none
windows ca 证书服务器问题 RRS feed

  • 问题

  • ca证书服务器os为2012r2和2016

    1、ca服务器自己的http://ca.test.com/certsrv站点需要使用https,iis中https绑定的证书是需要ca自己给自己签发一张web服务器证书?

    2、如何在ca管理中心中将新建的模板授权用户可以选择

    3、用户在ca申请证书中的应用于签名的哈希算法只有sha1,如何增加sha256或sha512

    4、ca服务器已加域,登录https://ca.test.com/certsrv之前必须输入域账号密码,用户一定要使用域账号才能申请证书?未加域计算机设备或(非域账号)是否可以申请证书?


    2021年3月1日 7:03

答案

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    以下是对您问题的回答,供您参考:

    1、ca服务器自己的http://ca.test.com/certsrv站点需要使用https,iis中https绑定的证书是需要ca自己给自己签发一张web服务器证书?
    回复1:
    如果您想使用certsrv网页方式申请证书的话,您需要在一台服务器上(可以是CA服务器上,也可以是其他加域的服务器上)安装Certification Authorities Web Wnrollment这个角色并配置好。
    然后您就是使用http://ca.test.com/certsrv网页申请证书(其中ca是安装了Certification Authorities Web Wnrollment这个角色的机器的名字)。
    您可以使用https://ca.test.com/certsrv网页申请证书(其中ca是安装了Certification Authorities Web Wnrollment这个角色的机器的名字),建议使用https,即使用证书绑定的网页更安全。
    iis中https绑定的证书是需要ca给安装了ertification Authorities Web Wnrollment这个角色的机器签发一张web服务器证书(当然啦,如果Certification Authorities Web Wnrollment这个角色就是安装在CA服务器上的话,那就是CA自己给自己签发一张web服务器证书)。

    2、如何在ca管理中心中将新建的模板授权用户可以选择
    回复2:请问您是不是咨询一张新的用户证书模板,怎么可以让指定的用户或者用户组可以使用这张新的证书模板来申请证书,对吗?
    如果是的话,就是在证书模板上的“安全”选项卡上给指定的用户或者用户组“read”和“enroll”权限就可以了。



    如果我理解的不对,欢迎您纠正。


    3、用户在ca申请证书中的应用于签名的哈希算法只有sha1,如何增加sha256或sha512
    回复3:一般CA存在一种哈希算法,要么sha1,sha256或sha512。

    您可以把sha1迁移到sha256或sha512。

    使用命令,然后重启AD CS服务。
    certutil -setreg ca\CNGHashAlgorithm SHA256

    具体您可以参考一下文档。
    SHA1 Key Migration to SHA256 for a two tier PKI hierarchy
    https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/sha1-key-migration-to-sha256-for-a-two-tier-pki-hierarchy/ba-p/400338


    4、ca服务器已加域,登录https://ca.test.com/certsrv之前必须输入域账号密码,用户一定要使用域账号才能申请证书?未加域计算机设备或(非域账号)是否可以申请证书?
    回复4:ca服务器已加域,一般是给域用户和加域的设备申请证书的。
    未加域的设备可以通过NDES(Network Device Enrollment Service)这个功能申请证书,Network Device Enrollment Service是CA下面的一个子功能。

    具体您可以参考下面的链接。
    Network Device Enrollment Service Guidance
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/hh831498(v=ws.11)


    希望上述的回复对您有帮助,如有任何问题,欢迎您随时咨询我们。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 nelson2004 2021年3月3日 1:33
    2021年3月2日 3:55
    版主