none
exchange server 2007 证书服务器问题。 RRS feed

  • 问题

  • 以下图片是我证书服务器有问题,但是我重新安装了还是出现同样的问题,PKI会出现红色X。

    他让我申请的证书无法被邮件服务器信任和生效。好苦恼啊,弄了两三天没进展。

    请高手指点一下,感谢。

    2012年4月11日 3:06

答案

  • ADCS没有安装好?

      演示Windows Server 2008中的PKI

      Windows Server 2008包含添加角色向导。添加角色向导不仅可以用来安装角色,它也包含角色的配置。为了让角色正常工作而必须被执行的关键配置任务是向导的一部分。展现在添加角色向导中的所有的配置在缺省情况下是安全的,对IT专家来说有默认的智能优化。我们第一步是要打开服务器管理器。服务器管理器显示所有不同的角色从细节方面。目前,活动目录域服务和DNS服务器角色被配置。我们今天要添加的是证书服务。首先我们需要添加IIS角色。

      作为一个最佳实践,我们应该始终为管理员指派一个强密码,设置一个静态IP,并确保操作系统应用了最新的安全更新。

      我们将选择活动目录证书服务,如图2所示。我们的向导将显示个性化的步骤根据我们要增加的角色。

      接下来我们可以浏览活动目录证书服务,访问其他基于Windows Server 2008的公钥基础架构的部署和管理信息。

      我们看到证书服务器包含了不同的角色服务。如图3所示。因为我们将使用网络注册,所以我们也必须要增加IIS服务器角色。

      公钥基础架构由多个组件组成,包含证书、证书吊销列表和证书授权机构或CAs。在大多数情况下,那些依赖X.509证书的应用程序,比如安全 / 多用途 Internet 邮件扩展(S/MIME),安全套接字层、加密文件系统和智能卡,都要求验证证书的状态在执行认证、签名或加密操作的时候。有多种方法可以验证证书吊销状态,最通用的机制是CRLs、增量CRL和联机证书状态协议或OCSP。我们将添加OCSP协议。

      CA能够被安装为企业或独立服务器。它们之间的区别是目录服务是否用于简化管理、发布或证书管理。如图4所示。

      我们需要该服务器是根CA,因为我们没有其他CAs 来获得密钥。如图5所示。

      由于这是一个新的安装,我们将创建一个新的私有密钥被我们的CA使用。该服务器将使用该密钥来生成和颁发证书给用户。如图6所示。

      对于加密服务提供者(CSP)和哈希算法来说有很多选项可以进行选择。缺省的选项被设置为RSA Microsoft Software Key Storage Provider和2048位加密的SHA1 算法。如图7所示。

      我们为该CA使用缺省名称。如图8所示。

      每个证书都有一个有效期。在有效期结束以后,证书将不在被认为是可接受或可用的凭据。您可以通过使用您以前使用过的相同密钥或使用一个新密钥集来更新该证书。我们为该设置使用缺省值。如图9所示。

      CA的数据和日志文件位置也能够被更改在安装的时候。如图10所示。

      因为IIS是一个依赖的服务,因此在该演示中也需要安装,我们也需要配置它。我们不需要配置任何特殊的选项在IIS的安装中,如图11所示,因此我们能够使用缺省的设置进行到最后的页面。

      为了回顾该角色的安装选项的小结,我们可以点击打印、e-mail 或保存该链接。这将打开一个Windows Internet Explorer 窗口来现实所有的信息。如图12所示。

      我们现实开始安装。如图13所示。当安装结束后,我们的服务器将有能力指派和管理用户证书和密钥。

      介绍凭据管理服务

      我们将介绍凭据管理服务。这些特性能够被分为客户端和服务器角色。

      客户端证书服务由自动注册和凭据漫游组成。自动注册不是新特性,但是在Windows Vista 和Windows Server 2008中它的架构被重新设计用来增强安全性。

      凭据漫游是Windows Server 2003 SP1中引入的新功能,现在是Windows Vista 和Windows Server 2008的一个组成部分。

      服务器端包括活动目录证书服务器角色。首先,我们有委派注册代理,它定义特定的注册权限。

      最后,我们有集成网络设备注册服务,它是用于硬件设备简单证书注册协议的微软部署。

      在Windows中,自动注册并不是一个真正的新组件,但是它已经的架构被重新改写用于减少攻击面。


    失业了,求微软平台顾问工作 MCITP/CCIE/VCP QQ:6927317 Pcdogyu@hotmail.com

    • 已标记为答案 cara chen 2012年4月20日 8:36
    2012年4月12日 12:07

全部回复

  • 日志中有何错误提示,证书服务是否能够正常启动?
    2012年4月11日 3:37
  • The Active Directory Certificate Services service entered the running state.

    服务器已经进入运行状态。

    没出什么其他的错误日志啊。

    2012年4月11日 4:40
  • 您好!

    1.请在应用程序日中检查有无错误信息。

    2.运行best practices analyzer检查该角色是否正常运行。

    谢谢!

    2012年4月12日 3:26
  • ADCS没有安装好?

      演示Windows Server 2008中的PKI

      Windows Server 2008包含添加角色向导。添加角色向导不仅可以用来安装角色,它也包含角色的配置。为了让角色正常工作而必须被执行的关键配置任务是向导的一部分。展现在添加角色向导中的所有的配置在缺省情况下是安全的,对IT专家来说有默认的智能优化。我们第一步是要打开服务器管理器。服务器管理器显示所有不同的角色从细节方面。目前,活动目录域服务和DNS服务器角色被配置。我们今天要添加的是证书服务。首先我们需要添加IIS角色。

      作为一个最佳实践,我们应该始终为管理员指派一个强密码,设置一个静态IP,并确保操作系统应用了最新的安全更新。

      我们将选择活动目录证书服务,如图2所示。我们的向导将显示个性化的步骤根据我们要增加的角色。

      接下来我们可以浏览活动目录证书服务,访问其他基于Windows Server 2008的公钥基础架构的部署和管理信息。

      我们看到证书服务器包含了不同的角色服务。如图3所示。因为我们将使用网络注册,所以我们也必须要增加IIS服务器角色。

      公钥基础架构由多个组件组成,包含证书、证书吊销列表和证书授权机构或CAs。在大多数情况下,那些依赖X.509证书的应用程序,比如安全 / 多用途 Internet 邮件扩展(S/MIME),安全套接字层、加密文件系统和智能卡,都要求验证证书的状态在执行认证、签名或加密操作的时候。有多种方法可以验证证书吊销状态,最通用的机制是CRLs、增量CRL和联机证书状态协议或OCSP。我们将添加OCSP协议。

      CA能够被安装为企业或独立服务器。它们之间的区别是目录服务是否用于简化管理、发布或证书管理。如图4所示。

      我们需要该服务器是根CA,因为我们没有其他CAs 来获得密钥。如图5所示。

      由于这是一个新的安装,我们将创建一个新的私有密钥被我们的CA使用。该服务器将使用该密钥来生成和颁发证书给用户。如图6所示。

      对于加密服务提供者(CSP)和哈希算法来说有很多选项可以进行选择。缺省的选项被设置为RSA Microsoft Software Key Storage Provider和2048位加密的SHA1 算法。如图7所示。

      我们为该CA使用缺省名称。如图8所示。

      每个证书都有一个有效期。在有效期结束以后,证书将不在被认为是可接受或可用的凭据。您可以通过使用您以前使用过的相同密钥或使用一个新密钥集来更新该证书。我们为该设置使用缺省值。如图9所示。

      CA的数据和日志文件位置也能够被更改在安装的时候。如图10所示。

      因为IIS是一个依赖的服务,因此在该演示中也需要安装,我们也需要配置它。我们不需要配置任何特殊的选项在IIS的安装中,如图11所示,因此我们能够使用缺省的设置进行到最后的页面。

      为了回顾该角色的安装选项的小结,我们可以点击打印、e-mail 或保存该链接。这将打开一个Windows Internet Explorer 窗口来现实所有的信息。如图12所示。

      我们现实开始安装。如图13所示。当安装结束后,我们的服务器将有能力指派和管理用户证书和密钥。

      介绍凭据管理服务

      我们将介绍凭据管理服务。这些特性能够被分为客户端和服务器角色。

      客户端证书服务由自动注册和凭据漫游组成。自动注册不是新特性,但是在Windows Vista 和Windows Server 2008中它的架构被重新设计用来增强安全性。

      凭据漫游是Windows Server 2003 SP1中引入的新功能,现在是Windows Vista 和Windows Server 2008的一个组成部分。

      服务器端包括活动目录证书服务器角色。首先,我们有委派注册代理,它定义特定的注册权限。

      最后,我们有集成网络设备注册服务,它是用于硬件设备简单证书注册协议的微软部署。

      在Windows中,自动注册并不是一个真正的新组件,但是它已经的架构被重新改写用于减少攻击面。


    失业了,求微软平台顾问工作 MCITP/CCIE/VCP QQ:6927317 Pcdogyu@hotmail.com

    • 已标记为答案 cara chen 2012年4月20日 8:36
    2012年4月12日 12:07
  • 您好!

    结果怎么样了?

    谢谢!

    2012年4月16日 9:35
  • 谢谢,结果很理想,问题已经解决。
    2012年4月20日 1:46
  • 谢谢 ,结果很理想,问题已经解决。
    2012年4月20日 1:46