心脏不好表现在哪里:企业根CA方法客户机证书的解决方案,ISA2006系列之三十
来源:百度文库 编辑:偶看新闻 时间:2024/06/11 06:39:32
企业根CA如何发放客户机证书-L2TP证书问题的补充说明 在ISA系列第二十一篇的博文中,我们介绍了如何在VPN服务器中使用L2TP协议。L2TP可以使用证书或预共享密钥,很多朋友反映在做这个实验时出了问题,关键是申请不到客户机证书。因此今天特意花点时间,为大家介绍一下如何解决证书问题。 由于我在博文中使用的是一个独立根CA,而不少博友在实验时使用的是企业根CA,因此环境上的差异造成了实验的困扰。独立根CA发放客户机证书是非常容易的,但企业根CA就需要进行一番设置。当然,独立根CA和企业根CA本质上是一样的,只是在一些配置方法上存在一些差异,看了本文之后,相信大家就不会有这种困扰了。本文的实验拓扑如下图所示,我们使用了域控制器充当域控制器和企业根CA,还有一个成员服务器配合申请证书。 首先我们要知道,企业根CA的证书模板中默认并没有客户机证书。我们在域控制器的管理工具中打开证书颁发机构,如下图所示,我们可以在证书模板中看到并没有看客户机证书。因此,如果不对证书模板进行调整,我们肯定无法申请到客户机证书。 我们准备在CA服务器的证书模板中增加一个客户机证书的模板,如下图所示,我们在企业根CA中新建“要颁发的证书模板”。 如下图所示,工作站身份验证就是我们要的客户机证书,我们把它添加到客户机模板中。 好,现在我们有了需要的证书模板,那是否可以申请客户机证书呢?在成员服务器上我们用MMC控制台定制出一个证书管理单元,管理的是本地计算机的证书,注意,是在成员服务器上做这个操作!如下图所示,我们在个人文件夹中选择“申请新证书”。 如下图所示,我们可以申请“工作站身份验证”的证书,其实这就是客户端证书。能做到这一步,证明我们添加的证书模板已经起作用了,这个申请到的证书完全可以用于L2TP实验。至此,至少我们已经有了一种基本的解决方案。 接下来我们在成员服务器上尝试用浏览器申请客户机证书,如下图所示,我们很遗憾地发现,我们无法申请到客户机证书。因为工作站证书的模板中默认从Active Directory中提取证书申请者的数据,并不依赖用户输入。因此我们只能从成员服务器上或客户机上用MMC控制台申请,不能从域控制器上申请,也不能用浏览器申请。那能否想想办法,用浏览器也能申请到这个客户机证书呢?呵呵,办法总是有的…. 如下图所示,我们在域控制器的证书颁发机构中选择管理证书模板。 如下图所示,我们在管理的证书模板中选择复制“工作站身份验证”的证书。 我们为新复制生成的证书命名为“客户机证书”。 我们在新复制的工作站证书模板的属性中切换到“使用者名称”标签,选择“在请求中提供”,这是关键的一个步骤!这意味着我们申请客户机证书可以通过浏览器提交证书参数,而不是默认的从Active Directory中提取了。 接下来我们在证书模板的属性中切换到“安全”标签,确保“Authenticated Users”组具有注册证书的权限。 配置完客户机证书后,接下来我们在证书颁发机构中把新复制的客户机证书模板添加进来。如下图所示,我们看到企业CA的证书模板中已经有客户机证书模板了。 重启证书服务或重启证书服务器,然后我们在成员服务器上用浏览器申请证书,如下图所示,我们发现已经可以用浏览器申请到客户机证书了。OK,问题解决,希望大家可以顺利地进行L2TP实验。
本文出自 “岳雷的微软网络课堂” 博客,请务必保留此出处http://yuelei.blog.51cto.com/202879/241854
关于CA证书的问题!
CA认证下载根证书
客户机/服务器的主要作用和问题的解决方案
独立CA和企业CA的主要区别是什么“?
CA证书.是什么证书
国税网上申报软件的CA证书过期是怎么回事?
代理服务器与客户机的网络配置方法
急,为何在CA手工颁发的证书无效?“CA-颁发的证书-复制文件”
企业传真解决方案
企业定单管理解决方案
局域网客户机取得路由器wan口ip的各种方法?
企业传真节约纸张解决方案
我想知道报税的CA证书到期了怎么办啊?谢谢!请祥细一些噢
在哪儿可以下载到用VC++实现CA证书管理器的源码?
怎样才能取得企业策划师的证书?
认准BEC证书的企业有哪些
CA证书授权中心是什么,在什么地方
CA is which state of USA?
WinRoute Pro客户机管理方法
5. 什么是CA认证中心?为何进行电子商务的企业要申请数字证书?(安全认证)
有谁能提供关于-(企业信息化体系与解决方案研究)-的资料
我的企业在财务和出入库方面不是很好请给解决方案
高分求解决方案: 企业通信问题
物业企业经理证书