AD证书与A8+相关配置

申请证书前提：

AD证书服务器已安装配置好。满足如下要求：

服务器操作系统为Windows2003 Server及以上版本；

安装有IIS Admin Service服务并已启动；

安装有CA证书服务并已启动；

安装有AD服务并已启动。

申请证书步骤：

第一步：修改AD证书服务器的密码策略

AD中新建用户，密码默认是7位，并且密码设置规范很多，所以要在组策略中修改AD密码策略，

以系统管理员身份登录，在运行中输入：gpedit.msc，打开组策略编辑器，复杂性要求禁用，密码长度改为6。如图所示：

第二步：生成申请证书

在A8+部署设备上生成申请证书：开始->程序->管理工具-> Internet 信息服务 (IIS) 管理器 -> Internet信息服务-> (本地计算机) ->网站->右键点选已建好的网站 ->属性 ->选择 "目录安全性" ->服务器证书->新建证书 ->准备证书，但稍后发送公共名称最好设置为 AD服务器域名, 这是给使用者连SSL 的站点，最后产生证书请求文件，默认为c:\certreq.txt 。

具体步骤（Windows2003 Server）：

1、开始菜单->管理工具->Internet信息服务（IIS）管理器：

2、单击Internet信息服务（IIS）管理器：

3、在上图中的网站->默认网站上单击右键，单击属性，选择目录安全性：

4、单击服务器证书：

5、单击下一步：

6、选择新建证书，单击下一步：

7、选择“现在准备证书请求，但稍后发送”，单击下一步：

在名称下方的输入框中输入一个容易引用和记忆的名称，例如ca.bank.com。

位长默认为1024。

8、单击下一步：

单位和部门输入客户的单位和部门的英文名称。

9、单击下一步：

共用名称下方的输入框中输入AD服务器的完整的计算机名称，例如server2.bank.com。

10、单击下一步：

国家选择中国，省/自治区录入所在省或自治区的英文名称，市县录入所在市县的英文名称。

11、单击下一步：

在文件名处录入证书请求文件的文件路径，例如c:\certreq.txt。

12、单击下一步：

13、单击下一步，单击完成。

具体步骤（Windows 2008 Server）：

开始菜单->管理工具->Internet信息服务（IIS）管理器：

2、单击Internet信息服务（IIS）管理器：

3、在左侧窗口中选择起始页下方的根节点，在右侧的窗口中双击服务器证书：

4、单击“创建证书申请”：

通用名称输入证书的通用名称，可以自定义英文名称，没有特殊要求，例如ca.bank.com

其他信息根据客户的具体信息输入相关的英文信息。

5、单击下一步：

以默认选项为准。

6、单击下一步：

为证书申请指定一个文件名，例如c:\certreq.txt。

7、单击完成。

大致步骤：在A8+部署设备上打开IE浏览器，进入 http:// AD服务器IP/CertSrv
按申请一个证书 ->高级证书申请->使用 base64 编码的 CMC 或 PKCS #10 文件提交一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请。使用【记事本】打开 c:\certreq.txt , copy c:\certreq.txt 内容贴至保存的申请: 证书模板选择【Web 服务器】, 按【提交】然后点选【下载证书】, 将 certnew.cer 储存至 c:\certnew.cer。

第三步:在CA上请求证书

具体步骤：

1、在IE浏览器中访问http://localhost/CertSrv：

2、单击“申请一个证书”：

3、单击“高级证书申请”：

4、单击“使用base64编码的CMC……”：

将“错误!未找到引用源。错误!未找到引用源。”生成的证书请求文件（c:/ certreq.txt）中的内容拷贝到“保存的申请”下方的文本框中。

证书模版选择Web服务器。

5、单击提交按钮：

6、选择Base 64编码，单击下载证书：

7、单击保存按钮，选择保存的路径，将certnew.cer文件保存到该路径下。

第四步：在AD服务器上安装证书
开始->程序->管理工具-> Internet 信息服务 (IIS) 管理器 -> Internet信息服务-> (本地计算机) ->网站 ->右键点选已建好的网站->属性 ->选择 "目录安全性" ->服务器证书 ->处理挂起的请求，安装证书 ->路径和文件名: c:\certnew.cer
网站SSL 端口: 443

第五步：

在A8+服务器上将AD证书写入A8+环境

进入keytool.exe所在A8+主目录/jdk/bin目录下。

执行的命令实例如下，对应参数需要根据项目具体环境修改：

keytool -import -aliasA8+_cacert^[1] -file"C:/certnew.cer"^[2] -keystore"C:/A8+Server/domain1/jdk/jre/lib/security/cacerts"^[3] -storepass"Test2012"^[4]

命令中的参数：

[1]：证书的别名，可以默认为A8+_cacert，也可以自定义。

[2]：在A8+服务器上存放的从AD服务器上生成的证书的文件路径。上述命令中为C:/certnew.cer。

[3]：A8+存储AD服务器上生成的证书的文件路径，必须设置为A8+安装目录中的jdk/jre/lib/security/cacerts文件。上述命令中为C:/A8+Server/domain1/jdk/jre/lib/security/cacerts，其中C:/A8+Server/domain1/为A8+的安装目录。如果在执行此命令之前在jdk/jre/lib/security文件夹已经存在cacerts文件，需要先手工删除或备份此文件，再执行此命令，否则此命令可能无法执行成功。

[4]：A8+存储AD服务器上生成的证书的密码，此密码可以自行设定，没有特别要求，但是必须要记住，最好能够记录在相关的文档中。因为如果证书因为微软和JDK不兼容的问题安装不成功，在执行rebuildCA.bat批处理命令重新格式化时，需要提供此存储密码才能读取到证书的内容。

提示是否认证，输入“y”，然后回车即可。