3.2 证书日常管理
AD CS服务部署成功后,以域用户身份登录计算机,企业根自动添加到“受信任的证书颁发机构”中,不需要通过策略将企业根证书发布到网络中的所有计算机中。
3.2.1 证书有效期
1.根证书有效期限
打开“证书颁发机构”管理器,右击企业根名称,在弹出的快捷菜单中选择“属性”命令,打开图3-22所示的属性对话框,默认打开“常规”选项卡。
图3-22 企业根属性对话框
选择“常规”选项卡中的“查看证书”按钮,打开“证书”对话框,注意:该证书的有效期限是20年。在部署“AD CS服务”过程中,设置的根证书有效期限是20年。证书信息对话框如图3-23所示。
图3-23 证书信息对话框
2.域控制器证书有效期限
证书颁发机构(CA)所颁发的每一张证书(计算机或者用户)都具有有效期限,默认情况下,从企业根CA申请到的证书,其有效期限都是1年。
打开“证书颁发机构”管理器,选择“颁发的证书”,在右侧窗口中显示所有已经颁发的证书,从中可以发现为域控制器DC颁发的证书的有效期限是1年。如图3-24所示。
图3-24 查看域控制器证书有效期
3.Web服务器证书有效期限
Exchange部署过程中需要向CA申请证书,证书类型是“Web服务器”。该类型证书的默认期限是“2年”。
打开“证书颁发机构”管理器,右击“证书模板”,在弹出的快捷菜单中单击“管理”命令,打开“证书模板控制台”窗口,如图3-25所示。
图3-25 证书模板控制台
双击“Web服务器”模板,显示“Web服务器属性”对话框,如图3-26所示。其中显示有效期为“2年”,续订期为“6周”。也就是说,“Web服务器”证书的有效期限是2年。
图3-26 查看“Web服务器”证书的有效期
3.2.2 项目任务:证书有效期限20年
项目任务:Exchange证书有效期限20年。默认所有类型的证书有效期限都达不到项目要求,因此需要新建一个证书模板,解决证书时限问题。
1.创建新“Web服务器”模板
第1步,打开“证书颁发机构”管理器,右击“证书模板”,在弹出的快捷菜单中单击“管理”命令,打开“证书模板控制台”窗口。如图3-27所示。
图3-27 制作证书模板之一
案例中以已有的模板“Web服务器”为基础创建一个新模板,模板名称设置为“Exchange Server 2013”。
第2步,右击“Web服务器”模板,在弹出的快捷菜单中单击“复制模板”命令,打开“新模板的属性”对话框。切换到“常规”选项卡,设置模板显示名称、有效期、续订期以及选择“在Active Directory中发布证书”选项,设置完成的参数如图3-28所示。
图3-28 制作证书模板之二
第3步,切换到“请求处理”选项卡,选择“允许导出私钥”以及“注册用户时无需用户输入”选项,如图3-29所示。
图3-29 制作证书模板之三
第4步,切换到“使用者名称”选项卡,选择“在请求中提供”选项,案例设置完成的参数如图3-30所示。
图3-30 制作证书模板之四
第5步,切换到“安全”选项卡,在“组或用户名”列表中选择“Authenticated Users”,在“Authenticated Users的权限”列表中选择“读取”“写入”“注册”“自动注册”选项,设置完成的参数如图3-31所示。单击“确定”按钮,完成新用户模板设置。
图3-31 制作证书模板之五
2.启用新“Web服务器”模板
第1步,右击“证书模板”,在弹出的快捷菜单中选择“新建”选项,在弹出的级联菜单中单击“要颁发的证书模板”命令,如图3-32所示。
图3-32 启用新证书模板之一
第2步,“要颁发的证书模板”命令执行后,打开“启用证书模板”对话框,在模板列表中选择需要启用的模板,如图3-33所示。
图3-33 启用新证书模板之二
第3步,单击“确定”按钮,新模板被添加到控制台中,如图3-34所示。
图3-34 启用新证书模板之四
3.更改证书服务注册表值
第1步,以管理员身份运行“regedit.exe”,打开“注册表编辑器”,定位到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\boo-k-DC-CA”键值,如图3-35所示。其中“ValidityPeriodUnits”的键值默认为2,也就是有效期限为2年。
图3-35 注册表编辑器
第2步,双击“ValidityPeriodUnits”键值,在打开的对话框中设置“十进制”数据键值为“20”,即有效期限为20年,如图3-36所示。单击“确定”按钮,完成注册表键值设置。
图3-36 更改目标键值
第3步,重新启动证书服务器,在案例中重新启动域控制器,重启后证书服务生效。