OCSP環境搭建--Windows Server 2016--(五)

上一篇 / 下一篇  2021-03-22 13:18:40

11. 域控制器上配置ocsp

回到服務器1的CA控制臺,配置ocsp相關:

mmc打開控制臺,在“證書頒發機構(本地)”右鍵-屬性-擴展,“選擇擴展”中選擇“授權信息訪問”,點擊“添加”,“位置”中輸入“http://ocsp.test.com/ocsp”。

勾選“包括在在線證書狀態協議(OCSP)擴展中(O)”,點擊“應用”按鈕,彈窗提示是否立即重新啟動證書服務,點擊“是”,確定。

“證書模板”管理單元,右鍵單擊“OCSP響應簽名”模板,單擊“所有任務-復制模板”,為新模板取名字為“NewOCSP響應簽名”:

切換到“安全”選項卡,點擊“添加”按鈕,單擊“對象類型”,勾選“計算機”,確定:

“輸入對象名稱來選擇(示例)(E)”中,輸入ocsp,點擊右側的“檢查名稱”,可以自動匹配到OCSP,確定,下方“OCSP的權限”列表中,確保勾選“讀取”和“**”,應用,確定。

“證書頒發機構(本地)”的“證書模板”上點擊右鍵-新建-要頒發的證書模板,選擇剛才添加的“NewOCSP響應簽名”模板:

12. 在服務器1上,配置證書自動**(組策略管理)

在test.com域下面的Default,右鍵,編輯:

再在cmd中,輸入gpupdate/force更新策略:

將ocsp URL的域名添加到DNS服務器中,映射到ocsp響應器的IP地址上,主機名為ocsp。

添加完成,cmd中,ping ocsp.test.com,可以解析到172.16.1.21,正常解析,用瀏覽器訪問http://ocsp.test.com,也可以正常訪問。

13. 在ocsp響應器中,添加吊銷配置

進入服務器2中,“工具-聯機響應程序管理”,右鍵“吊銷配置”,添加吊銷配置:命名吊銷配置!斑x擇現有企業CA的證書”:

下一步,直至“選擇簽名證書”界面,確認選擇“自動選擇簽名證書”,勾選“自動**OCSP簽名證書”,證書頒發機構和證書模板都正確。

點擊“提供程序”:

默認完成。不要勾選“基于其有效期刷新CRL(R)”,因為在CA那邊有一個CRL的更新周期,默認是一周,較長,不便于驗證,將它去掉勾選,改為5分鐘。

14. 在CA上,生成相關證書

在服務器1上,生成radius服務器證書:在控制臺中,“證書--個人--證書”,右鍵--所有任務--申請新證書:

在radius服務器中,添加證書認證方式以及指定該證書作為服務器證書:

在列表中選擇新申請的整數即可。導出CA證書,以備設備可以上傳,在控制臺中,“證書--個人--證書”,右側列表中選擇CA證書,右鍵--所有任務--導出。

客戶端證書:

可以在PC上,通過瀏覽器打開證書服務頁面,下載客戶端證書:使用客戶端即將使用的用戶名登錄,下載用戶證書:

點擊安裝此證書后,將證書安裝到了瀏覽器中,再從瀏覽器中,將證書導出來。

至此,進行802.1X的認證的一套證書都準備完成,可以進行驗證了。吊銷證書,可以在“頒發的證書”中,選擇要吊銷的證書,右鍵--所有任務--吊銷證書:

吊銷證書后,還需要發布,在“吊銷的證書--所有任務--發布”中,進行發布,新吊銷的證書就會顯示在“吊銷的證書”列表中。

至此,radius支持ocsp協議的環境配置完成,可以使用設備進行驗證,證書狀態為good時,認證通過:

證書狀態為revoke,認證失。


TAG:

 

評分:0

我來說兩句

顯示全部

:loveliness: :handshake :victory: :funk: :time: :kiss: :call: :hug: :lol :'( :Q :L ;P :$ :P :o :@ :D :( :)

日歷

« 2021-05-10  
      1
2345678
9101112131415
16171819202122
23242526272829
3031     

我的存檔

數據統計

  • 訪問量: 255
  • 日志數: 5
  • 建立時間: 2021-03-19
  • 更新時間: 2021-03-19

RSS訂閱

Open Toolbar
农村里的风流韵事