内网安全之搭建ADCS证书服务

在域控上安装ADCS服务时,默认会自动配置完LDAPS,如果不是在域控上安装ADCS服务,需要手动配置LDAPS

安装证书服务ADCS

打开服务器管理器------>添加角色和功能

选择"基于角色或基于功能的安装"选项,然后点击下一步

选择"从服务器池中选择服务器"选项,然后点击下一步

这里勾选"Active Directory 证书服务"选项,然后点击下一步

这里到了选择功能的对话框,保持默认即可,然后点击下一步。

这里显示 Active Directory 域服务的描述以及注意事项,然后点击下一步。

这里勾选"证书颁发机构"选项,如果想要允许 Web 端注册证书的话,也可以勾选 "证书颁发机构 Web 注册"。

ADCS 支持 6 种角色服务:

  • 证书颁发机构:该组件的主要目的是办理证书、撤销证书以及发布授权信息 访问(AIA)和撤销信息。
  • 联机响应程序:可以使用该组件来配置和管理在线证书状态协议(OSCP)验证和吊销检查。在线响应程序解码特定证书的吊销状态请求,评估这些证书的状态,并返回具有请求的证书状态信息的签名响应。
  • 网络设备注册服务(NDES):通过该组件,路由器、交互机和其他网络设备 可从 ADCS 获取证书
  • 证书颁发机构 Web 注册:该组件提供了一种用户使用未加入域或运行 Windows 以外操作系统的设备的情况下颁发和续订证书的方法。
  • 证书注册 Web 服务(CES):该组件用于运行 Windows 的计算机和 CA 之间的代理客户端。CES 使用户、计算机或应用程序能够通过使用 Web 服务连接到 CA:
    • 请求、更新和安装办法的证书
    • 检索证书吊销列表(CRL)
    • 下载根证书
    • 通过互联网或跨森林注册
    • 为属于不受信任的 ADDS 域或未加入域的计算机自动续订证书
  • 证书注册策略 Web 服务:该组件使用户能够获取证书注册策略信息。结合 CES,它可以在用户设备未加入域或无法连接到域控的场景下实现基于策略的证书服务

这里 Web 服务器角色(IIS)描述以及注意事项,然后点击下一步

显示选择角色服务,保持默认即可,然后点击下一步

这里到了确认安装所选内容对话框,勾选"如果需要,自动重新启动目标服务器" 选项,然后点击安装。

配置ADCS

接下来就需要配置 ADCS 证书服务了,点击"配置目标服务器上的 ActiveDirectory 证书服务"。

会弹出指定凭据以配置角色服务对话框,这里我们保持默认,然后点击下一步。

勾选"证书颁发机构"和"证书颁发机构 Web 注册",然后点击下一步

勾选"企业 CA(E)",然后点击下一步

勾选"根 CA®",然后点击下一步

勾选"创建新的私钥®",然后点击下一步

指定加密选项,我们保持默认即可,然后点击下一步

指定 CA 名称,我们保持默认即可,然后点击下一步

有效期我们保持默认即可,然后点击下一步

CA 数据库的存储位置,我们保持默认即可,然后点击下一步

然后确认以下信息是否有误,无误的话,点击配置

配置完成

申请证书

在域控上执行 certlm.msc 命令,申请一个模板为域控制器的证书即可。

这时可以看到我们为域控申请的证书

我们使用ldp进行连接,可以看到连接失败

这时我们查看受信任的根证书颁发机构有没有我们想要的证书,可以看到并没有,所以我们需要导入证书

在 CA 服务器上执行 certlm.msc 命令,查看受信任的根本书颁发机构,然后将 CA 证书导出。然后将导出的 CA 证书导入到域控的受信任的根本书颁发机构即可。


导入成功后,使用ldp即可连接成功

相关推荐
weisian1515 分钟前
认证鉴权框架SpringSecurity-2--重点组件和过滤器链篇
java·安全
Koi慢热13 分钟前
信息收集合集
网络·安全·web安全·网络安全
PcVue China5 小时前
PcVue + SQL Grid : 释放数据的无限潜力
大数据·服务器·数据库·sql·科技·安全·oracle
Hacker_Nightrain10 小时前
网络安全CTF比赛规则
网络·安全·web安全
看山还是山,看水还是。10 小时前
Redis 配置
运维·数据库·redis·安全·缓存·测试覆盖率
学编程的小程10 小时前
【安全通信】告别信息泄露:搭建你的开源视频聊天系统briefing
安全·开源·音视频
网络安全指导员10 小时前
恶意PDF文档分析记录
网络·安全·web安全·pdf
渗透测试老鸟-九青11 小时前
通过投毒Bingbot索引挖掘必应中的存储型XSS
服务器·前端·javascript·安全·web安全·缓存·xss
vortex511 小时前
蓝队基础之网络七层杀伤链:从识别到防御的全方位策略
安全·网络安全·蓝队
白总Server12 小时前
JVM解说
网络·jvm·物联网·安全·web安全·架构·数据库架构