《網(wǎng)絡(luò)應(yīng)用服務(wù)管理》形考任務(wù)-實(shí)訓(xùn)5：配置數(shù)字證書服務(wù)

1、實(shí)訓(xùn)5：配置數(shù)字證書服務(wù)實(shí)訓(xùn)環(huán)境1.臺(tái)WindowsServer2016DC,主機(jī)名為DC。2.臺(tái)WindowsServer2016服務(wù)器并加入域，主機(jī)名為Server3.臺(tái)Windows10客戶端并加入域，主機(jī)名為WinlO。實(shí)訓(xùn)操作假設(shè)你是一家公司的管理員，需要你完成以下工作:1.在DC上部署企業(yè)根CA。打開(kāi)“服務(wù)器管理器”，單擊“添加角色和功能”，打開(kāi)“添加角色和功能向?qū)А贝翱?。逐步單擊“下一步”，在“服?wù)器角色”界面中，勾選“ActiveDirectory證書服務(wù)復(fù)選框，然后單擊“下一步在“ADCS角色服務(wù)界面中，勾選“證書頒發(fā)機(jī)構(gòu)”和“證書頒發(fā)機(jī)構(gòu)Web注冊(cè)”復(fù)選框，然后單擊“下一步

2、”。其中“證書頒發(fā)機(jī)構(gòu)Web注冊(cè)角色，可以實(shí)現(xiàn)通過(guò)瀏覽器向CA進(jìn)行證書申請(qǐng)的功能。服務(wù)角色兔色2Z)ActiveDirectoryRightsManagementServices_ActiveDirectory盛芻少紛簽證唳矣ActiveDirectoryADCS角色娠務(wù)ActrveDirectory書長(zhǎng)駕ADCS)是亍細(xì)合證書破機(jī)樹哭天住琶眠S.從而允用麻變暗淫備成用茬 Q 饋用的血ctivcDirectory江翔強(qiáng)j./nroc選擇角色服務(wù)Web眼務(wù)參角色(il倦色服務(wù)鋪認(rèn)4.最后在“確認(rèn)”界面中.單擊“安會(huì)”，開(kāi)始安裝證書服務(wù)。確認(rèn)安裝所選內(nèi)容者妾在疝曜務(wù)客上支長(zhǎng)以下角邑魚況務(wù)立功宅，舌

3、單*生定.次志；妥.巨站新目胡目敬歡蘭可能會(huì)奩比頁(yè)旬上顯示可秀功德頁(yè)般理工n).區(qū)為巳自動(dòng)典 0 賞功as.SDH不常2：安鐐 mm 可撅弟，君單為上 FUJ?除耳!璉也ActiveDirector證書寂為證書或室機(jī)伯證書迎林岫盼Web匾鳥資IIS)WebSS3常見(jiàn)HTTP況S3;AS目笈瀏菟HTTP畛HTTP里定珂OSRS-S5掐定兮用湯?&徑|藏I)I吸湛完成安裝后，單擊配置目標(biāo)服務(wù)器上的ActiveDirectory證書服務(wù)。辭安熊度0功能安蕓羌支田登。已在S上安裝成功。ActiveDirectory 征書服務(wù)為了配直目后艮芳指上的ActiveDirectoy汪頸擘，*祈其饋賽|SB目已

4、艮務(wù)器上的ActiveDirectory注書服務(wù)】證書頒發(fā)機(jī)構(gòu)i 正書頒發(fā)機(jī)構(gòu) Web 注冊(cè)Web 瞧器(IIS)UVebBESSSServer!.contosozcn亓始之動(dòng)安裝美里巔關(guān)器選經(jīng)報(bào)務(wù)蘭危色功能ADCSActiveDirectory環(huán)書版務(wù)整要安簽到危色砌角色服務(wù)江罰驟明Web由了 5 簡(jiǎn)單鬼Web界曲.允許用戶執(zhí)行包若申語(yǔ)會(huì)訂還甘趨緊近節(jié)兆的歹.表(CRg三臘旎卡證毋母9任駕.$o*rffir1.ccntc5o.ccn亓抬之前交秘型服務(wù)88逸徑眼務(wù)器角色ADCS角色服務(wù)V/eb?E角色:低)墉認(rèn)正書 g 機(jī)芯網(wǎng)岸沒(méi)備瓢琢歸簇瀏構(gòu)Web沏近書注冊(cè)Web財(cái)證書注臆酩Web陽(yáng)容當(dāng)mU

5、TTOTflSC在“ADCS配置”向?qū)е械摹敖巧?wù)”界面，勾選“證書頒發(fā)機(jī)構(gòu)”和“證書頒發(fā)機(jī)構(gòu)Web注冊(cè)。聯(lián)機(jī)響應(yīng)程序網(wǎng)定設(shè)督頜服務(wù)口臥珊Web服務(wù)證書渤演BgWeb月gg在“ADCS配置”向?qū)е械摹霸O(shè)置類型”界面，選擇“企業(yè)CA”。LiADCSEH角色服務(wù)目標(biāo)酸器S憑據(jù)選擇要配置的角色服務(wù)角色服務(wù)fLADCSEg設(shè)置類型X目辟略Server!憑據(jù)用色眼另沒(méi)曾類型CA類型岫加宣CA名球有效明還下蘇據(jù)庫(kù)確認(rèn)IS果指定CA的設(shè)留類笠企也E書酸明(CA)可以明ActiveDirectory域錚簡(jiǎn)化碰B忍鮑CA不回宅ADD5來(lái)瘀書，|企業(yè)CA(E)企業(yè)CA必須是痂彼.齊目通甬處亍聯(lián)機(jī)狀態(tài)以成發(fā)證書或

6、汪書鐐野O技立CA(A)獨(dú)立CA可應(yīng)成員、工作廷或域.技立CA在要ADDS,可在沒(méi)有問(wèn)JS逢接球況(脫機(jī))下在“ADCS配置”向?qū)е械摹癈A類型界面，選擇“根CA”。CA類型S隹色版務(wù)沒(méi)置類型CA類型指定CA類型在安裝ActiveDirectory證枝耕(ADCS)凱揮如連切影湖禁給歸PKI)層次結(jié)構(gòu).根CA位亍FKI鼻次結(jié)花的設(shè)蓼.成發(fā)其白己3均簽名宙B.從匡CA從PKI后次結(jié)構(gòu)中位于其上方的CA做證書.私鑰加密CA名稱有效期征書55蝸庫(kù)確認(rèn)進(jìn)度|招XR)|垂CAS3PKI層;詢2口配后的笛一目可胡呈暗一的CA.O從匡CA(U)從屈CA卷耳適立PKI導(dǎo)次球，井旦已段層忽8構(gòu)辛位于電方的CA按

7、踏發(fā)證或設(shè)置類型CA類型私珥加密CA名稱鈉期證書敏據(jù)岸確認(rèn)結(jié)采動(dòng)證書頒發(fā)機(jī)構(gòu)V證刊訶朝向Web注冊(cè)X全部保持默認(rèn)設(shè)置并單擊“下一步”，最后單擊“配置按鈕，完成證書服務(wù)的配置日以購(gòu)器S。上一步(P)下 TG；tE5K)J2取稔|證書服務(wù)安裝完成后，可以在“服務(wù)器管理器”的“工具”菜單中，打開(kāi)“證書頒發(fā)機(jī)構(gòu)管理工具進(jìn)行查看。新ccrtsrv-X文件(F)藻作(A)iV)幫助(Hl商證書頜發(fā)機(jī)秘本均)名稱V洛contoso-SERVERl-CA吊銷的證書預(yù)發(fā)的證書舞的曰請(qǐng)夫歿的日請(qǐng)正書讖仍contoso-SERVER1-CA正書頒發(fā)機(jī)構(gòu)當(dāng)域的用戶向企業(yè)根CA申請(qǐng)證書時(shí)，企業(yè)根CA會(huì)通過(guò)ActiveD

8、irectory得知用盧的相關(guān)信息，并自動(dòng)核準(zhǔn)、發(fā)放用戶所要求的證書。企業(yè)根CA默認(rèn)的證書種類很多，而且是根據(jù)“證書模板”來(lái)發(fā)放證書的。例如，圖中右方的“用戶模板提供了可以用于將文件加密的證書、保護(hù)電子安全的證書與驗(yàn)證客戶端身份的證書。確認(rèn)憑據(jù)角色服務(wù)設(shè)置關(guān)型CA類圖私鑰IBSCA名稱部人。ActiveDirectory旺書睇務(wù)CA維企業(yè)性加壑加程字：RSAMkrosoftSoftwareKeyStorageProviderSHA256整竺心20482048先許涇8務(wù)左互12怕證翊渤8：2O22/B/19:21:00可分i格承CN=contoso-SERVERI-CA,(X=contoo,DC

9、二comE 皿:心C：Windov，ssy$tEi32CortLcg證下祚吞日泛位&C:Windcv,叭萬(wàn)gen32CertLcg言委配菖以下星色角色腰彩玫晚，無(wú)單壬配宜二ilFBSmWWeb注冊(cè)奪ccrtsrv-pZ書頒發(fā)機(jī)構(gòu)(本i6)ccrto5oSERVER1 CA證書建板ZZ件(F)S(A)辭(V)符Ht(H)伊哮|名|國(guó)|園功證饋發(fā)機(jī)構(gòu)佐她)名稱醐用逢7 狷contoso-SERVERI-CA豆目錄電子的說(shuō)刮目件賓制吊銷的狂書回鵬制器身份檢旺旨占蓋身分驗(yàn)正股會(huì)器身份狙:正智能.一頒發(fā)的旺韋23Kerberos身份驗(yàn)：IE存臼 W 身分瞼正度名器身份蜉正,智能.二SSKS清回EFS恢冥

10、代理回*EFS力瞌文件蜘|日箜板|團(tuán)癱制 M吝上其身吩瞼;正反笑器身份撿江畫Wsb展務(wù)器間計(jì)宜機(jī)吝白誨,狂國(guó)用戶方文件系統(tǒng).安全毛子*部生客戶點(diǎn)身.圓從屆證書殿偽51管理5Microsoft信任列表簽名,DDSJZg.Windowsserver2016通過(guò)組策略，讓域的所有用戶與計(jì)算機(jī)自動(dòng)信任由企業(yè)根CA所發(fā)送的證書。例如，域的一臺(tái)Windows10計(jì)算機(jī)中IE瀏覽器的證書界面，此計(jì)算機(jī)自動(dòng)信任域的企業(yè)根CA。證書個(gè)人其他人中間證書頒發(fā)機(jī)構(gòu) 受信任的根證書頒發(fā)機(jī)構(gòu)受信任的發(fā)布者去受信任的發(fā)布者Class3PublicPr.llClass3PublicPr.Copyright(c)19.DCie

11、asthome-DC-CA憐Ieasthome-DC-CALMicrosoftAuthe.MicrosoftRoot.早MicrosoftRoot.MicrosoftRoot.Class3PublicPrim.Class3PublicPrim.Copyright(c)1997.DC莪止日期2028/8/22004/1/31999/12.2019/2/2友好名稱VeriSignClass.VeriSignClass.MicrosoftTim.證書網(wǎng)站Aeasthome-DC-CAeasthome-DC-CA2023/2/22023/2/2v 無(wú)4無(wú)MicrosoftAuthenti.2000/1

12、/1MicrosoftAut.MicrosoftRootAu.2020/12.MicrosoftKoo.MicrosoftRootCe.2021/5/.MicrosoftR.00.MicrosoftRootCe.2035/6/.MicrosoftR.00.VX刪除(R)蹴目的(N)：zV 所有高級(jí)(A)2.發(fā)布證書申請(qǐng)。在“服務(wù)器管理器”中打開(kāi)uInternetInformationServices(IIS)管理器并在服務(wù)器的主頁(yè)中單擊“服務(wù)器證書選擇“創(chuàng)建自簽名證書。操作導(dǎo)入削建證書申請(qǐng)完成證書南請(qǐng).創(chuàng)建域證書I嘩白簽名近H橋目前重特定知的證書慧助在“創(chuàng)建自簽名證書對(duì)話框中，輸入一個(gè)證書名稱

13、，并在“為新證書選擇證書存儲(chǔ)中選擇Web宿主，最后單擊“確定按鈕。-維5(A)g 依好攻Ea&f*%/Internetlnfr*d功炒配置蜘暮Configur.創(chuàng)建自簽名證書措定證書由蹄文件名.此信息可以發(fā)送蛤證書頒姬構(gòu)遂行委名:取消返回“InternetInformationServices(IIS)管理器界面,選擇默認(rèn)，并單擊右側(cè)的“綁定”。詢irtcrne：InforrraticnSvice54-DC,財(cái)站(MtuhWebgUJ指定友好名稱網(wǎng)站綁定添加網(wǎng)站綁定姓(T):IPiSM：https 全慈二分配責(zé)口（。）：71443|主機(jī)名(H):?X者要金務(wù)器名稱指示(N)SSL 證書(F):

14、證書網(wǎng)站郵(L).查看(V).曜耽肖短此時(shí)已完成證書申請(qǐng)的發(fā)布。登錄客戶端計(jì)算機(jī)，使用IE瀏覽器，訪問(wèn)證書申請(qǐng)：https：/服務(wù)器域名或IP地址/certsrv,即可訪問(wèn)證書申請(qǐng)。.,19169.0.10rz.Q。證書國(guó) WCMieroseftActiveDirector.MicrosoftActiveDirectory-easthome-DC-CA歡迎使用使用此網(wǎng)站為你的Web瀏覽器、電子郵件客戶端或其他程序申請(qǐng)證書。通過(guò)使用證書，你可以向通過(guò)Web進(jìn)彳:你的身份、簽名并加密郵件，并根據(jù)你申蹄證書類型執(zhí)行其他安全任務(wù)。你也可以使用此網(wǎng)站下載證書頒發(fā)機(jī)構(gòu)(CA)證書、證書鏈，或證書吊銷列表(

15、CRL),或者查看掛起申請(qǐng)的狀態(tài)。有關(guān)ActiveDirectory證書服務(wù)的詳細(xì)信息,請(qǐng)參閱ActiveDirectory證書務(wù)文檔.選擇一個(gè)任務(wù)：申請(qǐng)證書杳看掛掃的證書申話的狀態(tài)下我CA證書.i正毛筑或CRL3.在Serverl上創(chuàng)建基于SSL的。完成Web服務(wù)器（IIS）的安裝。塢InternetInformationServices(IIS)含埋器0SERVER1，網(wǎng)站DefaultWebSite文件（F）瞄（V）wan（H）DefaultWebSite主頁(yè)舞園a(G)全部昱示(A)分組依據(jù)：區(qū)域IISS#1ffi41IHTTPIR昉MIME嬤SSL姻處理所羨曄頭射也H完成計(jì)算機(jī)證書的注冊(cè)。S又期)*T(A)一營(yíng)枷虹龍(338苴GtgJ徊 EK二Hgm菖不購(gòu) g食三住傾職。J2H任人a蝴iZJWgWiGBw.WndcmsUreQToker在IIS管理器中，設(shè)置默認(rèn)的證書綁定。連接j碼起抬頁(yè)vJSERVER1(EASTHOMEadrvJ)W朗油vG悶站Defau