实验:配置在线应答器
实验环境:
LON-DC1 Windows2012R2 172.16.0.10 AD+CA
LON-SVR2 Windows2012R2 172.16.0.24 联系响应程序服务器
实验步骤:
使用域管理员账号登入LON-SVR2,运行powershell命令:Add-WindowsFeature adcs-online-cert -IncludeManagementTools
安装完毕后,我们需要对其进行配置,从服务器管理器面板中点击"配置目标服务器上的Active Directory证书服务"
在设置向导中,默认使用域管理员凭证,点击下一步,选择联机响应程序
然后跟随向导提示,一直点击下一步,直到完成配置
配置好联机响应程序后,登录LON-DC1打开证书颁发机构控制台,并打开Adatum-IssuingCA的属性页面
切换到"扩展"选项卡,选择"授权信息访问AIA",并添加一个URL地址http://LON-DC1/ocsp,然后勾选"包含在颁发的证书的AIA扩展中"和"包括在在线证状态书协议OCSP的扩展中"
设置完成后,会要求重启证书服务,我们点击"是"
重启完成后,我们右键点击证书颁发机构控制台中的证书模板,选择"管理"
找到"OCSP响应签名"模板,双击打开它,将安全选项卡中的Authenticated Users指派注册权限
修改完毕后,我们回到证书颁发机构控制台,将修改后的模板加入到证书模板容器中,右键点击"证书模板",选择新建->要颁发的证书模板
然后将我们修改后的OCSP响应签名模板加入到证书模板中
做完以上设置后,我们切换到LON-SVR2,从服务器管理器中打开联机响应程序管理控制台
右键点击控制台中的"吊销设置",选择"添加吊销配置"
在新增吊销向导中,填入吊销配置的名称"AdatumCA联机响应程序"
进入一下步,选择CA证书位置,因为我们的实验是AD域环境,所以我们默认使用第一个选项即可,直接点击下一步
选择CA证书页面中,我们点击浏览,选择CA证书Adatum-IssuingCA,然后点击下一步
选择签名证书页面,我们保持默认的设置,点击下一步
然后我们可以看到,向导开始进行吊销配置的设置
完成向导后,在联机响应程序管理控制台的右侧面板中,我们可以看到"AdatumCA联机响应程序 工作"的文字描述,说明我们的联机响应程序已经成功设置好
