遇到一堆跟憑證有關的 Windows 服務問題,想自己架個 Windows CA 做研究,開了 VM,練習用 PowerShell 安裝 AD 及 CA 伺服器。

安裝 AD Domain Controller (AD DS)

 

  1. 若 Win Server 原本用 DHCP,要先改為靜態固定 IP,設定 DNS 伺服器
    Get-NetIPAddress | Select InterfaceIndex, IPAddress # 主要是看網路介面代號 InterfaceIndex,等下當成參數
    Get-NetIPConfiguration # 可查 IP、Gateway、DNS
    New-NetIPAddress -InterfaceIndex 4 -IPAddress 192.168.50.228 -PrefixLength 24 DefaultGateway 192.168.50.1
    # 將自己的 IP 設成第一 DNS 主機,後接一般 DNS
    Set-DnsClientServerAddress -InterfaceIndex 4 -ServerAddresses ("192.168.50.228","8.8.8.8")
    
  2. 主機改名
    如果當初安裝時沒指定,主機名稱會是 WIN-K6RT2R4NDIM 這種隨機名稱,由於未來常要輸入 DC 主機名稱,建議取個 dc 之類的簡短名稱比較省事。
    $env:COMPUTERNAME # 查現有主機名稱
    Rename-ComputerName DC # 改完要重開機
    Restart-Computer # 重開機
    
  3. 安裝 AD-DS 角色
    Install-WindowsFeature –Name AD-Domain-Services –IncludeManagementTools
    
  4. 建立 AD Forest
    Install-ADDSForest `
     -DomainName "utopia.net" `
     -CreateDnsDelegation:$false ` 
     -DatabasePath "C:\Windows\NTDS" ` 
     -DomainMode "7" ` 
     -DomainNetbiosName "utopia" ` 
     -ForestMode "7" ` 
     -InstallDns:$true ` 
     -LogPath "C:\Windows\NTDS" ` 
     -NoRebootOnCompletion:$true ` 
     -SysvolPath "C:\Windows\SYSVOL" ` 
     -Force:$true
    
    註1:DomainMode,Win 2016+ 設 7 (WinThreshold)、ForestMode 7 = Windows2016Forest
    註2:建立時要輸入 Safe Mode Administrator Password,執行 AD 修復還原時使用
  5. 重開重新登入後,用以下指令檢查 AD 相關服務是否就緒
    Get-Service adws,kdc,netlogon,dns
    
    若四個服務都在 Running,代表 AD 安裝成功。

參考文件:Windows server 2019 Step-By-Step: Setup Active Directory environment using PowerShell

安裝 Certification Authority (AD CS)

 

  1. 安裝相關程式
    Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
    
  2. 建立 Enterprise CA
    Install-AdcsCertificationAuthority -CAType EnterpriseRootCA
    
    註:CAType 分為 EnterpriseRootCa 與 StandaloneRootCa,EnterpriseRootCa 與 AD 緊密整合,可設定憑證範本讓 Windows 主機、服務自動取得及更新憑證,同時可備份使用者加密憑證,萬一遺失時還能救回來。StandaloneRootCa 則可當成單純 CA 使用,簽發憑證全手動,且需自行備妥複雜的憑證資訊確保有效性,但優點時可平日停機,需要才啟動,降低曝露風險。參考
  3. 如果想像坊間教學在 IIS 建立憑證 Request 檔,上傳到 CA 網站產生 TLS 憑證,還需要安裝 Certification Authority Web Enrollment
Add-WindowsFeature Adcs-Web-Enrollment
Install-AdcsWebEnrollment

安裝完成,輸入 ℎttp://dc.utpia.net/certsvr,看到以下畫面就成功了。

參考文件:Install the Certification Authority

CA 裝好,馬上發一張 4096 bit 的 IIS 憑證給自己開心一下,哈!

Notes about installing AD DS, AD CS in Windows Server 2019 with PowerShell.


Comments

Be the first to post a comment

Post a comment