最近豆子需要清理一下公司的pki伺服器。由於歷史原因,公司之前內網裡面搭建了2臺enterprise root級別的ca伺服器,老闆讓我再搭建乙個新的,然後把之前的2臺處理掉。微軟的ad環境裡面是允許同時搭建多個pki結構的,不過這樣導致的後果就是可能客戶端申請證書的時候會隨機申請乙個,這樣的後果是很難管理的。
經過一番研究,發現一般的處理流程如下:
安裝新的ca
舊的ca上解除安裝掉certificate template(證書模板),這樣就不能繼續簽發新的證書
新的ca上新增對應的模板
對於手動簽發的證書可以手動的更新
對於自動enroll的證書可以通過reenroll指向新的ca,這裡需要配置對應的組策略
重複4-5,直到所有的證書都成功修改替換,最後關掉舊的ca
如果需要立刻關掉舊的ca,需要考慮延長crl的時間
首先搭建了乙個模擬環境來試試
基本環境:
2012 r2 域控 dc1
2012 r2 證書伺服器 ca2 (新的ca)
2008 r2 證書伺服器 ca1 (舊的ca)
2008 r2 網頁伺服器 web1
window 7 客戶端 win7
實驗流程:從ca1簽發efs證書 ,domaincontroller證書和 web server 證書,在對應的客戶端進行配置; 然後安裝ca2 為新的root ca;手動更改證書到新的ca
接下來首先模擬簽發的過程
首先在ca1上安裝ad cs,過程略
安裝成功以後可以通過iis檢視
接下來配置efs的證書,efs可以允許使用者加密自己的文件。
登入win7 客戶端,控制面板
建立乙個新的證書
從域內的ca簽發
成功的從ca1簽發
指定用這個證書加密的物件
完成證書的建立以後,退回到c:\confidential 資料夾,開啟加密的選項
可以看見這個資料夾變成綠色了,然後在裡面建立乙個新的檔案,他會自動用證書加密。
接下來,我需要建立乙個domaincontroller的證書。登入到域控,從mmc新增certificate snapin
然後傳送乙個證書請求
選擇需要的證書型別
成功簽發
最後需要簽發乙個web server的證書。登入web1,開啟iis,server certificate裡面可以進行請求
具體的步驟略
成功匯入證書後,然後繫結證書到https
現在已經成功的簽發了 efs, domain和 web server的證書了。
下一步我們來看看如何更新到ca2上。
校驗ca證書的合法性
我們知道ca機構有自己的根公鑰和根私鑰。在證書頒發之前,機構會用根私鑰將這個證書內容加密得到乙個簽名,這個簽名只能用對應的根公鑰去解密。在客戶端 瀏覽器 收到服務端發過來的證書以後,我們首先從瀏覽器中拿到機構的根公鑰,用這個根公鑰去解析證書的簽名得到乙個雜湊值h1,這個h1代表證書的原始內容,假設這...
使用微軟的工具生成證書
一,使用微軟的工具不採用私鑰檔案 1.製作根證書 makecert sk mypk ss myssname n cn 公司名稱 r myroot.cer sk 表示主題的金鑰容器位置,ss 主題的證書儲存名稱,n 證書頒發物件,r 證書儲存位置 2.製作子證書 makecert sk mypk is...
CA證書自簽詳解 比較清晰的講解
本文記錄linux環境和windows環境下ca證書的辦法過程 一 linux環境下頒發ca證書 首先需要安裝openssl。首先需要利用openssl生成根證書,以後的伺服器端證書或者客戶端證書都用他來簽發,可以建立多個根證書。在centos6.3上安裝openssl的命令如下 yum insta...