Windows 域控制器布置企业CA 故障分析

2020-11-13湖北杨华

网络安全和信息化 2020年11期

■ 湖北杨华

编者按：如今很多企业自己内部做安全认证来配置CA证书，在配置CA 过程中可能会出现各种问题。本文对部分该类问题进行了深入剖析。

在Windows服务器操作维护中，证书CA的安装布置是一个非常重要的内容。随着各行各业安全意识的増强，大中小企业都需要布置自己的证书系统或购买专业的证书。如果是企业内部做安全认证的话，完全可以选择自己搭建，经济适用。以下笔者结合自己的工作经历，对在自己布置CA 的过程中出现的故障作深入的剖析。

图1 域树结构图

工作场景

如图1 域树结构图所示，需要在子域控制器A3 或成员控制器A2 上布置企业CA。其实，根据Windows 服务器的操作文档，在A1 上布置基本的企业CA 很简单，但到了具体的工作环境，问题出现了，如下所示。

证书CA 服务的安装

当分别在服务器A2 和A3 上安装CA，当配置到CA的设置类型时，只有“独立CA”是可选的，“企业”CA 竟然是灰色，不可选的。

安装提示：使用企业CA的用户要求必须是域成员，并且通常处于练级状态以颁发证书或证书策略。

有很多用户都纳闷了？服务器A2 和A3 都配置了Active Directory（AD，活动目录），一个是子域，一个是域成员，都符合要求，为什么在A2 和A3 上不能安装，而在主域控制器A1 上就可以顺利安装？

首先来简单了解一下CA的两类型：企业CA 和独立CA。企业CA：

1.企业CA 安装时需要AD，即计算机在活动目录中才可以。

2.当安装企业根时，对于域中的所用计算机，它都将会自动添加到受信任的根证书颁发机构的证书存储区域。

3.安装凭证：必须以Enterprise Admins 组和根域的Domain Admins 组的成员帐户登录。

独立CA ：

1.CA 安装时不需要AD。

2.一般情况下，发送到独立CA 的所有证书申请都被设置为挂起状态，需要管理员受到颁发。这完全出于安全性的考虑，因为证书申请者的凭证还没有被独立CA验证。

从以上内容不难看出，企业CA 更适合大批量的证书的布置，且必须有AD 活动目录服务支持。最重要的是安装凭证必须是Enterprise Admins 组和根域的Domain Admins 组的成员帐户登录。这两个组只有主域控制器下才有（在A2 和A3 上找不到这两个组）。问题找到了，笔者迅速拿出以下解决方案：

1.以主域控制器A1 上的管理员身份登录到子域控制器A3 或A2 上。

2.在主域控制器A1 上将子域控制器A3 或成员服务器A2 的管理员加入到Enterprise Admins 组和根域的Domain Admins 组。

原理：主域控制器A1 好比企业总部，子域控制器A3好比企业分部，如果这时企业分部要进行一项人事任免，要么总部派人来委任（这就比好方案1），要么授权分部进行任免（这就好比方案2）。

注意：CA 服务器需要与IIS 的配合，建议IIS 与CA 在一起安装，集成度更高，不建议分开安装，可能出现一些额外的故障。

客户端的证书CA 的申请

当企业CA 安装成功后，在客户端打开浏览器，输入CA 服务器的URL 地址，即可打开证书申请页面。在访问时需要输入用户名和密码，此时输入任意一个域用户账户即可。

注意，如果客户端无法正常打开CA 的证书申请页面，并且出现了以下错误提示信息：

应用程序“DEFAULT WEB SITE/CERTSRV”中的服务器错误

HTTP 错误403.14-Forbi dden，Web 服务器被配置为不列出此目录的内容。

在后面的错误信息中显示物理路径“C:Windowssystem32CertSrv”。

因为正常访问是可以通过网址http://localhost/certsrv，所以我们误以为它的物理地址就是”certsrv”。其实这只是一个虚拟目录，真正的物理路径应该是“C:Windowssystem32CertSrvzh-CN”，只要在原来的地址（IIS 配置中的物理地址）后面加上zh-CN 即可。

下面列举部分在后面的申请过程中出现的故障及解决办法。