关于域证书的发布CA和CRL的内容 (Windows 2008 Server R2 SP1)
1.创建一个域根证书发布机构(CA ),一般是在AD上(域控)
添加Role
别忘记选择Web 配置
Next > Next, 然后这边选择root CA, 如果选择Sub... 就是子证书发布机构,它需要你先有一个根证书的CA, 很好理解
其它默认Next下去即可,安装完成
2.简单的为自己的web site站点申请证书
在Web server 上,打开IIS Manager, 在对应的Server那里,选择Server Certificates (服务器证书)
然后创建一个域证书
!!!注意 在创建输入的时候 Common name,必须是你准备issued to的Web address, 就是你想使用证书绑定的网站的网址,不是IP
Next, 选择一个CA,我们上面创建的那个
Friendly name反而不是那么重要,随便输一个,我这里输入的是"DS1"
打开Web Site, 就是你要绑定证书的那个站点,我这边使用默认的,然后Bind上你上面创建的证书
3.证书
a) 对于不在这个域里的机器,配置你的DNS,修改Host文件,使能够解析到你上述网站, 输入它的网址,记得输入完整的网址,不是IP !!!
很漂亮的红叉叉= =~(这是没有配置证书的情况), 直接输入IP也会这样
下载root的证书,因为我们的证书是从上述root CA上申请,所以输入http://RootCA\'s servername/certsrv 去下载证书
然后安装
再次登陆, 就没有那个红叉叉了.
b)对于在这个域的机器,会默认安装域中的CA的Root 证书的,所以直接连,就可以了
4.证书与CA之间的沟通
下载了证书,在你登录https,或者做出需要证书验证的动作的时候, 这时候会有个和CA的CRL通信:
a)如果你的CA 服务器关闭了或者无法连接了,证书就有可能失效了
b)如果是正常连接,但是你的CA服务器被Revoke,那么证书也会失效
c)如果上述都正常使用的话,Client就会有个CRL类似缓存文件一样,记录在你的机器上
清除命令是 certutil -urlcache crl delete
d)如何取消上述Client和CA的确认通信呢:
方法1:改注册表值,HKLM或者HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\,然后新建 DWORD "CertificateRevocation" = 0
以下其它位置亦可:
HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\InternetSettings\CertificateRevocation
HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\InternetSettings\CertificateRevocation
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\CertificateRevocation
方法2:打开IE,选择Internet Options --> Advanced Tab --> server certificate revocation 不要勾选上
e)最后如果你的Client的日期时间超过了期限,那么证书还是失效了.