欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Windows Server 2025 安裝AD CS角色和頒發(fā)證書

 更新時間:2025年05月27日 10:39:30   作者:網(wǎng)工格物  
Active Directory證書是一個用于頒發(fā)和管理公鑰基礎(chǔ)結(jié)構(gòu)(PKI)證書的角色,本文主要介紹了Windows Server 2025 安裝AD CS角色和頒發(fā)證書,感興趣的可以了解一下

什么是 Active Directory 證書服務(wù)?

Active Directory 證書服務(wù) (AD CS) 是一個 Windows Server 角色,負責(zé)頒發(fā)和管理在安全通信和身份驗證協(xié)議中使用的公鑰基礎(chǔ)結(jié)構(gòu) (PKI) 證書。

頒發(fā)和管理證書

數(shù)字證書可用于對電子文檔和消息進行加密和數(shù)字簽名,以及對網(wǎng)絡(luò)上的計算機、用戶或設(shè)備帳戶進行身份驗證。 例如,數(shù)字證書用于提供:

  • 通過加密提供機密性。

  • 通過數(shù)字簽名提供完整性。

  • 通過將證書密鑰和計算機、用戶或計算機網(wǎng)絡(luò)上的設(shè)備帳戶關(guān)聯(lián)來進行身份驗證。

主要功能

AD CS 提供以下重要功能:

  • 證書頒發(fā)機構(gòu):根和從屬證書頒發(fā)機構(gòu) (CA) 用于向用戶、計算機和服務(wù)頒發(fā)證書,并管理證書的有效性。

  • 證書頒發(fā)機構(gòu) Web 注冊:Web 注冊使用戶能夠通過 Web 瀏覽器連接到 CA,以便申請證書和檢索證書吊銷列表 (CRL)。

  • 聯(lián)機響應(yīng)程序:聯(lián)機響應(yīng)程序服務(wù)可解碼對特定證書的吊銷狀態(tài)申請,評估這些證書的狀態(tài),并發(fā)送回包含所申請證書狀態(tài)信息的簽名響應(yīng)。

  • 網(wǎng)絡(luò)設(shè)備注冊服務(wù):通過此服務(wù),路由器和其他不具有域帳戶的網(wǎng)絡(luò)設(shè)備可以獲取證書。

  • TPM 密鑰證明:通過它,證書頒發(fā)機構(gòu)可驗證私鑰是否受基于硬件的 TPM 保護以及 TPM 是否受 CA 信任。 TPM 密鑰證明可防止證書導(dǎo)出到未經(jīng)授權(quán)的設(shè)備,還可將用戶標識綁定到設(shè)備。

  • 證書注冊策略 Web 服務(wù):通過此服務(wù),用戶和計算機能夠獲取證書注冊策略信息。

  • 證書注冊 Web 服務(wù):通過此服務(wù),用戶和計算機能夠通過 Web 服務(wù)執(zhí)行證書注冊。 與證書注冊策略 Web 服務(wù)一起使用時,可在客戶端計算機不是域成員或域成員未連接到域時實現(xiàn)基于策略的證書注冊。

優(yōu)點

你可以使用 AD CS,通過將個人、計算機或服務(wù)的標識與相應(yīng)的私鑰進行綁定來增強安全性。 AD CS 為你提供了一種對證書的分發(fā)和使用進行管理的經(jīng)濟、高效和安全的方法。 除了綁定標識和私鑰外,AD CS 還包含可用于管理證書注冊和吊銷的功能。

可以使用 Active Directory 中的現(xiàn)有終結(jié)點標識信息來注冊證書,這意味著可以將信息自動插入到證書中。 AD CS 還可用于配置 Active Directory 組策略,以指定允許哪些用戶和計算機使用哪些類型的證書。 組策略配置可實現(xiàn)基于角色或基于屬性的訪問控制。

AD CS 支持的應(yīng)用領(lǐng)域包括安全/多用途 Internet 郵件擴展 (S/MIME)、安全的無線網(wǎng)絡(luò)、虛擬專用網(wǎng)絡(luò) (VPN)、Internet 協(xié)議安全 (IPsec)、加密文件系統(tǒng) (EFS)、智能卡登錄、安全套接字層/傳輸層安全性 (SSL/TLS) 以及數(shù)字簽名。

其他

如果要部署NPS(網(wǎng)絡(luò)策略服務(wù)器)也需要安裝證書服務(wù)器才能正常使用。

AD CS 安裝前提

  • 登錄操作安裝的用戶必須是域管理員、企業(yè)管理員。所以直接使用administrator 比較好。

  • 配置的服務(wù)器必須已經(jīng)加入進域控。

AD CS 正式安裝

## powershell 管理員執(zhí)行
Install-WindowsFeature AD-Certificate -IncludeManagementTools 
# 安裝證書服務(wù)
Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
# 安裝證書頒發(fā)機構(gòu)功能
## powershell 管理員執(zhí)行
Install-WindowsFeature ADCS-Web-Enrollment -IncludeManagementTools
# 安裝證書Web服務(wù)功能

初始化CA證書和Web服務(wù)

初始化CA證書,指定加密算法和過期時間

## powershell 管理員執(zhí)行
Install-AdcsCertificationAuthority -CAType EnterpriseRootCA -HashAlgorithmName SHA256 -ValidityPeriod Years -ValidityPeriodUnits 99

安裝和初始化證書Web服務(wù)

## powershell 管理員執(zhí)行
Install-AdcsWebEnrollment
# 安裝角色
New-WebBinding -Name "Default Web Site" -Protocol "https"
# IIS開啟https
Get-ChildItem -Path Cert:\LocalMachine\My
# 獲取證書指紋,找到和主機名對應(yīng)的證書,復(fù)制前面的指紋。
(Get-WebBinding -Name "Default Web Site" -Port 443 -Protocol "https").AddSslCertificate("7AE5AB7D969B8A37D6436B2FF926D8B0859D6E54", "my")
# IIS綁定證書

Web申請證書

訪問 https://localhost/certsrv/Default.asp 進行申請

PS:此界面也可以下載CA根證書進行信任,域控環(huán)境下的計算機會自動下發(fā)此CA證書。

使用Powershell快速申請cer 格式 Web證書 - 注意域名

## powershell 管理員執(zhí)行
$inf = @"
[Version]
Signature="\$Windows NT$"
[NewRequest]
Subject = "CN=www.songxwn.com"
KeySpec = 1
KeyLength = 2048
HashAlgorithm = sha256
KeyAlgorithm = RSA
Exportable = TRUE
RequestType = PKCS10
SMIME = FALSE
KeyUsage = 0xa0
[RequestAttributes]
CertificateTemplate = WebServer
"@
cd C:\
mkdir C:\temp
Set-Content -Path "C:\temp\mycert.inf" -Value $inf -Encoding ASCII
certreq -new    C:\temp\mycert.inf C:\temp\mycert.req
certreq -submit C:\temp\mycert.req C:\temp\mycert.cer
certreq -accept C:\temp\mycert.cer

為域名songxwn.com 申請證書,執(zhí)行過程會讓你選擇證書頒發(fā)機構(gòu),最終輸出證書文件為mycert.cer

生成Nginx可用證書

安裝openssl

## powershell 管理員執(zhí)行
winget.exe install ShiningLight.OpenSSL.Dev

導(dǎo)出PFX 證書 - 注意域名

## powershell 管理員執(zhí)行
# 設(shè)定常量
$Subject = "*CN=www.songxwn.com*"                  # 用你的域名/CN特征替換
$PfxPath = "C:\temp\www.songxwn.com.pfx"           # 用你的域名/CN特征替換
$Password = ConvertTo-SecureString -String "Songxwn.Password123!" -Force -AsPlainText  # 導(dǎo)出密碼
# 找到指定證書
$cert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.Subject -like $Subject }
# 導(dǎo)出到PFX
Export-PfxCertificate -Cert $cert -FilePath $PfxPath -Password $Password

使用openssl 轉(zhuǎn)換證書格式 - 注意域名、路徑、密碼

## powershell 管理員執(zhí)行
cd "C:\Program Files\OpenSSL-Win64\bin"
.\openssl.exe pkcs12 -in C:\temp\www.songxwn.com.pfx -nocerts -nodes -out C:\temp\www.songxwn.com.key -password pass:Songxwn.Password123!
.\openssl.exe pkcs12 -in C:\temp\www.songxwn.com.pfx -clcerts -nokeys -out C:\temp\www.songxwn.com.crt -password pass:Songxwn.Password123!

以下是用于 IIS、Nginx 等主流Web服務(wù)器的常見證書格式及其詳細說明,包括各自的文件擴展名、內(nèi)容結(jié)構(gòu)、適用場景以及如何進行格式轉(zhuǎn)換的方法。希望幫助你理解如何選擇和準備正確的證書格式。

證書格式介紹

主要SSL證書文件格式

1. PEM格式(常見于Linux、Nginx、Apache等)

  • 擴展名.pem / .crt / .cer / .key
  • 編碼:Base64,ASCII文本
  • 內(nèi)容:頭尾分別有-----BEGIN CERTIFICATE-----/-----END CERTIFICATE-----
  • 包含內(nèi)容
    • 證書(公鑰):-----BEGIN CERTIFICATE-----
    • 私鑰:-----BEGIN PRIVATE KEY----- 或 -----BEGIN RSA PRIVATE KEY-----

常見用法:

  • Nginx、Apache、Tomcat、HAProxy 等服務(wù)器,分別要求證書文件和私鑰文件。

示例:

-----BEGIN CERTIFICATE-----
MIIRDzCCAiagAwIBAgIQHxQp...
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
MIIEvQIBADANBgkqh...
-----END PRIVATE KEY-----

2. DER格式(常見于Java、Windows)

  • 擴展名.der / .cer
  • 編碼:二進制
  • 內(nèi)容:僅證書,不包含私鑰
  • 應(yīng)用:主要用于Java平臺(如Tomcat keystore/JKS導(dǎo)入),或有的Windows/IIS。

用法補充:

  • DER格式常作為證書數(shù)量較多或須用二進制格式時使用。

3. PFX/P12格式(IIS/Windows,部分Linux也支持)

  • 全稱:PKCS#12
  • 擴展名.pfx / .p12
  • 內(nèi)容:證書(公鑰)+ 私鑰 + 可選CA根證書,全部打包在一個文件中,并用密碼保護
  • 編碼:二進制
  • 典型應(yīng)用:IIS、Windows Server、Azure、IIS Express、某些支持SSL的Windows應(yīng)用。

注意事項:

  • 導(dǎo)入PFX時須輸入密碼(PFX/P12導(dǎo)出時必須指定密碼)。

4. P7B/P7C格式(僅含證書,不含私鑰)

  • 全稱:PKCS#7
  • 擴展名.p7b / .p7c
  • 內(nèi)容:只含公鑰證書簽名鏈,不包含私鑰
  • 編碼:ASCII(Base64)或二進制
  • 應(yīng)用場景:CA連帶證書鏈傳遞,IIS、Java等平臺的證書鏈導(dǎo)入

IIS和Nginx的證書格式要求及部署說明

(1)IIS

  • 推薦格式.pfx (PKCS#12,含私鑰)
  • 支持格式:導(dǎo)入向?qū)б仓С?nbsp;.cer / .crt,但必須提前在Windows證書管理器導(dǎo)入私鑰
  • 部署說明
    • 在證書向?qū)е幸隤FX文件,輸入私鑰導(dǎo)出密碼即可全部配置。
    • 如僅有.cer/.crt則需用“證書管理器—導(dǎo)入”方式。

如何轉(zhuǎn)換為PFX格式:

# 合并已有證書文件和私鑰生成pfx
openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt -certfile chain.crt

(2)Nginx

  • 推薦格式:PEM格式(明文Base64)
    • server.crt :服務(wù)器公鑰證書
    • server.key :服務(wù)器私鑰
    • 可選 fullchain.crt:已拼接的主證書+CA證書鏈
  • 部署說明
    • ssl_certificate (指定公鑰或fullchain)
    • ssl_certificate_key (指定私鑰)

示例Nginx配置片段:

ssl_certificate     /etc/nginx/ssl/server.crt;
ssl_certificate_key /etc/nginx/ssl/server.key;
# 若有CA證書鏈,建議如下配置
# 或?qū)㈡溨苯悠唇訉懭雜erver.crt

拼接證書鏈方法(主證書在前,鏈一路向下拼接):

cat server.crt intermediate.crt root.crt > fullchain.crt

不同格式之間的轉(zhuǎn)換方法

  • PEM轉(zhuǎn)PFX

    openssl pkcs12 -export -out server.pfx \
    -inkey server.key -in server.crt -certfile ca_bundle.crt

  • PFX轉(zhuǎn)PEM

    openssl pkcs12 -in server.pfx -out server.pem -nodes
# 生成帶有證書和私鑰的pem,自己分離出來

  • PEM轉(zhuǎn)DER

    openssl x509 -in server.crt -outform der -out server.der

  • DER轉(zhuǎn)PEM

    openssl x509 -in server.der -inform der -out server.crt

  • P7B轉(zhuǎn)PEM

    openssl pkcs7 -print_certs -in server.p7b -out server.crt

總結(jié)表格

文件格式擴展名包含內(nèi)容PEM/DER編碼場景服務(wù)器舉例 (主要支持)
PEM.crt/.pem/.key/.cer公鑰、私鑰PEM (Base64)Nginx/Apache等Nginx、Apache、Tomcat等
DER.der/.cer僅證書DER (二進制)Java/IIS/WinJava Keystore、部分Windows/IIS
PFX/P12.pfx/.p12公鑰+私鑰+CA鏈DER(二進制)IIS/WindowsIIS、Azure、Windows
P7B/P7C.p7b/.p7c僅公鑰證書鏈PEM/DER證書鏈傳遞IIS、Java

微軟官方文檔

https://learn.microsoft.com/en-us/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority

到此這篇關(guān)于Windows Server 2025 安裝AD CS角色和頒發(fā)證書的文章就介紹到這了,更多相關(guān)Server 2025 安裝AD證書內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

最新評論