部署企業從屬CA

1. 開啟 Server1伺服器管理員, 安裝 ADCS準備部署從屬CA(次級CA)

2. 選擇伺服器w-studio.idv.tw

3. 選擇角色 ADCS

4. 功能不設定, 略過

5. 安裝 ADCS說明

6. 角色服務勾選憑證授權單位及憑證授權單位網頁註冊

7. 因憑證授權單位網頁註冊需要 IIS網頁伺服器, 所以會一併安裝

8. 網頁伺服器角色服務使用預設值安裝

9. 確認安裝 ADCS及 IIS網頁伺服器

10. 完成安裝 ADCS及 IIS網頁伺服器

11. 回到伺服器管理員, 進行 ADCS部署後設定

12. 指定認證設定 ADCS角色服務

13. 如前面安裝的勾選憑證授權單位及憑證授權單位網頁註冊

14. CA類型選擇企業CA(注意網域中需已經安裝 Root CA)

15. CA類型選擇次級CA(從屬CA)

16. 私密金鑰選擇建立新的金鑰

17. 依需求選擇密碼編譯

18. 設定 CA名稱(IssuingCA)

19. 憑證需求使用預設值儲存在本機電腦磁碟 C:

20. 憑證資料庫使用預設值

21. 確認 ADCS設定w-studio.idv.tw

22. ADCS設定完成, 但須再依說明進行安裝 CA憑證

23. 來到磁碟 C:, 將前面操作 Root CA時複製的 Root CA憑證進行安裝

24. 進行憑證匯入, 存放位置選擇本機電腦

25. 憑證存放區選擇將所有憑證放入以下的存放區, 並按下瀏覽

26. 憑證存放區選擇受信任的根憑證授權單位

27. 完成憑證存放區選擇

28. 完成憑證匯入

29. 憑證匯入成功

30. 再將前面複製的 Root CA憑證及憑證撤銷清單再複製

31. 來到 C:\inetpub\wwwroot(網站根目錄), 新增一個資料夾

32. 將新資料夾重新命名為 CertData

33. 將 Root CA憑證及憑證撤銷清單複製到此 (CertData資料夾)

34. 回到磁碟 C:, 將次級 CA的憑證(REQ檔)複製

35. 將次級 CA的憑證(REQ檔)複製到網路位置 \\<Root CA>\C$

36. 完成將次級 CA的憑證(REQ檔)複製到網路位置 \\<Root CA>\C$

37. 來到 Root CA主機, 開啟 CA主控台(憑證授權單位), 在 Root CA上按右鍵提交新要求

38. 選擇剛剛的次級 CA的憑證(REQ檔)

39. 在擱置要求項目中, 出現剛剛提交的新要求, 按右鍵選擇發行

40. 在已發出的憑證項目中, 出現剛剛發行的憑證, 按右鍵開啟

41. 查看從屬CA(次級CA)憑證

42. 查看「憑證路徑」, 可以確定 IssuingCA是在 RootCA底下的從屬CA(次級CA)

43. 查看「詳細資料」, 按下複製到檔案

44. 進行憑證匯出

45. 匯出檔案格式選擇密碼編譯訊息語法標準PKCS#7憑證(.P7B), 勾選包含憑證路徑中所有憑證

46. 要匯出的檔案按下瀏覽

47. 來到網路位置 \\Server1\C$, 輸入檔案名稱(SubCA)w-studio.idv.tw

48. 設定好要匯出的位置與檔案

49. 完成憑證匯出

50. 回到 Server1(從屬CA/次級CA)的磁碟C:, 確認 SubCA.p7b檔案

51. 開啟 Server1的 CA主控台(憑證授權單位), 於 IssuingCA上按右鍵選擇安裝 CA憑證

52. 選擇剛剛的 SubCA.p7b檔

53. 於 CA主控台(憑證授權單位)上方按下啟動鈕

54. 查看 IssuingCA上的狀態已為啟動狀態

55. 之後可以關閉 Root CA主機

56. 來到 ADDS/DC主機上, 開啟群組原則管理, 在網域的 Default Domain Policy上按右鍵選擇編輯

57. 在群組原則管理編輯器中, 展開 電腦設定\原則\Windows設定\安全性設定\公開金鑰原則\受信任的根憑證授權單位, 按右鍵選擇匯入

58. 進行憑證匯入

59. 選擇要匯入的檔案

60. 來到網路位置 \\Server1\C$, 選擇 RootCA.cer檔案

61. 確認選擇檔案

62. 將憑證存入受信任的根憑證授權單位

63. 完成憑證匯入

64. 憑證匯入成功

65. 可以看到原則中出現剛剛匯入的憑證

66. 開啟 PowerShell, 輸入 gpupdate /force更新原則