51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 3673|回复: 1
打印 上一主题 下一主题

[原创] OCSP环境搭建--Windows Server 2016--(五)

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2021-3-20 10:52:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
                                                11. 域控制器上配置ocsp
回到服务器1的CA控制台,配置ocsp相关:
mmc打开控制台,在“证书颁发机构(本地)”右键-属性-扩展,“选择扩展”中选择“授权信息访问”,点击“添加”,“位置”中输入“http://ocsp.test.com/ocsp”。
勾选“包括在在线证书状态协议(OCSP)扩展中(O)”,点击“应用”按钮,弹窗提示是否立即重新启动证书服务,点击“是”,确定。
“证书模板”管理单元,右键单击“OCSP响应签名”模板,单击“所有任务-复制模板”,为新模板取名字为“NewOCSP响应签名”:


切换到“安全”选项卡,点击“添加”按钮,单击“对象类型”,勾选“计算机”,确定:

“输入对象名称来选择(示例)(E)”中,输入ocsp,点击右侧的“检查名称”,可以自动匹配到OCSP,确定,下方“OCSP的权限”列表中,确保勾选“读取”和“**”,应用,确定。
“证书颁发机构(本地)”的“证书模板”上点击右键-新建-要颁发的证书模板,选择刚才添加的“NewOCSP响应签名”模板:



12. 在服务器1上,配置证书自动**(组策略管理)
在test.com域下面的Default,右键,编辑:
再在cmd中,输入gpupdate/force更新策略:

将ocsp URL的域名添加到DNS服务器中,映射到ocsp响应器的IP地址上,主机名为ocsp。
添加完成,cmd中,ping ocsp.test.com,可以解析到172.16.1.21,正常解析,用浏览器访问http://ocsp.test.com,也可以正常访问。
13. 在ocsp响应器中,添加吊销配置
进入服务器2中,“工具-联机响应程序管理”,右键“吊销配置”,添加吊销配置:命名吊销配置。“选择现有企业CA的证书”:
下一步,直至“选择签名证书”界面,确认选择“自动选择签名证书”,勾选“自动**OCSP签名证书”,证书颁发机构和证书模板都正确。

点击“提供程序”:

默认完成。不要勾选“基于其有效期刷新CRL(R)”,因为在CA那边有一个CRL的更新周期,默认是一周,较长,不便于验证,将它去掉勾选,改为5分钟。
14. 在CA上,生成相关证书
在服务器1上,生成radius服务器证书:在控制台中,“证书--个人--证书”,右键--所有任务--申请新证书:
在radius服务器中,添加证书认证方式以及指定该证书作为服务器证书:


在列表中选择新申请的整数即可。导出CA证书,以备设备可以上传,在控制台中,“证书--个人--证书”,右侧列表中选择CA证书,右键--所有任务--导出。
客户端证书:
可以在PC上,通过浏览器打开证书服务页面,下载客户端证书:使用客户端即将使用的用户名登录,下载用户证书:




点击安装此证书后,将证书安装到了浏览器中,再从浏览器中,将证书导出来。
至此,进行802.1X的认证的一套证书都准备完成,可以进行验证了。吊销证书,可以在“颁发的证书”中,选择要吊销的证书,右键--所有任务--吊销证书:

吊销证书后,还需要发布,在“吊销的证书--所有任务--发布”中,进行发布,新吊销的证书就会显示在“吊销的证书”列表中。
至此,radius支持ocsp协议的环境配置完成,可以使用设备进行验证,证书状态为good时,认证通过:

证书状态为revoke,认证失败:

                                                                                                                                                                                                                                               
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

该用户从未签到

2#
 楼主| 发表于 2021-3-22 13:19:58 | 只看该作者
同样文章在空间里发表日志没有成功,请问是什么原因,提示含有站点屏蔽词而放入垃圾箱
回复 支持 反对

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-22 02:48 , Processed in 0.062752 second(s), 22 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表