Ako nainštalovať, konfigurovať a testovať certifikačné služby v doméne Windows Server 2012 R2

Kde sa zobrazí certifikát pre certifikačný server — Kliknite na rozbaľovaciu ponuku pod certifikátom SSL, kde sa zobrazí certifikát pre certifikačný server, kim-w12r2a10-CA a doménu (webový server), w12r2a10.kim.com.

Organizácia môže používať certifikáty z niekoľkých dôvodov, ako je napríklad zabezpečenie toho, aby prenášané údaje mohli čítať iba zamýšľaní príjemcovia. V doméne Windows Server 2012 R2 tento dokument ukazuje zobrazenie webových stránok, ktoré sú chránené certifikátmi a tie, ktoré nie sú.

Časť 1 z 5: kontrola konfigurácie

1
Skontrolujte konfiguráciu siete.
- Overte adresu IP, masku podsiete, preferovaný server DNS a názov počítača so systémom Windows Server 2012 R2: 172,16.150,10, 255,255.255,0, 172,16.150,10, w12r2a10
- Overte adresu IP, masku podsiete, preferovaný server DNS a názov počítača so systémom Windows 7: 172,16.150,15, 255,255.255,0, 172,16.150,10, w715.
2
Skontrolujte konfiguráciu domény.
- Overte, či je systém Windows Server 2012 R2 s názvom w12r2a10 nakonfigurovaný na hostenie domény kim.com, Passworda10.
- Overte, či je klient Windows 7 s názvom w7a15 nakonfigurovaný ako člen domény kim.com.
- Overte, či ste vytvorili používateľa domény s názvom raja.

Či je klient Windows 7 s názvom w7a15 nakonfigurovaný ako člen domény kim.com — Overte, či je klient Windows 7 s názvom w7a15 nakonfigurovaný ako člen domény kim.com.

Časť 2 z 5: Inštalácia, konfigurácia a overovanie certifikačných služieb AD

1
Nainštalujte služby certifikátu aktívneho adresára.
- Na zariadení s názvom w12r2a10, ktoré je hostiteľom domény kim.com, použite predvolené nastavenia.
- Nechajte okno priebehu inštalácie otvorené.
2
Konfigurujte služby certifikátu aktívneho adresára.
- Keď je modrý indikátor priebehu inštalácie 100%, kliknite na Konfigurovať certifikačné služby Active Directory na cieľovom serveri; táto akcia zobrazí okno Poverenia.
- Kliknutím na Ďalej zobrazíte Služby rolí.
- Začiarknite políčko vedľa položky Certifikačná autorita a kliknite na tlačidlo Ďalej.
- Niekoľkokrát kliknite na Ďalej, čím prijmete všetky predvolené nastavenia a zobrazíte Potvrdenie.
- Kliknutím na položku Konfigurovať zobrazíte výsledky a overíte, či je zelený kruh s bielym začiarknutím, a potom dvakrát kliknite na položku Zavrieť.
3
Overte aktívne certifikačné služby adresárov.
- Otvorte Nástroje pre správu a dvakrát kliknite na Certifikačnú autoritu.
- Rozbaľte kim-W12R2A10-CA a kliknite na Vydané certifikáty.
- Kliknite pravým tlačidlom myši na bielu oblasť a kliknite na položku Obnoviť, ak je prázdna.
- Reštartujte radič domény, ak je po niekoľkých obnovách stále prázdny.
- Po reštarte zobrazte vydané certifikáty a posuňte sa na pravý panel a skontrolujte ho.
- Všimnite si toho, že w12r2a10.kim.com je uvedený pod vydaným bežným názvom.

Ako napríklad Windows 7 — Klient Windows, ako napríklad Windows 7, pomenovaný w7a15, nakonfigurovaný ako člen domény kim.com.

Časť 3 z 5: Inštalácia a prehliadanie webového servera (IIS)

1
Nainštalujte webový server (IIS).
- Nakonfigurujte predvolené nastavenia pri inštalácii služby IIS na počítač s názvom w12r2a10, ktorý je hostiteľom domény kim.com.
- Nechajte okná priebehu inštalácie otvorené.
- Keď je modrý indikátor priebehu inštalácie 100%, kliknite na tlačidlo Zavrieť.
2
Prehliadajte webový server (IIS).
- Prejdite na položku Nástroje na správu.
- Dvakrát kliknite na položku Správca internetových informačných služieb.
- Rozbaľte w12r2a10 (KIM \...) a rozbaľte weby.
- Kliknite na položku Predvolená webová stránka a potom v časti Akcie kliknite na položku Väzby.
- Kliknite na Pridať.
- Kliknite na rozbaľovaciu ponuku pod položkou Typ a vyberte https.
- Kliknite na rozbaľovaciu ponuku pod certifikátom SSL, kde sa zobrazia certifikáty pre certifikačný server, kim-w12r2a01-CA a doménu (webový server), w12r2a10.kim.com.
- Kliknite na Zrušiť a potom na Zavrieť.

Časť 4 z 5: zobrazenie konfigurácie certifikátu člena domény

1
Zobraziť certifikát na člena domény.
- Prihláste sa do domény z w7a15 ako užívateľ raja. Nakonfigurujte IE tak, aby smeroval na vašu domovskú stránku http://w12r2a10.kim.com.
- Ukončite a reštartujte IE, aby sa zobrazila vaša domovská stránka.
- Prejdite na IE, Nástroje, Možnosti internetu, Obsah, Certifikáty a kliknutím na všetky karty zobrazte ich zoznamy.
- Všimnite si, že stredné certifikačné autority a dôveryhodné koreňové certifikačné autority majú záznam pre server certifikačnej autority, kim-w12r2a10-CA.
- Všimnite si, že Personal je prázdny; prečo? Pretože používateľ domény raja o to nepožiadal.
- Prejdite na IE, Nástroje, Možnosti internetu, Obsah, Vydavatelia a kliknite na všetky karty.
- Všimnite si, že stredné certifikačné autority a dôveryhodné koreňové certifikačné autority majú záznam pre server certifikačnej autority, kim-w12r2a10-CA.
- Všimnite si, že tento osobný je tiež prázdny.
- Prečo je záznam certifikátu v dôveryhodných koreňových certifikačných autoritách dôležitý, kim-w12r2a01-CA? Znamená to, že členský klient je serveru dôverovaný; klient môže konkrétne zobraziť stránku https, ak je webový server nakonfigurovaný na jeho poskytovanie.
2
Zobrazte svoju domovskú stránku na w7a15 pomocou https.
- Všimnite si toho, že aj keď server a klient majú certifikáty, https nefunguje.
- Všimnite si toho, že to nefunguje, pretože port 443 nie je nakonfigurovaný.

Či je systém Windows Server 2012 R2 s názvom w12r2a10 nakonfigurovaný na hostenie domény kim.com — Overte, či je systém Windows Server 2012 R2 s názvom w12r2a10 nakonfigurovaný na hostenie domény kim.com, Passworda10.

Časť 5 z 5: Použitie a overovanie vrstvy zabezpečeného soketu (SSL)

1
Konfigurácia SSL.
- V radiči domény prejdite na položku Nástroje na správu.
- Dvakrát kliknite na Správcu internetových informačných služieb a rozbaľte w12r2a10 (KIM \...)
- Rozbaliť stránky.
- Ak sa zobrazí výzva o webovej platforme Microsoft, kliknite na nie.
- Kliknite na položku Predvolená webová stránka a v časti Akcie kliknite na položku Väzby.
- Kliknite na Pridať.
- Kliknite na rozbaľovaciu ponuku pod položkou Typ a vyberte https.
- Kliknite na rozbaľovaciu ponuku pod certifikátom SSL, kde sa zobrazí certifikát pre certifikačný server, kim-w12r2a10-CA a doménu (webový server), w12r2a10.kim.com.
- Kliknite na OK..
- Všimnite si, že https je teraz uvedený vo väzbách stránok.
- Kliknite na Zavrieť.
- Server je teraz nakonfigurovaný na prístup https
2
Overte SSL.
- Prihláste sa do domény z w7a15 ako užívateľ raja.
- Zobrazte svoju domovskú stránku na w7a15 pomocou https.
- Všimnite si toho, že to funguje, pretože server je nakonfigurovaný na serverovanie https stránok.
- Všimnite si tiež, že aj keď raja nemá certifikát, z týchto dôvodov sa zobrazila stránka https.
  - w7a15, ktorý raja používa, má certifikát vydaný podnikovým CA.
  - kim-w12r2a01-CA; konkrétne teraz existuje dôvera medzi radičom domény a w7a15
  - Protokol SSL je nakonfigurovaný, ale nevynucuje sa

Tipy

Pred inštaláciou certifikačných služieb sa uistite, že môžete na doménu odoslať príkaz ping podľa FQDN.
Ako člena domény môžete použiť ľubovoľného klienta Windows, nemusí to byť Windows 7.
Môžete použiť ľubovoľnú adresu IP, názov domény, heslo a názov počítača.

Veci, ktoré budete potrebovať

1 Windows Server 2012 R2 s názvom w12r2a10, nakonfigurovaný ako hostiteľ domény kim.com, Passworda10.
1 Klient systému Windows, napríklad Windows 7, s názvom w7a15, nakonfigurovaný ako člen domény kim.com.
1 Doména, kim.com, užívateľ s názvom raja, heslo je Passwod01.

Prečítajte si tiež: Ako zabezpečiť smerovač Linksys?