Server 2016 + Win10 搭建CA证书登录环境
手记。
1. 启动服务器管理器,添加角色和功能。 2. 选择AD证书服务。
3. 选择证书颁发机构Web注册。
4. IIS一般默认,或者再勾上.Net/CGI相应部分,WCF则需要在添加功能时选择http
激活。 5. 安装等好。 6. CA配置:
7. 选择证书颁发服务器; 8. 右键属性,选择扩展选项卡;
9. CRL添加:其他删掉,留下http部分,参照http项添加一个,替换掉
例 :http://ca.**.**:81/CertEnroll/
http://ca.**.**:81/CertEnroll/
11. 修改颁发年限:
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\CertSvc\\Configuration\\**,ValidityPeriodUnits值改为A,十进制10;
12. 重启证书服务器。 13. IIS配置:
14. 服务器证书:创建申请时填写*.XX.XX,XX.XX为域名; 15. 证书颁发并导出为Base64格式,完成申请; 16. CertEnroll虚拟目录“要求SSL”,去掉勾;
17. CertSrv则是要求SSL,接受证书,现在设成必需就没法申请证书了;
18. 关键:现在打开网页申请证书,密钥用法只有交换,申请格式只能PKCS10,需要
修改asp代码;
19. 搜索certrqma.asp,检索if (0 == nSupportedKeyUsages),在前面插入一行代码
nSupportedKeyUsages = 3;,注意修改权限,将该asp文件所有者改为管理员,
再将管理员的所有操作权限赋上;
20. CMC打开是在certsgcl.inc,检索isClientAbleToCreateCMC,将
sUserAgent.indexOf(\也返回true;
21. 此处申请格式必须为PKCS10;
22. 在网页中申请客户端验证证书,服务器颁发,将SSL设置为必需。 23. 打开IE测试。