什么是 Active Directory 證書(shū)服務(wù)？

Active Directory 證書(shū)服務(wù) (AD CS) 是一個(gè) Windows Server 角色，負(fù)責(zé)頒發(fā)和管理在安全通信和身份驗(yàn)證協(xié)議中使用的公鑰基礎(chǔ)結(jié)構(gòu) (PKI) 證書(shū)。

頒發(fā)和管理證書(shū)

數(shù)字證書(shū)可用于對(duì)電子文檔和消息進(jìn)行加密和數(shù)字簽名，以及對(duì)網(wǎng)絡(luò)上的計(jì)算機(jī)、用戶或設(shè)備帳戶進(jìn)行身份驗(yàn)證。 例如，數(shù)字證書(shū)用于提供：

• 通過(guò)加密提供機(jī)密性。

• 通過(guò)數(shù)字簽名提供完整性。

• 通過(guò)將證書(shū)密鑰和計(jì)算機(jī)、用戶或計(jì)算機(jī)網(wǎng)絡(luò)上的設(shè)備帳戶關(guān)聯(lián)來(lái)進(jìn)行身份驗(yàn)證。

主要功能

AD CS 提供以下重要功能：

• 證書(shū)頒發(fā)機(jī)構(gòu)：根和從屬證書(shū)頒發(fā)機(jī)構(gòu) (CA) 用于向用戶、計(jì)算機(jī)和服務(wù)頒發(fā)證書(shū)，并管理證書(shū)的有效性。

• 證書(shū)頒發(fā)機(jī)構(gòu) Web 注冊(cè)：Web 注冊(cè)使用戶能夠通過(guò) Web 瀏覽器連接到 CA，以便申請(qǐng)證書(shū)和檢索證書(shū)吊銷列表 (CRL)。

• 聯(lián)機(jī)響應(yīng)程序：聯(lián)機(jī)響應(yīng)程序服務(wù)可解碼對(duì)特定證書(shū)的吊銷狀態(tài)申請(qǐng)，評(píng)估這些證書(shū)的狀態(tài)，并發(fā)送回包含所申請(qǐng)證書(shū)狀態(tài)信息的簽名響應(yīng)。

• 網(wǎng)絡(luò)設(shè)備注冊(cè)服務(wù)：通過(guò)此服務(wù)，路由器和其他不具有域帳戶的網(wǎng)絡(luò)設(shè)備可以獲取證書(shū)。

• TPM 密鑰證明：通過(guò)它，證書(shū)頒發(fā)機(jī)構(gòu)可驗(yàn)證私鑰是否受基于硬件的 TPM 保護(hù)以及 TPM 是否受 CA 信任。 TPM 密鑰證明可防止證書(shū)導(dǎo)出到未經(jīng)授權(quán)的設(shè)備，還可將用戶標(biāo)識(shí)綁定到設(shè)備。

• 證書(shū)注冊(cè)策略 Web 服務(wù)：通過(guò)此服務(wù)，用戶和計(jì)算機(jī)能夠獲取證書(shū)注冊(cè)策略信息。

• 證書(shū)注冊(cè) Web 服務(wù)：通過(guò)此服務(wù)，用戶和計(jì)算機(jī)能夠通過(guò) Web 服務(wù)執(zhí)行證書(shū)注冊(cè)。 與證書(shū)注冊(cè)策略 Web 服務(wù)一起使用時(shí)，可在客戶端計(jì)算機(jī)不是域成員或域成員未連接到域時(shí)實(shí)現(xiàn)基于策略的證書(shū)注冊(cè)。

優(yōu)點(diǎn)

你可以使用 AD CS，通過(guò)將個(gè)人、計(jì)算機(jī)或服務(wù)的標(biāo)識(shí)與相應(yīng)的私鑰進(jìn)行綁定來(lái)增強(qiáng)安全性。 AD CS 為你提供了一種對(duì)證書(shū)的分發(fā)和使用進(jìn)行管理的經(jīng)濟(jì)、高效和安全的方法。 除了綁定標(biāo)識(shí)和私鑰外，AD CS 還包含可用于管理證書(shū)注冊(cè)和吊銷的功能。

可以使用 Active Directory 中的現(xiàn)有終結(jié)點(diǎn)標(biāo)識(shí)信息來(lái)注冊(cè)證書(shū)，這意味著可以將信息自動(dòng)插入到證書(shū)中。 AD CS 還可用于配置 Active Directory 組策略，以指定允許哪些用戶和計(jì)算機(jī)使用哪些類型的證書(shū)。 組策略配置可實(shí)現(xiàn)基于角色或基于屬性的訪問(wèn)控制。

AD CS 支持的應(yīng)用領(lǐng)域包括安全/多用途 Internet 郵件擴(kuò)展 (S/MIME)、安全的無(wú)線網(wǎng)絡(luò)、虛擬專用網(wǎng)絡(luò) (VPN)、Internet 協(xié)議安全 (IPsec)、加密文件系統(tǒng) (EFS)、智能卡登錄、安全套接字層/傳輸層安全性 (SSL/TLS) 以及數(shù)字簽名。

其他

如果要部署NPS（網(wǎng)絡(luò)策略服務(wù)器）也需要安裝證書(shū)服務(wù)器才能正常使用。

AD CS 安裝前提

• 登錄操作安裝的用戶必須是域管理員、企業(yè)管理員。所以直接使用administrator 比較好。

• 配置的服務(wù)器必須已經(jīng)加入進(jìn)域控。

AD CS 正式安裝

## powershell 管理員執(zhí)行
Install-WindowsFeature AD-Certificate -IncludeManagementTools 
# 安裝證書(shū)服務(wù)
Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
# 安裝證書(shū)頒發(fā)機(jī)構(gòu)功能

## powershell 管理員執(zhí)行
Install-WindowsFeature ADCS-Web-Enrollment -IncludeManagementTools
# 安裝證書(shū)Web服務(wù)功能

初始化CA證書(shū)和Web服務(wù)

初始化CA證書(shū)，指定加密算法和過(guò)期時(shí)間

## powershell 管理員執(zhí)行
Install-AdcsCertificationAuthority -CAType EnterpriseRootCA -HashAlgorithmName SHA256 -ValidityPeriod Years -ValidityPeriodUnits 99

安裝和初始化證書(shū)Web服務(wù)

## powershell 管理員執(zhí)行
Install-AdcsWebEnrollment
# 安裝角色
New-WebBinding -Name "Default Web Site" -Protocol "https"
# IIS開(kāi)啟https
Get-ChildItem -Path Cert:\LocalMachine\My
# 獲取證書(shū)指紋，找到和主機(jī)名對(duì)應(yīng)的證書(shū)，復(fù)制前面的指紋。
(Get-WebBinding -Name "Default Web Site" -Port 443 -Protocol "https").AddSslCertificate("7AE5AB7D969B8A37D6436B2FF926D8B0859D6E54", "my")
# IIS綁定證書(shū)

Web申請(qǐng)證書(shū)

訪問(wèn) https://localhost/certsrv/Default.asp 進(jìn)行申請(qǐng)

PS：此界面也可以下載CA根證書(shū)進(jìn)行信任，域控環(huán)境下的計(jì)算機(jī)會(huì)自動(dòng)下發(fā)此CA證書(shū)。

使用Powershell快速申請(qǐng)cer 格式 Web證書(shū) - 注意域名

## powershell 管理員執(zhí)行
$inf = @"
[Version]
Signature="\$Windows NT$"
[NewRequest]
Subject = "CN=www.songxwn.com"
KeySpec = 1
KeyLength = 2048
HashAlgorithm = sha256
KeyAlgorithm = RSA
Exportable = TRUE
RequestType = PKCS10
SMIME = FALSE
KeyUsage = 0xa0
[RequestAttributes]
CertificateTemplate = WebServer
"@
cd C:\
mkdir C:\temp
Set-Content -Path "C:\temp\mycert.inf" -Value $inf -Encoding ASCII
certreq -new    C:\temp\mycert.inf C:\temp\mycert.req
certreq -submit C:\temp\mycert.req C:\temp\mycert.cer
certreq -accept C:\temp\mycert.cer

為域名songxwn.com 申請(qǐng)證書(shū)，執(zhí)行過(guò)程會(huì)讓你選擇證書(shū)頒發(fā)機(jī)構(gòu)，最終輸出證書(shū)文件為mycert.cer

生成Nginx可用證書(shū)

安裝openssl

## powershell 管理員執(zhí)行
winget.exe install ShiningLight.OpenSSL.Dev

導(dǎo)出PFX 證書(shū) - 注意域名

## powershell 管理員執(zhí)行
# 設(shè)定常量
$Subject = "*CN=www.songxwn.com*"                  # 用你的域名/CN特征替換
$PfxPath = "C:\temp\www.songxwn.com.pfx"           # 用你的域名/CN特征替換
$Password = ConvertTo-SecureString -String "Songxwn.Password123!" -Force -AsPlainText  # 導(dǎo)出密碼
# 找到指定證書(shū)
$cert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.Subject -like $Subject }
# 導(dǎo)出到PFX
Export-PfxCertificate -Cert $cert -FilePath $PfxPath -Password $Password

使用openssl 轉(zhuǎn)換證書(shū)格式 - 注意域名、路徑、密碼

## powershell 管理員執(zhí)行
cd "C:\Program Files\OpenSSL-Win64\bin"
.\openssl.exe pkcs12 -in C:\temp\www.songxwn.com.pfx -nocerts -nodes -out C:\temp\www.songxwn.com.key -password pass:Songxwn.Password123!
.\openssl.exe pkcs12 -in C:\temp\www.songxwn.com.pfx -clcerts -nokeys -out C:\temp\www.songxwn.com.crt -password pass:Songxwn.Password123!

以下是用于 IIS、Nginx 等主流Web服務(wù)器的常見(jiàn)證書(shū)格式及其詳細(xì)說(shuō)明，包括各自的文件擴(kuò)展名、內(nèi)容結(jié)構(gòu)、適用場(chǎng)景以及如何進(jìn)行格式轉(zhuǎn)換的方法。希望幫助你理解如何選擇和準(zhǔn)備正確的證書(shū)格式。

證書(shū)格式介紹

主要SSL證書(shū)文件格式

1. PEM格式（常見(jiàn)于Linux、Nginx、Apache等）

• 擴(kuò)展名：.pem / .crt / .cer / .key
• 編碼：Base64，ASCII文本
• 內(nèi)容：頭尾分別有-----BEGIN CERTIFICATE-----/-----END CERTIFICATE-----
• 包含內(nèi)容：
  • 證書(shū)（公鑰）：-----BEGIN CERTIFICATE-----
  • 私鑰：-----BEGIN PRIVATE KEY----- 或 -----BEGIN RSA PRIVATE KEY-----

常見(jiàn)用法：

• Nginx、Apache、Tomcat、HAProxy 等服務(wù)器，分別要求證書(shū)文件和私鑰文件。

示例：

-----BEGIN CERTIFICATE-----
MIIRDzCCAiagAwIBAgIQHxQp...
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
MIIEvQIBADANBgkqh...
-----END PRIVATE KEY-----

2. DER格式（常見(jiàn)于Java、Windows）

• 擴(kuò)展名：.der / .cer
• 編碼：二進(jìn)制
• 內(nèi)容：僅證書(shū)，不包含私鑰
• 應(yīng)用：主要用于Java平臺(tái)（如Tomcat keystore/JKS導(dǎo)入），或有的Windows/IIS。

用法補(bǔ)充：

• DER格式常作為證書(shū)數(shù)量較多或須用二進(jìn)制格式時(shí)使用。

3. PFX/P12格式（IIS/Windows，部分Linux也支持）

• 全稱：PKCS#12
• 擴(kuò)展名：.pfx / .p12
• 內(nèi)容：證書(shū)（公鑰）+ 私鑰 + 可選CA根證書(shū)，全部打包在一個(gè)文件中，并用密碼保護(hù)
• 編碼：二進(jìn)制
• 典型應(yīng)用：IIS、Windows Server、Azure、IIS Express、某些支持SSL的Windows應(yīng)用。

注意事項(xiàng)：

• 導(dǎo)入PFX時(shí)須輸入密碼（PFX/P12導(dǎo)出時(shí)必須指定密碼）。

4. P7B/P7C格式（僅含證書(shū)，不含私鑰）

• 全稱：PKCS#7
• 擴(kuò)展名：.p7b / .p7c
• 內(nèi)容：只含公鑰證書(shū)簽名鏈，不包含私鑰
• 編碼：ASCII（Base64）或二進(jìn)制
• 應(yīng)用場(chǎng)景：CA連帶證書(shū)鏈傳遞，IIS、Java等平臺(tái)的證書(shū)鏈導(dǎo)入

IIS和Nginx的證書(shū)格式要求及部署說(shuō)明

（1）IIS

• 推薦格式：.pfx （PKCS#12，含私鑰）
• 支持格式：導(dǎo)入向?qū)б仓С?nbsp;.cer / .crt，但必須提前在Windows證書(shū)管理器導(dǎo)入私鑰
• 部署說(shuō)明：
  • 在證書(shū)向?qū)е幸隤FX文件，輸入私鑰導(dǎo)出密碼即可全部配置。
  • 如僅有.cer/.crt則需用“證書(shū)管理器—導(dǎo)入”方式。

如何轉(zhuǎn)換為PFX格式：

# 合并已有證書(shū)文件和私鑰生成pfx
openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt -certfile chain.crt

（2）Nginx

• 推薦格式：PEM格式（明文Base64）
  • server.crt ：服務(wù)器公鑰證書(shū)
  • server.key ：服務(wù)器私鑰
  • 可選 fullchain.crt：已拼接的主證書(shū)+CA證書(shū)鏈
• 部署說(shuō)明：
  • ssl_certificate (指定公鑰或fullchain)
  • ssl_certificate_key (指定私鑰)

示例Nginx配置片段：

ssl_certificate     /etc/nginx/ssl/server.crt;
ssl_certificate_key /etc/nginx/ssl/server.key;
# 若有CA證書(shū)鏈，建議如下配置
# 或?qū)㈡溨苯悠唇訉?xiě)入server.crt

拼接證書(shū)鏈方法（主證書(shū)在前，鏈一路向下拼接）：

cat server.crt intermediate.crt root.crt > fullchain.crt

不同格式之間的轉(zhuǎn)換方法

• PEM轉(zhuǎn)PFX

  openssl pkcs12 -export -out server.pfx \
      -inkey server.key -in server.crt -certfile ca_bundle.crt
  

• PFX轉(zhuǎn)PEM

  openssl pkcs12 -in server.pfx -out server.pem -nodes
  # 生成帶有證書(shū)和私鑰的pem，自己分離出來(lái)
  

• PEM轉(zhuǎn)DER

  openssl x509 -in server.crt -outform der -out server.der
  

• DER轉(zhuǎn)PEM

  openssl x509 -in server.der -inform der -out server.crt
  

• P7B轉(zhuǎn)PEM

  openssl pkcs7 -print_certs -in server.p7b -out server.crt
  

總結(jié)表格

微軟官方文檔

https://learn.microsoft.com/en-us/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority

到此這篇關(guān)于Windows Server 2025 安裝AD CS角色和頒發(fā)證書(shū)的文章就介紹到這了,更多相關(guān)Server 2025 安裝AD證書(shū)內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論