有剛纔創建的ca名稱的根證書； //申請id 2

2、client1查看公鑰:

2.1 client1加入abc.com,restatr-cpmputer;

2.2 用abc.com的域用戶登錄client1

2.3 驗證client1自動得到簽發的證書

cmd-mmc--控制檯1--文件--添加和刪除單元--證書--添加--證書管理單元

--（打勾）計算機帳戶 //證書容器就是證書驗證做用的時候，證書放在的位置。

用戶帳戶: 證書放到用戶帳戶上,隨帳戶登陸生效

電子郵件使用這種,用戶可能在任意一臺計算機的登錄

計算機帳戶:證書放到本地計算機上,只要計算機登錄域,證書就生效

https要用這種方式

服務帳戶: 服務管理器--登錄爲本地系統--這個服務是計算機帳戶

登錄爲本地服務--是服務容器

--（打勾）本機計算機

-- 完成--肯定

控制檯1--證書--受信任的根證書頒發機構--證書--看看是否有從adcs那裏得到的根證書

//雙擊--常規證書目的--全部頒發策略,

3、導出有效的client1證書,

3.3 mmc-證書--我的--（右鍵）全部任務--申請新的證書--證書註冊--（打勾）計算機--註冊--完成； //申請新的我的證書--得到私鑰 --在根證書下的本計算機證書

3.4 mmc-證書--我的--（點選）上面註冊的證書--（右鍵）全部任務--導出

--（打勾）不，不要導出私鑰 //這張證書不容許導出私鑰，因此這張證書能驗證這個計算機是否是公司內部計算機，能屏蔽非本身公司的電腦鏈接到服務器；

--（打勾）密碼1234--文件名（存放路徑和證書名）--完成； //導出adcs認證的公鑰

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。