由于证书注册WEB服务的部署方法,和CA与证书注册WEB服务是否安装在同一台计算机,以及安装过程中身份验证方式的选择有关,
以下CA与证书注册WEB服务安装在同一台计算机的设置过程。
实验环境:
所有操作在虚拟机上完成。
本实验使用了两台安装了Windows Server 2008 R2的计算机,其中计算机DCSRV01,DC,实验前已给安装了CA。计算机Client01,已加入到域。
操作步骤。
以下操作过程在DCSRV01上完成。
打开活动目录用户和计算机,增加一个用户CAservice,并将它加入到IIS_USERS组。这个用户将用作服务账号
安装证书注册策略WEB服务
选择Windows集中身份验证。
选择证书。
打开IIS管理器,查看安装后的变化。网站绑定了SSL证书。
查看应用程序池(标识)
编辑“应用程序设置”中的“FriendlyName”的值为”Hbsycsrsj.COM”
将“URL”的值复制为另外一个文本文件。这个值后面将用到。
继续安装证书注册WEB服务
将服务账户凭据设置成前面建立的用户 CAService
打开IIS管理器,查看安装后的变化。
启用HbsycsrsjCA_CES_Kerberos身份验证、高级设置中的内核模式身份验证。
打开组策略管理控制台,编辑默认的域策略。
依次选择计算机策略、Windows设置、安全设置、公钥策略,证书服务客户端-证书注册策略。
选择配置型号中的已启用。如下图
删除上图中的活动目录注册策略。然后选择添加。
粘贴前面复制成文本文件中的URL值。选择验证,如果成功如下图。
在用户配置下进行相应的设置
安装Windows 修补程序KB2545850,重启计算机
注意Windows 7和Windows 2008计算机需要安装这个补丁,否则,申请证书时可能会出现如下图错误。
安装补丁、重启计算机后,运行MMC,添加“证书”管理单元,选择“用户”或“计算机”。
打开“个人”“证书”,选择申请证书。
申请过程中,在选择“证书注册策略”,选择如下图属性,会发现如下变化。
下图是在DC的申请过程。
申请成功。
本文转自ycrsjxy51CTO博客,原文链接:http://blog.51cto.com/ycrsjxy/1010761,如需转载请自行联系原作者
