通过 SCEP 使用 Microsoft 证书颁发机构管理证书

本节提供有关以下项目的说明:

注意: Windows Server 2016 操作系统用于本文档中的所有设置。

概述

根 CA 服务器是任何组织中的主要 CA 服务器,并且是 PKI 基础设施的顶部。根 CA 对从属 CA 服务器进行身份验证。此服务器通常保持脱机模式,以防止任何入侵并保护私钥。

要配置根 CA 服务器,请执行以下操作:

  1. 确保根 CA 服务器已安装。如需更多信息,请参阅安装根 CA 服务器

  2. 配置“证书分发点”和“颁发机构信息访问”设置。如需更多信息,请参阅配置证书分发点和颁发机构信息访问设置

  3. 配置 CRL 可访问性。如需更多信息,请参阅配置 CRL 可访问性

安装根 CA 服务器

  1. 从“服务器管理器”,单击管理 > 添加角色和特性

  2. 单击服务器角色,选择 Active Directory 证书服务及其所有特性,然后单击下一步

  3. 从 AD CS 角色服务部分,选择证书颁发机构,然后单击下一步 > 安装

  4. 安装后,单击配置目标服务器上的 Active Directory 证书服务

  5. 从角色服务部分,选择证书颁发机构 >下一步

  6. 从设置类型部分,选择独立 CA,然后单击下一步

  7. 从 CA 类型部分,选择根 CA,然后单击下一步

  8. 选择创建一个新的私钥,然后单击下一步

  9. 从选择译电员提供程序菜单中,选择 RSA#Microsoft 软件密钥存储提供程序

  10. 从密钥长度菜单中,选择 4096

  11. 在哈希算法列表中,选择 SHA512,然后单击下一步

  12. 在此 CA 的常用名字段中,键入托管服务器名称。

  13. 在可分辨名称后缀字段中,键入域组件。

    示例 CA 名称配置

    机器完全合格域名 (FQDN): test.dev.lexmark.com

    常用名 (CN): TEST

    可分辨名称后缀: DC=DEV,DC=LEXMARK,DC=COM

  14. 单击下一步

  15. 指定有效期,然后单击下一步

    注意: 通常,有效期为 10 年。

  16. 不要更改数据库位置窗口中的任何内容。

  17. 完成安装。

使用 NDES 配置 Microsoft 企业 CA

概述

在以下部署场景中,所有权限都基于在域控制器中发布的证书模板上设置的权限。发送到 CA 的证书请求基于证书模板。

对于此设置,请确保您具有以下条件:

所需用户

在域控制器中创建以下用户:

配置从属 CA 服务器

概述

从属 CA 服务器是中间 CA 服务器,并且始终处于联机状态。它通常处理证书的管理。

要配置从属 CA 服务器,请执行以下操作:

  1. 确保从属 CA 服务器已安装。如需更多信息,请参阅安装从属 CA 服务器

  2. 配置“证书分发点”和“颁发机构信息访问”设置。如需更多信息,请参阅配置证书分发点和颁发机构信息访问设置

  3. 配置 CRL 可访问性。如需更多信息,请参阅配置 CRL 可访问性

安装从属 CA 服务器

  1. 从服务器,以 CAAdmin 域用户身份登录。

  2. 从“服务器管理器”,单击管理 > 添加角色和特性

  3. 单击服务器角色,选择 Active Directory 证书服务及其所有特性,然后单击下一步

  4. 从 AD CS 角色服务部分,选择证书颁发机构证书颁发机构 Web 注册,然后单击下一步

    注意: 确保添加证书颁发机构 Web 注册的所有特性。

  5. 从 Web 服务器角色 (IIS) 角色服务部分,保留默认设置。

  6. 安装后,单击配置目标服务器上的 Active Directory 证书服务

  7. 从角色服务部分,选择证书颁发机构证书颁发机构 Web 注册,然后单击下一步

  8. 从设置类型部分,选择企业 CA,然后单击下一步

  9. 从 CA 类型部分,选择从属 CA,然后单击下一步

  10. 选择创建一个新的私钥,然后单击下一步

  11. 从选择译电员提供程序菜单中,选择 RSA#Microsoft 软件密钥存储提供程序

  12. 从密钥长度菜单中,选择 4096

  13. 在哈希算法列表中,选择 SHA512,然后单击下一步

  14. 在此 CA 的常用名字段中,键入主机服务器名称。

  15. 在可分辨名称后缀字段中,键入域组件。

    示例 CA 名称配置

    机器完全合格域名 (FQDN):test.dev.lexmark.com

    常用名 (CN):TEST

    可分辨名称后缀:DC=DEV,DC=LEXMARK,DC=COM

  16. 在证书请求对话框中,保存请求文件,然后单击下一步

  17. 不要更改数据库位置窗口中的任何内容。

  18. 完成安装。

  19. 签署根 CA 的 CA 请求,然后以 PKCS7 格式导出签名证书。

  20. 从从属 CA,打开证书颁发机构

  21. 从左侧面板,用鼠标右键单击 CA,然后单击所有任务 > 安装 CA 证书

  22. 选择签名证书,然后启动 CA 服务。

配置证书分发点和颁发机构信息访问设置

注意: 为证书吊销列表 (CRL) 配置证书分发点 (CDP) 和颁发机构信息访问 (AIA) 设置。

  1. 从“服务器管理器”,单击工具 > 证书颁发机构

  2. 从左侧面板,用鼠标右键单击 CA,然后单击属性 > 扩展

  3. 在选择扩展菜单中,选择 CRL 分发点 (CDP)

  4. 在证书吊销列表中,选择 C:\Windows\system32\ 条目,然后执行以下操作:

    1. 选择将 CRL 发布到此位置

    2. 清除将 Delta CRL 发布到此位置

  5. 删除除 C:\Windows\system32\ 外的所有其他条目。

  6. 单击添加

  7. 在位置字段中,添加 http://serverIP/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl,其中 serverIP 是服务器的 IP 地址。

    注意: 如果您的服务器可以使用 FQDN 进行访问,则使用 <ServerDNSName>,而不是服务器 IP 地址。

  8. 单击确定

  9. 为创建的条目选择包括在已颁发证书的 CDP 扩展中

  10. 在选择扩展菜单中,选择颁发机构信息访问 (AIA)

  11. 删除除 C:\Windows\system32\ 外的所有其他条目。

  12. 单击添加

  13. 在位置字段中,添加 http://serverIP/CertEnroll/<ServerDNSName>_<CAName><CertificateName>.crt,其中 serverIP 是服务器的 IP 地址。

    注意: 如果您的服务器可以使用 FQDN 进行访问,则使用 <ServerDNSName>,而不是服务器 IP 地址。

  14. 单击确定

  15. 为创建的条目选择包括在已颁发证书的 AIA 扩展中

  16. 单击应用 > 确定

    注意: 如果需要,请重新启动证书服务。

  17. 从左侧面板,展开 CA,用鼠标右键单击已吊销证书,然后单击属性

  18. 指定 CRL 发布间隔和发布 Delta CRL 发布间隔的值,然后单击应用 > 确定

  19. 从左侧面板,用鼠标右键单击已吊销证书,单击所有任务,然后发布新 CRL。

配置 CRL 可访问性

注意: 在开始之前,请确保“Internet 信息服务 (IIS) 管理器”已安装。

  1. 从“IIS 管理器”,展开 CA,然后展开站点

  2. 用鼠标右键单击默认 Web 站点,然后单击添加虚拟目录

  3. 在别名字段中,键入 CertEnroll

  4. 在物理路径字段中,键入 C:\Windows\System32\CertSrv\CertEnroll

  5. 单击确定

  6. 用鼠标右键单击 CertEnroll,然后单击编辑权限

  7. 从安全选项卡,移除除系统外的所有写访问权限。

  8. 单击确定

配置 NDES 服务器

  1. 从服务器,以 SCEPAdmin 域用户身份登录。

  2. 从“服务器管理器”,单击管理 > 添加角色和特性

  3. 单击服务器角色,选择 Active Directory 证书服务及其所有特性,然后单击下一步

  4. 从 AD CS 角色服务部分,清除证书颁发机构

  5. 选择网络设备注册服务及其所有特性,然后单击下一步

  6. 从 Web 服务器角色 (IIS) 角色服务部分,保留默认设置。

  7. 安装后,单击配置目标服务器上的 Active Directory 证书服务

  8. 从角色服务部分,选择网络设备注册服务,然后单击下一步

  9. 选择 SCEPSvc 服务帐户。

  10. 从 NDES 的 CA 部分,选择 CA 名称计算机名称,然后单击下一步

  11. 从 RA 信息部分,指定信息,然后单击下一步

  12. 从 NDES 的加密部分,执行以下操作:

    • 选择适当的签名和加密密钥提供程序。

    • 从密钥长度菜单中,选择与 CA 服务器相同的密钥长度。

  13. 单击下一步

  14. 完成安装。

您现在可以作为 SCEPSvc 用户从 Web 浏览器访问 NDES 服务器。从 NDES 服务器,可以查看 CA 证书缩略图,注册质询密码,以及质询密码的有效期。

访问 NDES 服务器

打开 Web 浏览器,然后键入 http://NDESserverIP/certsrv/mscep_admin,其中 NDESserverIP 是 NDES 服务器的 IP 地址。

为 MVE 配置 NDES

注意: 在开始之前,请确保 NDES 服务器正常工作。

创建证书模板

  1. 从从属 CA (certserv),打开证书颁发机构

  2. 从左侧面板,展开 CA,用鼠标右键单击证书模板,然后单击管理

  3. 在证书模板控制台中,创建 Web 服务器的副本。

  4. 从常规选项卡,键入 MVEWebServer 作为模板名称。

  5. 从安全选项卡,为 SCEPAdminSCEPSvc 用户赋予适当的权限。

    注意: 如需更多信息,请参阅所需用户

  6. 从主题名称选项卡,选择在请求中提供

  7. 从从属 CA (certserv),打开证书颁发机构

  8. 从扩展选项卡,选择应用程序策略 > 编辑

  9. 单击添加 > 客户端身份验证 > 确定

  10. 从左侧面板,展开 CA,用鼠标右键单击证书模板,然后单击新建 > 要发布的证书模板

  11. 选择新创建的证书,然后单击确定

您现在可以使用 CA Web 注册门户访问模板。

访问模板

  1. 打开 Web 浏览器,然后键入 http://CAserverIP/certsrv/certrqxt.asp,其中 CAserverIP 是 CA 服务器的 IP 地址。

  2. 在证书模板菜单中,查看模板。

为 NDES 设置证书模板

  1. 从您的计算机,启用注册表编辑器。

  2. 导览至 HKEY_LOCAL_MACHINE >SOFTWARE >Microsoft > Cryptography > MSCEP

  3. 配置以下项目,然后将它们设置为 MVEWebServer

    • EncryptionTemplate

    • GeneralPurposeTemplate

    • SignatureTemplate

  4. 向 SCEPSvc 用户授予 MSCEP 的完全权限。

  5. 从“IIS 管理器”,展开 CA,然后单击应用程序池

  6. 从右侧面板,单击回收来重新启动 SCEP 应用程序池。

  7. 从“IIS 管理器”,展开 CA,然后展开站点 > 默认 Web 站点

  8. 从右侧面板,单击重新启动

在 Microsoft CA 服务器中禁用质询密码

  1. 从您的计算机,启用注册表编辑器。

  2. 导览至 HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Cryptography > MSCEP

  3. 将 EnforcePassword 设置为 0

  4. 从“IIS 管理器”,展开 CA,单击应用程序池,然后选择 SCEP

  5. 从右侧面板,单击高级设置

  6. 将加载用户配置文件设置为,然后单击确定

  7. 从右侧面板,单击回收来重新启动 SCEP 应用程序池。

  8. 从“IIS 管理器”,展开 CA,然后展开站点 > 默认 Web 站点

  9. 从右侧面板,单击重新启动

从 Web 浏览器打开 NDES 时,您现在只能查看 CA 缩略图。