OCSP环境搭建--Windows Server 2016--(五)
11. 域控制器上配置ocsp回到服务器1的CA控制台,配置ocsp相关:
mmc打开控制台,在“证书颁发机构(本地)”右键-属性-扩展,“选择扩展”中选择“授权信息访问”,点击“添加”,“位置”中输入“http://ocsp.test.com/ocsp”。
勾选“包括在在线证书状态协议(OCSP)扩展中(O)”,点击“应用”按钮,弹窗提示是否立即重新启动证书服务,点击“是”,确定。
“证书模板”管理单元,右键单击“OCSP响应签名”模板,单击“所有任务-复制模板”,为新模板取名字为“NewOCSP响应签名”:
https://img-blog.csdnimg.cn/20210318205918683.png
https://img-blog.csdnimg.cn/20210318205929898.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0NzZG5DSG9uZ181NjY=,size_16,color_FFFFFF,t_70
切换到“安全”选项卡,点击“添加”按钮,单击“对象类型”,勾选“计算机”,确定:
https://img-blog.csdnimg.cn/20210318205955178.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0NzZG5DSG9uZ181NjY=,size_16,color_FFFFFF,t_70
“输入对象名称来选择(示例)(E)”中,输入ocsp,点击右侧的“检查名称”,可以自动匹配到OCSP,确定,下方“OCSP的权限”列表中,确保勾选“读取”和“**”,应用,确定。
“证书颁发机构(本地)”的“证书模板”上点击右键-新建-要颁发的证书模板,选择刚才添加的“NewOCSP响应签名”模板:
https://img-blog.csdnimg.cn/20210318210033893.png
https://img-blog.csdnimg.cn/20210318210042898.png
https://img-blog.csdnimg.cn/20210318210053618.png
12. 在服务器1上,配置证书自动**(组策略管理)https://img-blog.csdnimg.cn/20210318210140163.png
在test.com域下面的Default,右键,编辑:https://img-blog.csdnimg.cn/20210318210211681.pnghttps://img-blog.csdnimg.cn/20210318210221171.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0NzZG5DSG9uZ181NjY=,size_16,color_FFFFFF,t_70再在cmd中,输入gpupdate/force更新策略:
https://img-blog.csdnimg.cn/2021031821025198.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0NzZG5DSG9uZ181NjY=,size_16,color_FFFFFF,t_70
将ocsp URL的域名添加到DNS服务器中,映射到ocsp响应器的IP地址上,主机名为ocsp。
添加完成,cmd中,ping ocsp.test.com,可以解析到172.16.1.21,正常解析,用浏览器访问http://ocsp.test.com,也可以正常访问。13. 在ocsp响应器中,添加吊销配置进入服务器2中,“工具-联机响应程序管理”,右键“吊销配置”,添加吊销配置:命名吊销配置。“选择现有企业CA的证书”:https://img-blog.csdnimg.cn/20210318210505819.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0NzZG5DSG9uZ181NjY=,size_16,color_FFFFFF,t_70https://img-blog.csdnimg.cn/20210318210520101.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0NzZG5DSG9uZ181NjY=,size_16,color_FFFFFF,t_70下一步,直至“选择签名证书”界面,确认选择“自动选择签名证书”,勾选“自动**OCSP签名证书”,证书颁发机构和证书模板都正确。
https://img-blog.csdnimg.cn/20210318210550619.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0NzZG5DSG9uZ181NjY=,size_16,color_FFFFFF,t_70
点击“提供程序”:
https://img-blog.csdnimg.cn/2021031821061341.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0NzZG5DSG9uZ181NjY=,size_16,color_FFFFFF,t_70
默认完成。不要勾选“基于其有效期刷新CRL(R)”,因为在CA那边有一个CRL的更新周期,默认是一周,较长,不便于验证,将它去掉勾选,改为5分钟。
14. 在CA上,生成相关证书在服务器1上,生成radius服务器证书:在控制台中,“证书--个人--证书”,右键--所有任务--申请新证书:https://img-blog.csdnimg.cn/20210318210729229.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0NzZG5DSG9uZ181NjY=,size_16,color_FFFFFF,t_70https://img-blog.csdnimg.cn/20210318210740844.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0NzZG5DSG9uZ181NjY=,size_16,color_FFFFFF,t_70在radius服务器中,添加证书认证方式以及指定该证书作为服务器证书:
https://img-blog.csdnimg.cn/20210318210812576.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0NzZG5DSG9uZ181NjY=,size_16,color_FFFFFF,t_70
https://img-blog.csdnimg.cn/20210318210823541.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0NzZG5DSG9uZ181NjY=,size_16,color_FFFFFF,t_70
在列表中选择新申请的整数即可。导出CA证书,以备设备可以上传,在控制台中,“证书--个人--证书”,右侧列表中选择CA证书,右键--所有任务--导出。https://img-blog.csdnimg.cn/20210318210901894.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0NzZG5DSG9uZ181NjY=,size_16,color_FFFFFF,t_70客户端证书:
可以在PC上,通过浏览器打开证书服务页面,下载客户端证书:使用客户端即将使用的用户名登录,下载用户证书:
https://img-blog.csdnimg.cn/20210318210937720.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0NzZG5DSG9uZ181NjY=,size_16,color_FFFFFF,t_70
https://img-blog.csdnimg.cn/20210318210955189.png
https://img-blog.csdnimg.cn/20210318211002713.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0NzZG5DSG9uZ181NjY=,size_16,color_FFFFFF,t_70
https://img-blog.csdnimg.cn/20210318211012921.png
点击安装此证书后,将证书安装到了浏览器中,再从浏览器中,将证书导出来。https://img-blog.csdnimg.cn/20210318211048280.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0NzZG5DSG9uZ181NjY=,size_16,color_FFFFFF,t_70https://img-blog.csdnimg.cn/20210318211102338.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0NzZG5DSG9uZ181NjY=,size_16,color_FFFFFF,t_70至此,进行802.1X的认证的一套证书都准备完成,可以进行验证了。吊销证书,可以在“颁发的证书”中,选择要吊销的证书,右键--所有任务--吊销证书:
https://img-blog.csdnimg.cn/20210318211134333.png
吊销证书后,还需要发布,在“吊销的证书--所有任务--发布”中,进行发布,新吊销的证书就会显示在“吊销的证书”列表中。https://img-blog.csdnimg.cn/20210318211153223.pnghttps://img-blog.csdnimg.cn/20210318211205400.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0NzZG5DSG9uZ181NjY=,size_16,color_FFFFFF,t_70至此,radius支持ocsp协议的环境配置完成,可以使用设备进行验证,证书状态为good时,认证通过:
https://img-blog.csdnimg.cn/20210318211227565.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0NzZG5DSG9uZ181NjY=,size_16,color_FFFFFF,t_70
证书状态为revoke,认证失败:
https://img-blog.csdnimg.cn/202103182112507.png
同样文章在空间里发表日志没有成功,请问是什么原因,提示含有站点屏蔽词而放入垃圾箱
页:
[1]
