OCSP环境搭建--Windows Server 2016--(五)

上一篇 / 下一篇  2021-03-22 13:18:40

11. 域控制器上配置ocsp

回到服务器1的CA控制台,配置ocsp相关:

mmc打开控制台,在“证书颁发机构(本地)”右键-属性-扩展,“选择扩展”中选择“授权信息访问”,点击“添加”,“位置”中输入“http://ocsp.test.com/ocsp”。

勾选“包括在在线证书状态协议(OCSP)扩展中(O)”,点击“应用”按钮,弹窗提示是否立即重新启动证书服务,点击“是”,确定。

“证书模板”管理单元,右键单击“OCSP响应签名”模板,单击“所有任务-复制模板”,为新模板取名字为“NewOCSP响应签名”:

切换到“安全”选项卡,点击“添加”按钮,单击“对象类型”,勾选“计算机”,确定:

“输入对象名称来选择(示例)(E)”中,输入ocsp,点击右侧的“检查名称”,可以自动匹配到OCSP,确定,下方“OCSP的权限”列表中,确保勾选“读取”和“**”,应用,确定。

“证书颁发机构(本地)”的“证书模板”上点击右键-新建-要颁发的证书模板,选择刚才添加的“NewOCSP响应签名”模板:

12. 在服务器1上,配置证书自动**(组策略管理)

在test.com域下面的Default,右键,编辑:

再在cmd中,输入gpupdate/force更新策略:

将ocsp URL的域名添加到DNS服务器中,映射到ocsp响应器的IP地址上,主机名为ocsp。

添加完成,cmd中,ping ocsp.test.com,可以解析到172.16.1.21,正常解析,用浏览器访问http://ocsp.test.com,也可以正常访问。

13. 在ocsp响应器中,添加吊销配置

进入服务器2中,“工具-联机响应程序管理”,右键“吊销配置”,添加吊销配置:命名吊销配置。“选择现有企业CA的证书”:

下一步,直至“选择签名证书”界面,确认选择“自动选择签名证书”,勾选“自动**OCSP签名证书”,证书颁发机构和证书模板都正确。

点击“提供程序”:

默认完成。不要勾选“基于其有效期刷新CRL(R)”,因为在CA那边有一个CRL的更新周期,默认是一周,较长,不便于验证,将它去掉勾选,改为5分钟。

14. 在CA上,生成相关证书

在服务器1上,生成radius服务器证书:在控制台中,“证书--个人--证书”,右键--所有任务--申请新证书:

在radius服务器中,添加证书认证方式以及指定该证书作为服务器证书:

在列表中选择新申请的整数即可。导出CA证书,以备设备可以上传,在控制台中,“证书--个人--证书”,右侧列表中选择CA证书,右键--所有任务--导出。

客户端证书:

可以在PC上,通过浏览器打开证书服务页面,下载客户端证书:使用客户端即将使用的用户名登录,下载用户证书:

点击安装此证书后,将证书安装到了浏览器中,再从浏览器中,将证书导出来。

至此,进行802.1X的认证的一套证书都准备完成,可以进行验证了。吊销证书,可以在“颁发的证书”中,选择要吊销的证书,右键--所有任务--吊销证书:

吊销证书后,还需要发布,在“吊销的证书--所有任务--发布”中,进行发布,新吊销的证书就会显示在“吊销的证书”列表中。

至此,radius支持ocsp协议的环境配置完成,可以使用设备进行验证,证书状态为good时,认证通过:

证书状态为revoke,认证失败:


TAG:

 

评分:0

我来说两句

显示全部

:loveliness: :handshake :victory: :funk: :time: :kiss: :call: :hug: :lol :'( :Q :L ;P :$ :P :o :@ :D :( :)

日历

« 2021-04-21  
    123
45678910
11121314151617
18192021222324
252627282930 

我的存档

数据统计

  • 访问量: 233
  • 日志数: 5
  • 建立时间: 2021-03-19
  • 更新时间: 2021-03-19

RSS订阅

Open Toolbar