Gdy pomyślnie utworzymy nasz certyfikat na serwerze CA i będzie on gotowy do publikacji, musimy następnie przetestować go na komputerach klienckich, aby upewnić się, że działa poprawnie.
Windows Server 2019. Należy pamiętać, że metoda przesyłania żądania certyfikatu za pośrednictwem komputerów klienckich nie zawsze jest taka sama, a niektórzy użytkownicy wolą lub muszą przesyłać żądanie certyfikatu za pośrednictwem interfejsu internetowego zamiast konsoli MMC. W tym artykule pokażemy, jak korzystać z obu metod.
Poproś o certyfikat za pośrednictwem konsoli MMC Windows Server 2019
Nasz nowy szablon certyfikatu został utworzony i pomyślnie osadzony w konsoli CA oraz został oficjalnie wydany. Nadszedł czas na przetestowanie wzoru. W tym celu zaloguj się na jednym ze zwykłych komputerów klienckich. Istnieją dwa standardowe sposoby ubiegania się o nowy certyfikat za pośrednictwem komputerów klienckich. Pierwsza metoda polega na użyciu dobrej i starej konsoli MMC. Uruchom klienta MMC na komputerze, wybierz opcję Dodaj/Usuń przystawkę z menu Plik i wybierz opcję Certyfikat.
Po wybraniu certyfikatów z listy dostępnych przystawek i kliknięciu przycisku Dodaj dostępnych jest kilka dodatkowych opcji umożliwiających wybranie certyfikatu, który chcesz otworzyć. Możesz wybrać spośród dostępnych certyfikatów konta użytkownika, konta usługi lub konta komputera.
Ponieważ chcemy pomyślnie przetestować nowy szablon certyfikacji, który stworzyliśmy i opublikowaliśmy w konsoli CA, jesteśmy gotowi do jego formalnego użycia.
Chcemy także przetestować utworzony przez nas nowy certyfikat i przygotować go do użycia na tym samym komputerze klienckim, dlatego wybierz konto Komputer i kliknij Zakończ.
Następnie ponownie kliknij przycisk Zakończ, aby wybrać opcję domyślną: Komputer lokalny. Jeśli wpiszesz CERTLM MSC w oknie dialogowym Uruchom, MMC automatycznie uruchomi wymaganą przystawkę i ją otworzy. Będzie przechowywać certyfikat komputera lokalnego w pamięci MMC. Nowsze systemy operacyjne, takie jak Windows 8 i 10 oraz Windows Server 2012, 2012R2, 2016 i 2019, mają skrót MSC umożliwiający bezpośrednie otwarcie magazynu certyfikatów dla komputera lokalnego.
To właśnie tam należy się udać podczas instalowania certyfikatów na komputerze lub serwerze.
Specjalne miejsce w Magazynie Certyfikatów umożliwia zainstalowanie Certyfikatu w folderze Osobiste. To prawda, że można to ominąć, ale nie, chyba że jesteś technikiem, który wie, co robi. Jeśli klikniesz ten folder, zobaczysz, że w tej chwili nie dodaliśmy niczego do tej listy:
Aby ubiegać się o nowy certyfikat do naszego Serwer CA, kliknij prawym przyciskiem myszy folder Osobisty, Wszystkie zadania i Poproś o nowy certyfikat. W otwartym kreatorze kliknij raz przycisk Dalej. Idziemy.
Teraz widzisz ekran, który wygląda, jakby trzeba coś zrobić; w większości przypadków wysyłamy żądanie certyfikatu do jednego z partnerów biznesowych lub komputerów domenowych, więc na tej stronie nie mamy zbyt wiele do zrobienia. Z tego powodu kliknij przycisk Dalej. Kreator następnie prześle zapytanie do Active Directory i wyświetli wszystkie dostępne szablony certyfikatów gotowe do wydania:
Zostanie wyświetlona strona Poproś o certyfikat z listą dostępnych szablonów.
Jest to lista dynamiczna, a jej zawartość zależy od komputera, na którym jesteś zalogowany, a także uprawnień Twojego konta. Tworząc nowy szablon certyfikatu, przeszedłem do zakładki Bezpieczeństwo i go skonfigurowałem.
W zakładce zdefiniowaliśmy kto i co może otrzymać nowy szablon certyfikatu. Jeśli reprezentujemy konkretną grupę komputerów domeny, prawdopodobnie nowy szablon DirectAccess Machine nie pojawi się na powyższej liście.
Ponieważ jednak zdefiniowałem ten szablon tak, aby wszystkie komputery mogły go otrzymać, zobaczę tutaj mój Certyfikat.
Jeśli nie widzisz swojego nowego szablonu na tej liście, kliknij pole wyboru Pokaż wszystkie szablony. Wyświetli pełną listę wszystkich szablonów dostępnych na serwerze urzędu certyfikacji dla każdego wyjaśnienia, a także certyfikatów, które nie są dostępne, wraz z wyjaśnieniem, dlaczego są one niedostępne.
Zaznacz pole obok każdego z potrzebnych certyfikatów i kliknij Zarejestruj.
Konsola będzie się teraz obracać przez kilka sekund, podczas gdy serwer urzędu certyfikacji przetwarza Twoje żądanie uzyskania nowego certyfikatu, którego potrzebuje Twój komputer, wraz z odpowiednimi kryteriami określonymi w certyfikacie.
Po zakończeniu procesu zobaczysz, że nasz nowy certyfikat maszyny znajduje się teraz w kategorii Osobiste | Certyfikat znajduje się wewnątrz MMC. Jeśli klikniesz dwukrotnie na Certyfikat, będziesz mógł sprawdzić właściwości, aby upewnić się, że rozważane ustawienia są wymienione w Certyfikacie:
Poproś o certyfikat za pośrednictwem interfejsu internetowego
Zwykle korzystamy z MMC, aby ubiegać się o certyfikaty, ale istnieje inna platforma, za pomocą której można ubiegać się o certyfikaty i wydawać je. Oczywiście zastosowanie powyższego rozwiązania uzależnione jest od tego jak zbudowany jest serwer CA.
Instalując rolę AD CS, upewniliśmy się, że urząd certyfikacji i urząd certyfikacji wybrały opcje rejestracji w sieci Web. Druga opcja jest niezbędna i rozważymy ją później. Nie mamy interfejsu internetowego umożliwiającego uruchomienie naszego serwera CA bez rejestracji w sieci Web, więc powyższa sekcja jest niedostępna.
Jeżeli serwer CA nie pełni powyższej roli należy udać się do Menedżera Serwera i dodać do niego aktualną pozycję:
Po zainstalowaniu aplikacji Rejestracja internetowa urzędu certyfikacji na serwerze urzędu certyfikacji na serwerze zostanie uruchomiona witryna internetowa, do której będzie można uzyskać dostęp za pośrednictwem przeglądarki internetowej oraz w sieci. Ta strona internetowa jest przydatna dla użytkowników, którzy mogą ubiegać się o certyfikat za pośrednictwem interfejsu internetowego. Dobrze jest udostępnić użytkownikom dokumentację lub samouczki, aby mogli śledzić proces certyfikacji za pośrednictwem witryny internetowej, zamiast korzystać z konsoli MMC.
Ponadto, jeśli chcesz zezwolić komputerom spoza sieci serwerów CA na żądanie certyfikatu, będzie to dla nich trudne za pośrednictwem programu MMC. Na przykład, jeśli masz użytkownika domowego, który musi ubiegać się o nowy certyfikat, ale nie ma pełnego tunelu VIP, konsola MMC prawdopodobnie nie połączy się z serwerem urzędu certyfikacji i nie odbierze certyfikatu.
Musimy ponownie użyć komputera klienta, aby uzyskać dostęp do tej witryny i przetestować ją.
Tym razem zamiast otwierać MMC, otwórz przeglądarkę i wpisz w przeglądarce adres HTTP: //
Nasz adres URL zaczyna się od protokołu HTTPS. Ta witryna internetowa jest skonfigurowana do korzystania z protokołu HTTPS zamiast protokołu HTTP, aby umożliwić witrynie wystawianie certyfikatów. Jeśli witryna korzysta z protokołu HTTPS na serwerze urzędu certyfikacji, należy upewnić się, że wystawiony certyfikat jest szyfrowany podczas wysyłania. Certyfikacja nie jest możliwa poprzez protokół HTTP, gdyż informacja ta przesyłana jest do klienta bez szyfrowania.
Kliknięcie żądania spowoduje wyświetlenie łącza do certyfikatu, za pomocą którego można zażądać nowego certyfikatu z serwera urzędu certyfikacji w systemie Windows Server 2019.
Jeśli masz użytkowników, którzy zamierzają otrzymać certyfikat za pośrednictwem interfejsu internetowego, zazwyczaj wystawiasz certyfikat oparty na użytkownikach. W takim przypadku mamy proste rozwiązanie umożliwiające zautomatyzowanie certyfikatu komputera automatycznie i bez żadnej interakcji z użytkownikiem. eksport. Ponieważ prosimy naszych użytkowników o zalogowanie się, a następnie o nowy Certyfikat Użytkownika, na następnej stronie musimy wybrać odpowiedni link:
Potrafisz się zachować. Załóżmy, że nie jesteś zainteresowany certyfikatem użytkownika. Zamiast klikać powyższy link, chcesz skorzystać z interfejsu sieciowego, aby uzyskać certyfikat komputera, certyfikat serwera WWW lub certyfikat dowolnego innego typu. W takim przypadku należy kliknąć łącze zaawansowanego żądania certyfikatu i postępować zgodnie z instrukcjami wyświetlanymi na stronie widoku.
Klikając powyższy link i naciskając przycisk Prześlij, Certyfikat zostanie odebrany i wygenerowany z serwera urzędu certyfikacji, a łącze pokaże Ci, że możesz użyć tego łącza do zainstalowania Certyfikatu. Kliknij w link.
Zainstaluje CertCertificateated na Twoim komputerze.
Poniższy obrazek pokazuje, że witryna odpowiedziała na moją prośbę i ogłosiła, że Certyfikat został pomyślnie zainstalowany. Będziesz także wiedział, że otworzyłem bieżący certyfikat użytkownika w MMC, aby upewnić się, że CertCertificatelly istnieje:
W kolejnym numerze Windows Server 2019 bezpłatne szkolenie, będziemy kontynuować powyższy temat.
Serwer Windows 2019
Pobierz najlepsze motywy WordPress do pobrania za darmoPobierz najlepsze motywy WordPress do pobrania za darmoBezpłatne pobieranie motywów WordPressPobieranie premium motywów WordPresskurs Lyndy do pobrania za darmopobierz oprogramowanie lawyPobierz zerowe motywy WordPresspłatny kurs udemy do pobrania za darmo