AD域证书服务器搭建
分享
在搭建ArcGIS集群时设置SSL证书是个很重要的步骤,在局域网环境下windows server需要通过域签名证书保证https服务的正常访问,本教程基于Windows Server2012 R2英文版完成的。在本教程之前请先开启IIS Web服务 1
开启AD域服务器
1.1 添加一个角色,选择Active Directory Domain Service
1.2点击”下一步”保持默认选项
1.3 安装信息确认之后,点击安装
2
配置域环境服务器
2.1 点击右上角的小旗子图标
点击”Promote this server to domain controller”
2.2 新建一个林
选择“Add a new forest”定义根域名,我这里定义为”bigdata.test”(这个大家根据自己的需要自定义)
2.3点击下一步,勾上DNS服务器选项,设置密码,这个密码用于还原服务。
2.4由于还还没有装DNS会有这个提示,此处不用理会!(在新建林的时候会自动安装一个DNS服务器)
2.5此处保持默认,一般是林域名的第一个点号前的字符
2.6设置日志和目录的地址,我这里使用默认地址,可以根据自己需要修改位置
2.7确认信息
2.8 点击install开始安装
完成后系统会要求重启计算机,重启之后将DNS修改为刚才设置的DNS服务器的地址,为了能让其他加入域的机器可以联网,把第二个DNS服务器地址设置成一个可以解析互联网域名的IP
3
添加DNS的域名解析
{说明:由于本安装教程DNS和域服务器实际上是一台机器,为了表述清楚同一台服务器有时会叫DNS服务器,有时会叫域服务器}
3.1打开开始菜单,找到DNS服务器
3.2 DNS服务器下应该有个之前设置域名的文件夹,我这里是bigdata.test
3.3 右击选择New Host
3.4 填写二级域名和相对应的ip
4
修改被解析服务器的系统设置
4.1 关闭所有防火墙(包括DNS服务器和被解析的服务器)
4.2 修改被解析的服务器的系统设置
4.3 在群组选择域名,填入刚才设置的域名
4.4 用户名和密码是域名服务器的登陆用户名和密码
4.5 成功后会要求重启服务器
5
安装域证书服务器
5.1 还是操作刚才的域服务器,添加角色,勾选Active Directory Certificate Server
5.2勾选Certificate Authority和Certificate Authority Web Enrollment 第三个Online Responder可以不用勾选
5.3 同样完成安装后需要对域证书服务器进行配置
5.4 保持默认设置
5.5 勾选前两个,Online Responder可以不用勾选
5.6 机构类型一定要选择“企业”
5.7 CA类型选择根CA
5.8 创建新的私有key
5.9 选择对证书进行签名的Hash算法,这里选择了SHA256(只是加密类型和加密强度的区别,2048位的RSA加密和SHA256散列算法已经足够安全)
5.10保持默认,对应下面的截图查看是否根据你自己的设置自动填写了相应的CA和DA(下图中的所有内容是自动填写生成的,如果没有这些内容,回退检测是否有漏掉的步骤)
5.11设置证书有效期
5.12设置证书的存储位置
5.13确认信息并安装
6
配置域签名证书
6.1访问测试,打开IIS可以看到有一个CerSrv web站点。
6.2 默认的访问地址:http://localhost/certsrv/default.asp
6.3 回到IIS,点击根站点中的server证书
6.4 点击“创建证书申请”
6.5填写必要信息,点击下一步
6.6 这里跟5.9中的加密算法和字节数要对应起来
6.7 创建一个位置用于保存证书申请的字符串
6.8 打开http://localhost/certsrv/Default.asp点击Request a certificate
6.9 点击高级证书申请
6.10 把刚才从IIS中保存的txt内容全部复制到第一个空白处,在证书模板选项中选择Web server,点击‘提交’。
6.11 选择64位编码,点击下载证书链。
得到一个类型为PKSC#7的文件
6.12 回到IIS,点击‘完成证书申请’
6.13加载上一步下载的文件,填写一个好记的名字,类型选择个人,点击ok
6.14 点击编辑绑定
6.15 将SSL证书修改为上一步创建的证书
6.15,打开浏览器,访问域名可以看到域服务器所在的https服务器已经被认证。
1
其他机器的域证书申请
在域环境下,每台机器可以单独申请域签名证书,这里提供使用IIS获取域签名证书的方法。
7.1 打开IIS,进入证书服务
7.2 选择“创建域签名证书”
填写基本信息
注意这里的common name是当前机器的域名
7.3 选择域服务器,(如果正常连接到域,应该在“select”列表中会出现)
为证书起一个名称。
7.4 完成后在证书列表里会有刚创建好的证书,右击证书选择导出
7.5 创建导出地址和密码
创建成功的话会有一个后缀.pfx的文件,这个文件作为下一步导入portal和server的证书。
文章来源:https://mp.weixin.qq.com/s/YkxDtzB6kmU9yhbLreHf0Q
-
2017-07-26
在搭建ArcGIS集群时设置SSL证书是个很重要的步骤,在局域网环境下windows server需要通过域签名证书保证https服务的正常访问,本教程基于Windows Server2012 R2英文版完成的。在本教程之前请先开启IIS Web服务 1
开启AD域服务器
1.1 添加一个角色,选择Active Directory Domain Service
1.2点击”下一步”保持默认选项
1.3 安装信息确认之后,点击安装
配置域环境服务器
2.1 点击右上角的小旗子图标
点击”Promote this server to domain controller”
2.2 新建一个林
选择“Add a new forest”定义根域名,我这里定义为”bigdata.test”(这个大家根据自己的需要自定义)
2.3点击下一步,勾上DNS服务器选项,设置密码,这个密码用于还原服务。
2.4由于还还没有装DNS会有这个提示,此处不用理会!(在新建林的时候会自动安装一个DNS服务器)
2.5此处保持默认,一般是林域名的第一个点号前的字符
2.6设置日志和目录的地址,我这里使用默认地址,可以根据自己需要修改位置
2.7确认信息
2.8 点击install开始安装
完成后系统会要求重启计算机,重启之后将DNS修改为刚才设置的DNS服务器的地址,为了能让其他加入域的机器可以联网,把第二个DNS服务器地址设置成一个可以解析互联网域名的IP
3
添加DNS的域名解析
{说明:由于本安装教程DNS和域服务器实际上是一台机器,为了表述清楚同一台服务器有时会叫DNS服务器,有时会叫域服务器}
3.1打开开始菜单,找到DNS服务器
3.2 DNS服务器下应该有个之前设置域名的文件夹,我这里是bigdata.test
3.3 右击选择New Host
3.4 填写二级域名和相对应的ip
修改被解析服务器的系统设置
4.1 关闭所有防火墙(包括DNS服务器和被解析的服务器)
4.2 修改被解析的服务器的系统设置
4.3 在群组选择域名,填入刚才设置的域名
4.4 用户名和密码是域名服务器的登陆用户名和密码
4.5 成功后会要求重启服务器
5
安装域证书服务器
5.1 还是操作刚才的域服务器,添加角色,勾选Active Directory Certificate Server
5.2勾选Certificate Authority和Certificate Authority Web Enrollment 第三个Online Responder可以不用勾选
5.3 同样完成安装后需要对域证书服务器进行配置
5.4 保持默认设置
5.5 勾选前两个,Online Responder可以不用勾选
5.6 机构类型一定要选择“企业”
5.7 CA类型选择根CA
5.8 创建新的私有key
5.9 选择对证书进行签名的Hash算法,这里选择了SHA256(只是加密类型和加密强度的区别,2048位的RSA加密和SHA256散列算法已经足够安全)
5.10保持默认,对应下面的截图查看是否根据你自己的设置自动填写了相应的CA和DA(下图中的所有内容是自动填写生成的,如果没有这些内容,回退检测是否有漏掉的步骤)
5.11设置证书有效期
5.12设置证书的存储位置
5.13确认信息并安装
6
配置域签名证书
6.1访问测试,打开IIS可以看到有一个CerSrv web站点。
6.2 默认的访问地址:http://localhost/certsrv/default.asp
6.3 回到IIS,点击根站点中的server证书
6.4 点击“创建证书申请”
6.5填写必要信息,点击下一步
6.6 这里跟5.9中的加密算法和字节数要对应起来
6.7 创建一个位置用于保存证书申请的字符串
6.8 打开http://localhost/certsrv/Default.asp点击Request a certificate
6.9 点击高级证书申请
6.10 把刚才从IIS中保存的txt内容全部复制到第一个空白处,在证书模板选项中选择Web server,点击‘提交’。
6.11 选择64位编码,点击下载证书链。
得到一个类型为PKSC#7的文件
6.12 回到IIS,点击‘完成证书申请’
6.13加载上一步下载的文件,填写一个好记的名字,类型选择个人,点击ok
6.14 点击编辑绑定
6.15 将SSL证书修改为上一步创建的证书
6.15,打开浏览器,访问域名可以看到域服务器所在的https服务器已经被认证。
其他机器的域证书申请
在域环境下,每台机器可以单独申请域签名证书,这里提供使用IIS获取域签名证书的方法。
7.1 打开IIS,进入证书服务
7.2 选择“创建域签名证书”
填写基本信息
注意这里的common name是当前机器的域名
7.3 选择域服务器,(如果正常连接到域,应该在“select”列表中会出现)
为证书起一个名称。
7.4 完成后在证书列表里会有刚创建好的证书,右击证书选择导出
7.5 创建导出地址和密码
创建成功的话会有一个后缀.pfx的文件,这个文件作为下一步导入portal和server的证书。
文章来源:https://mp.weixin.qq.com/s/YkxDtzB6kmU9yhbLreHf0Q
