win服务器

关注公众号 jb51net

关闭
首页 > 网站技巧 > 服务器 > win服务器 > Server 2025 安装AD证书

Windows Server 2025 安装AD CS角色和颁发证书

作者:网工格物

Active Directory证书是一个用于颁发和管理公钥基础结构(PKI)证书的角色,本文主要介绍了Windows Server 2025 安装AD CS角色和颁发证书,感兴趣的可以了解一下

什么是 Active Directory 证书服务?

Active Directory 证书服务 (AD CS) 是一个 Windows Server 角色,负责颁发和管理在安全通信和身份验证协议中使用的公钥基础结构 (PKI) 证书。

颁发和管理证书

数字证书可用于对电子文档和消息进行加密和数字签名,以及对网络上的计算机、用户或设备帐户进行身份验证。 例如,数字证书用于提供:

主要功能

AD CS 提供以下重要功能:

优点

你可以使用 AD CS,通过将个人、计算机或服务的标识与相应的私钥进行绑定来增强安全性。 AD CS 为你提供了一种对证书的分发和使用进行管理的经济、高效和安全的方法。 除了绑定标识和私钥外,AD CS 还包含可用于管理证书注册和吊销的功能。

可以使用 Active Directory 中的现有终结点标识信息来注册证书,这意味着可以将信息自动插入到证书中。 AD CS 还可用于配置 Active Directory 组策略,以指定允许哪些用户和计算机使用哪些类型的证书。 组策略配置可实现基于角色或基于属性的访问控制。

AD CS 支持的应用领域包括安全/多用途 Internet 邮件扩展 (S/MIME)、安全的无线网络、虚拟专用网络 (VPN)、Internet 协议安全 (IPsec)、加密文件系统 (EFS)、智能卡登录、安全套接字层/传输层安全性 (SSL/TLS) 以及数字签名。

其他

如果要部署NPS(网络策略服务器)也需要安装证书服务器才能正常使用。

AD CS 安装前提

AD CS 正式安装

## powershell 管理员执行
Install-WindowsFeature AD-Certificate -IncludeManagementTools 
# 安装证书服务
Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
# 安装证书颁发机构功能
## powershell 管理员执行
Install-WindowsFeature ADCS-Web-Enrollment -IncludeManagementTools
# 安装证书Web服务功能

初始化CA证书和Web服务

初始化CA证书,指定加密算法和过期时间

## powershell 管理员执行
Install-AdcsCertificationAuthority -CAType EnterpriseRootCA -HashAlgorithmName SHA256 -ValidityPeriod Years -ValidityPeriodUnits 99

安装和初始化证书Web服务

## powershell 管理员执行
Install-AdcsWebEnrollment
# 安装角色
New-WebBinding -Name "Default Web Site" -Protocol "https"
# IIS开启https
Get-ChildItem -Path Cert:\LocalMachine\My
# 获取证书指纹,找到和主机名对应的证书,复制前面的指纹。
(Get-WebBinding -Name "Default Web Site" -Port 443 -Protocol "https").AddSslCertificate("7AE5AB7D969B8A37D6436B2FF926D8B0859D6E54", "my")
# IIS绑定证书

Web申请证书

访问 https://localhost/certsrv/Default.asp 进行申请

PS:此界面也可以下载CA根证书进行信任,域控环境下的计算机会自动下发此CA证书。

使用Powershell快速申请cer 格式 Web证书 - 注意域名

## powershell 管理员执行
$inf = @"
[Version]
Signature="\$Windows NT$"
[NewRequest]
Subject = "CN=www.songxwn.com"
KeySpec = 1
KeyLength = 2048
HashAlgorithm = sha256
KeyAlgorithm = RSA
Exportable = TRUE
RequestType = PKCS10
SMIME = FALSE
KeyUsage = 0xa0
[RequestAttributes]
CertificateTemplate = WebServer
"@
cd C:\
mkdir C:\temp
Set-Content -Path "C:\temp\mycert.inf" -Value $inf -Encoding ASCII
certreq -new    C:\temp\mycert.inf C:\temp\mycert.req
certreq -submit C:\temp\mycert.req C:\temp\mycert.cer
certreq -accept C:\temp\mycert.cer

为域名songxwn.com 申请证书,执行过程会让你选择证书颁发机构,最终输出证书文件为mycert.cer

生成Nginx可用证书

安装openssl

## powershell 管理员执行
winget.exe install ShiningLight.OpenSSL.Dev

导出PFX 证书 - 注意域名

## powershell 管理员执行
# 设定常量
$Subject = "*CN=www.songxwn.com*"                  # 用你的域名/CN特征替换
$PfxPath = "C:\temp\www.songxwn.com.pfx"           # 用你的域名/CN特征替换
$Password = ConvertTo-SecureString -String "Songxwn.Password123!" -Force -AsPlainText  # 导出密码
# 找到指定证书
$cert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.Subject -like $Subject }
# 导出到PFX
Export-PfxCertificate -Cert $cert -FilePath $PfxPath -Password $Password

使用openssl 转换证书格式 - 注意域名、路径、密码

## powershell 管理员执行
cd "C:\Program Files\OpenSSL-Win64\bin"
.\openssl.exe pkcs12 -in C:\temp\www.songxwn.com.pfx -nocerts -nodes -out C:\temp\www.songxwn.com.key -password pass:Songxwn.Password123!
.\openssl.exe pkcs12 -in C:\temp\www.songxwn.com.pfx -clcerts -nokeys -out C:\temp\www.songxwn.com.crt -password pass:Songxwn.Password123!

以下是用于 IIS、Nginx 等主流Web服务器的常见证书格式及其详细说明,包括各自的文件扩展名、内容结构、适用场景以及如何进行格式转换的方法。希望帮助你理解如何选择和准备正确的证书格式。

证书格式介绍

主要SSL证书文件格式

1. PEM格式(常见于Linux、Nginx、Apache等)

常见用法:

示例:

-----BEGIN CERTIFICATE-----
MIIRDzCCAiagAwIBAgIQHxQp...
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
MIIEvQIBADANBgkqh...
-----END PRIVATE KEY-----

2. DER格式(常见于Java、Windows)

用法补充:

3. PFX/P12格式(IIS/Windows,部分Linux也支持)

注意事项:

4. P7B/P7C格式(仅含证书,不含私钥)

IIS和Nginx的证书格式要求及部署说明

(1)IIS

如何转换为PFX格式:

# 合并已有证书文件和私钥生成pfx
openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt -certfile chain.crt

(2)Nginx

示例Nginx配置片段:

ssl_certificate     /etc/nginx/ssl/server.crt;
ssl_certificate_key /etc/nginx/ssl/server.key;
# 若有CA证书链,建议如下配置
# 或将链直接拼接写入server.crt

拼接证书链方法(主证书在前,链一路向下拼接):

cat server.crt intermediate.crt root.crt > fullchain.crt

不同格式之间的转换方法

总结表格

文件格式扩展名包含内容PEM/DER编码场景服务器举例 (主要支持)
PEM.crt/.pem/.key/.cer公钥、私钥PEM (Base64)Nginx/Apache等Nginx、Apache、Tomcat等
DER.der/.cer仅证书DER (二进制)Java/IIS/WinJava Keystore、部分Windows/IIS
PFX/P12.pfx/.p12公钥+私钥+CA链DER(二进制)IIS/WindowsIIS、Azure、Windows
P7B/P7C.p7b/.p7c仅公钥证书链PEM/DER证书链传递IIS、Java

微软官方文档

https://learn.microsoft.com/en-us/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority

到此这篇关于Windows Server 2025 安装AD CS角色和颁发证书的文章就介绍到这了,更多相关Server 2025 安装AD证书内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:
阅读全文