使用Cyber​​Ark PAS解决方案时,很多时候要求服务器获取CA签名证书以减少证书警告。以下是Cyber​​Ark部署的两种典型情况:
1. PSM RDS服务
2. PVWA IIS服务器

这些步骤是Windows系统管理员的更多任务,而不是专门针对Cyber​​Ark。

PSM RDS服务证书

默认情况下,PSM RDS使用自签名证书。当最终用户RDP连接到PSM时,将弹出以下证书警告。最终用户将需要将此自签名证书安装到其本地证书存储中,连接会话才能继续。

    

更好的解决方案是让RDS服务使用CA签名的证书。由于在域环境中,所有最终用户计算机都已安装CA根证书,因此它将信任此RDS证书,因此可以避免这种警告消息。

注意:自签名证书是由RDS服务生成的。它将放置在远程桌面证书存储位置。即使您删除了此自签名证书,重新启动后也会重新生成。

YouTube视频:

这是生成CSR,发送到CA进行签名,将CA签名证书导入到服务器的步骤, 然后将其分配给RDS服务。

1 从MMC证书管理单元生成CSR

您可以运行MMC,然后添加证书管理单元。转到个人->证书,在右侧面板空间上右键单击鼠标,选择所有任务->高级操作->创建自定义请求…

单击下三个,直到下一页,展开详细信息,然后单击属性:

添加以下性能:

选择服务器身份验证作为扩展密钥用法:

使私钥可导出

将CSR保存到本地文件夹中:

2 将您的CSR文件提交给CA进行签名:


转到本地MS CA页面,申请新证书–>提交高级证书申请

为您下载的证书选择Base 64编码格式:

3 将签名的CA证书安装到PSM服务器 
双击从PSM服务器下载的CA签名证书。

单击安装证书…按钮,将其导入本地证书存储。选择本地计算机作为商店位置。
为您的证书存储区选择“个人”:

4 将导入的证书导出为PCKS格式

右键单击您的证书,然后选择导出...

确保导出私钥:

输入密码,以便您可以继续下一步:

输入适当的名称,并将其保存为扩展名为.pfx的本地名称。

5 Import it into RDS 
打开服务器管理器–> 远程桌面服务-> Overview – >部署概述-> Tasks ->编辑部署属性

证书->选择现有证书...

从上一步中选择导出的证书,然后输入密码:

单击确定以完成所有配置。现在,您的RDS服务具有CA签名的证书。

有两个RDS服务需要分配此证书。

PVWA IIS服务器证书

默认安装,当最终用户连接到您的http:// _时<PVWA site.51sectest.dev>/PasswordVault 将导致证书错误NET :: ERR_CERT_COMMON_NAME_INVALID。由于在PVWA先决条件脚本期间创建了自签名证书,因此可以预期。一种解决方案是 选择浏览器页面的通知,高级> Proceed to //<PVWA site.51sectest.dev>/PasswordVault  (unsafe)
另一个更好的解决方案是为PVWA IIS服务安装CA签名证书。与RDS证书过程类似的步骤。 

获得CA签名证书的签名并导入到PVWA服务器本地证书的个人位置之后,从服务器管理器启动IIS管理器-> IIS:

将新导入的证书分配给默认网站上的https(443)服务。

YouTube视频:

通过 网络安全

发表评论