关于域证书的发布CA和CRL的内容 (Windows 2008 Server R2 SP1)
2012-03-30 10:34
1166 查看
1.创建一个域根证书发布机构(CA ),一般是在AD上(域控)
添加Role
别忘记选择Web 配置
Next > Next, 然后这边选择root CA, 如果选择Sub... 就是子证书发布机构,它需要你先有一个根证书的CA, 很好理解
其它默认Next下去即可,安装完成
2.简单的为自己的web site站点申请证书
在Web server 上,打开IIS Manager, 在对应的Server那里,选择Server Certificates (服务器证书)
然后创建一个域证书
!!!注意 在创建输入的时候 Common name,必须是你准备issued to的Web address, 就是你想使用证书绑定的网站的网址,不是IP
Next, 选择一个CA,我们上面创建的那个
Friendly name反而不是那么重要,随便输一个,我这里输入的是"DS1"
打开Web Site, 就是你要绑定证书的那个站点,我这边使用默认的,然后Bind上你上面创建的证书
3.证书
a) 对于不在这个域里的机器,配置你的DNS,修改Host文件,使能够解析到你上述网站, 输入它的网址,记得输入完整的网址,不是IP !!!
很漂亮的红叉叉= =~(这是没有配置证书的情况), 直接输入IP也会这样
下载root的证书,因为我们的证书是从上述root CA上申请,所以输入http://RootCA's servername/certsrv 去下载证书
然后安装
再次登陆, 就没有那个红叉叉了.
b)对于在这个域的机器,会默认安装域中的CA的Root 证书的,所以直接连,就可以了
4.证书与CA之间的沟通
下载了证书,在你登录https,或者做出需要证书验证的动作的时候, 这时候会有个和CA的CRL通信:
a)如果你的CA 服务器关闭了或者无法连接了,证书就有可能失效了
b)如果是正常连接,但是你的CA服务器被Revoke,那么证书也会失效
c)如果上述都正常使用的话,Client就会有个CRL类似缓存文件一样,记录在你的机器上
清除命令是 certutil -urlcache crl delete
d)如何取消上述Client和CA的确认通信呢:
方法1:改注册表值,HKLM或者HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\,然后新建 DWORD "CertificateRevocation" = 0
以下其它位置亦可:
HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\InternetSettings\CertificateRevocation
HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\InternetSettings\CertificateRevocation
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\CertificateRevocation
方法2:打开IE,选择Internet Options --> Advanced Tab --> server certificate revocation 不要勾选上
e)最后如果你的Client的日期时间超过了期限,那么证书还是失效了.
添加Role
别忘记选择Web 配置
Next > Next, 然后这边选择root CA, 如果选择Sub... 就是子证书发布机构,它需要你先有一个根证书的CA, 很好理解
其它默认Next下去即可,安装完成
2.简单的为自己的web site站点申请证书
在Web server 上,打开IIS Manager, 在对应的Server那里,选择Server Certificates (服务器证书)
然后创建一个域证书
!!!注意 在创建输入的时候 Common name,必须是你准备issued to的Web address, 就是你想使用证书绑定的网站的网址,不是IP
Next, 选择一个CA,我们上面创建的那个
Friendly name反而不是那么重要,随便输一个,我这里输入的是"DS1"
打开Web Site, 就是你要绑定证书的那个站点,我这边使用默认的,然后Bind上你上面创建的证书
3.证书
a) 对于不在这个域里的机器,配置你的DNS,修改Host文件,使能够解析到你上述网站, 输入它的网址,记得输入完整的网址,不是IP !!!
很漂亮的红叉叉= =~(这是没有配置证书的情况), 直接输入IP也会这样
下载root的证书,因为我们的证书是从上述root CA上申请,所以输入http://RootCA's servername/certsrv 去下载证书
然后安装
再次登陆, 就没有那个红叉叉了.
b)对于在这个域的机器,会默认安装域中的CA的Root 证书的,所以直接连,就可以了
4.证书与CA之间的沟通
下载了证书,在你登录https,或者做出需要证书验证的动作的时候, 这时候会有个和CA的CRL通信:
a)如果你的CA 服务器关闭了或者无法连接了,证书就有可能失效了
b)如果是正常连接,但是你的CA服务器被Revoke,那么证书也会失效
c)如果上述都正常使用的话,Client就会有个CRL类似缓存文件一样,记录在你的机器上
清除命令是 certutil -urlcache crl delete
d)如何取消上述Client和CA的确认通信呢:
方法1:改注册表值,HKLM或者HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\,然后新建 DWORD "CertificateRevocation" = 0
以下其它位置亦可:
HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\InternetSettings\CertificateRevocation
HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\InternetSettings\CertificateRevocation
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\CertificateRevocation
方法2:打开IE,选择Internet Options --> Advanced Tab --> server certificate revocation 不要勾选上
e)最后如果你的Client的日期时间超过了期限,那么证书还是失效了.
相关文章推荐
- 关于域证书的发布CA和CRL的内容 (Windows 2008 Server R2 SP1)
- 微软正式发布 Windows 7/ Server 2008 R2 SP1 RC
- 微软今天发布Windows 7/Server 2008 R2 SP1 RC候选版
- Windows 7/Server 2008 R2 SP1正式发布
- Windows 7 SP1 Windows 2008 R2 SP1 Beta 版本发布!
- Server 2008 R2 SP1 无法将Windows安装到磁盘X的分区Y 上 推荐
- 时代互联 域名注册查询接口api的使用 (w3Sockets)(这篇文章,关于是放到C:\WINDOWS或者是C:\WINDOWS\system32要亲自试试,附带在 server 2008 R2下无法运行的解决方法)
- SERVER 2008 R2 SP1下的内存虚拟盘(支持32位,64位的所有windows版本)
- Windows Storage Server 2008 R2发布及粗识
- SERVER 2008 R2 SP1下的内存虚拟盘(支持32位,64位的所有windows版本)
- Windows Storage Server 2008 R2发布及粗识
- cn_windows_server_2008_r2_standard_enterprise_datacenter_and_web_with_sp1
- Windows 2008 R2 Sp1平台整合部署Ex2010与Lync Server 2010参考(一)v1.0
- Windows 2008 R2 Sp1平台整合部署Ex2010与Lync Server 2010参考(二)v1.0
- Windows 2008 R2 Sp1平台整合部署Ex2010与Lync Server 2010参考(三)v1.0
- 如何使用slmgr架设KMS激活服务器激活Windows 7/Server 2008 R2
- 微软提供Windows 2008 R2 with sp1 180天试用版
- 关于windows 2008 R2 AD 森林、树、域创建
- Windows 7 SP1 2008 R2 SP1 RTM 安装过程截图及下载
- Windows HPC Server 2008 R2 简体中文版 下载