AD 证书操作

在这就简单的介绍一下配置过程，未提到的设置基本就都采用默认即可。

1）安装AD:
开始 -> 运行 -> dcpromote
域名: testad.com.cn
NT域名: ldap
即 Fully Qualified Domain Name (FQDN) 为 ldap.testad.com.cn
注意，一定要先安装 IIS , 再安装 CA.
2）安装 IIS:
开始-> 程序 -> 管理工具 -> 配置您的服务器向导 -> 应用服务器 (IIS, ASP.NET)
进入 http:// ldap.testad.com.cn /iisstart.htm 表示安装成功.
3）安装CA:
开始-> 设置 -> 控制面板-> 添加或删除程序 ->添加/删除Windows组件 -> 证书服务
选择 企业根CA
共用名称 CA: testca
进入 http:// ldap.testad.com.cn /CertSrv 表示安装成功.
4）生成证书请求:
开始->程序->管理工具-> Internet 信息服务 (IIS) 管理器 -> Internet信息服务-> (本地计算机) -> 网站
->  右键点选 默认网站 -> 属性 ->选择 "目录安全性" -> 服务器证书
->新建证书 -> 准备证书，但稍后发送
公共名称最好设置为 ldap.testad.com.cn, 这是给使用者连ssl 的 站点.
最后产生证书请求文件 , 默认为c:\certreq.txt
5）在CA上请求证书:
进入 http:// ldap.testad.com.cn /CertSrv
按 申请一个证书 -> 高级证书申请
-> 使用 base64 编码的 CMC 或 PKCS #10 文件提交一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请。
使用 记事本 打开 c:\certreq.txt , copy c:\certreq.txt 内容贴至 保存的申请:
证书模板 选择 Web 服务器, 按 提交
然后点选 下载证书 , 将 certnew.cer 储存至 c:\certnew.cer
6）安装证书:
开始->程序->管理工具-> Internet 信息服务 (IIS) 管理器 -> Internet信息服务-> (本地计算机) -> 网站
->  右键点选默认网站->属性 -> 选择 "目录安全性" ->服务器证书
->处理挂起的请求，安装证书 -> 路径和文件名: c:\certnew.cer
网站SSL 端口: 443
7）将 CA 证书 加入至keystore 里:
进入 http:// ldap.testad.com.cn /CertSrv
点选 下载一个 CA 证书，证书链或 CRL
点选 下载 CA 证书, 然后下载并改名为 c:\ca_cert.cer
安装CA后LDAP服务器C盘根目录会生成一文件ldap.testad.com.cn_testca.crt
然后执行 命令:
keytool -import -keystore "c:/testca.keystore" -file "ldap.testad.com.cn_testca.crt" -storepass "changeit"
keytool -import -keystore "c:/testca.keystore" -alias mkey -file "c:/ca_cert.cer" -storepass "changeit"
出现 Trusted this certificate? 按 "y" 即新增成功.

但经过个人的测试，其实只需使用ldap.testad.com.cn_testca.crt这个证书就可以连接上SSL AD 636。

评论

1 楼 jing729927 2009-07-29  

您好,我按照您的步骤到最后一步执行keytool命令时出现该命令不是内部或外部命令的提示,请问这个问题要怎么解决啊.....还有,我应该如何查看AD使用的证书呢,因为我现在打开AD时就出现"无法为验证与颁布机构联系"这样的提示,然后就AD就不可用....我都快急死了,如果您有时间希望能给予一些指导.......我的QQ是627997971或者MSN:jing729927@hotmail.com