使用CyberArk PAS解决方案时,很多时候要求服务器获取CA签名证书以减少证书警告。以下是CyberArk部署的两种典型情况:
1. PSM RDS服务
2. PVWA IIS服务器
这些步骤是Windows系统管理员的更多任务,而不是专门针对CyberArk。
PSM RDS服务证书
默认情况下,PSM RDS使用自签名证书。当最终用户RDP连接到PSM时,将弹出以下证书警告。最终用户将需要将此自签名证书安装到其本地证书存储中,连接会话才能继续。
更好的解决方案是让RDS服务使用CA签名的证书。由于在域环境中,所有最终用户计算机都已安装CA根证书,因此它将信任此RDS证书,因此可以避免这种警告消息。
注意:自签名证书是由RDS服务生成的。它将放置在远程桌面证书存储位置。即使您删除了此自签名证书,重新启动后也会重新生成。
这是生成CSR,发送到CA进行签名,将CA签名证书导入到服务器的步骤, 然后将其分配给RDS服务。
1 从MMC证书管理单元生成CSR
您可以运行MMC,然后添加证书管理单元。转到个人->证书,在右侧面板空间上右键单击鼠标,选择所有任务->高级操作->创建自定义请求…
单击下三个,直到下一页,展开详细信息,然后单击属性:
添加以下性能:
选择服务器身份验证作为扩展密钥用法:
将CSR保存到本地文件夹中:
2 将您的CSR文件提交给CA进行签名:
转到本地MS CA页面,申请新证书–>提交高级证书申请
为您下载的证书选择Base 64编码格式:
3 将签名的CA证书安装到PSM服务器
双击从PSM服务器下载的CA签名证书。
单击安装证书…按钮,将其导入本地证书存储。选择本地计算机作为商店位置。
为您的证书存储区选择“个人”:
4 将导入的证书导出为PCKS格式
右键单击您的证书,然后选择导出...
确保导出私钥:
输入密码,以便您可以继续下一步:
输入适当的名称,并将其保存为扩展名为.pfx的本地名称。
5 Import it into RDS
打开服务器管理器–> 远程桌面服务-> Overview – >部署概述-> Tasks ->编辑部署属性
证书->选择现有证书...
从上一步中选择导出的证书,然后输入密码:
单击确定以完成所有配置。现在,您的RDS服务具有CA签名的证书。
有两个RDS服务需要分配此证书。
PVWA IIS服务器证书
获得CA签名证书的签名并导入到PVWA服务器本地证书的个人位置之后,从服务器管理器启动IIS管理器-> IIS:
将新导入的证书分配给默认网站上的https(443)服务。
YouTube视频:
