(推薦)Windows網(wǎng)絡(luò)操作系統(tǒng)配置與管理單元十二任務(wù)1：配置ADCS

1、(推薦)windows網(wǎng)絡(luò)操作系統(tǒng)配置與管理單元十二任務(wù)1：配置adcswindows 網(wǎng)絡(luò)操作系統(tǒng)的配置與管理單元一：安裝windows操作系統(tǒng)單元二：安裝與配置活動(dòng)目錄域服務(wù)單元三：管理用戶和組單元四：配置和管理組策略單元五：配置與管理分布式文件系統(tǒng)單元六：配置與管理存儲(chǔ)系統(tǒng)單元七：配置與管理打印服務(wù)器單元八：ip地址與配置方法單元九：配置與管理dhcp服務(wù)器單元十：配置與管理dns服務(wù)器單元十一：配置與管理web服務(wù)器 單元十二：配置與管理adcs單元十三：配置路由與遠(yuǎn)程訪問(wèn)單元十四：配置網(wǎng)絡(luò)策略服務(wù)和網(wǎng)絡(luò)訪問(wèn)保護(hù)單元十二工作背景 你是時(shí)訊公司的網(wǎng)絡(luò)管理員，為了保證公司網(wǎng)絡(luò)的通訊安全，許

2、多技術(shù)都需要證書(shū)的支持，比如文件加密，與服務(wù)器的加密連接，安全web訪問(wèn)，基于證書(shū)的vpn加密連接以及基于證書(shū)的nap保護(hù)等，為此，你需要在當(dāng)前公司網(wǎng)絡(luò)中部署ad cs基礎(chǔ)結(jié)構(gòu)。工作任務(wù)任務(wù)1 安裝與配置ad cs任務(wù)2 部署用戶和計(jì)算機(jī)證書(shū) 單元十二 配置與管理ad cs任務(wù)1 安裝與配置ad cs任務(wù)2 部署用戶和計(jì)算機(jī)證書(shū) 任務(wù)任務(wù)1 1 安裝與配置安裝與配置 ad cs ad cs 一：課程導(dǎo)入二：知識(shí)原理 2.1 pki 及其優(yōu)點(diǎn) 2.2 pki的應(yīng)用 2.3 pki 解決方案的組件 2.4 ad cs 對(duì) pki 的支持 2.5 ca 概述 2.6 ca 的類(lèi)型 2.7 獨(dú)立 ca

3、 和企業(yè) ca 2.8 ca 層次結(jié)構(gòu)的使用方案 2.9 安裝根 ca 的注意事項(xiàng) 2.10 安裝子級(jí) ca 的注意事項(xiàng)三：演示：安裝根ca 和安裝子級(jí)ca四：小結(jié)一、課程導(dǎo)入 你在網(wǎng)上購(gòu)物，然后用網(wǎng)銀支付，是否擔(dān)心賬戶密碼給別人竊取？ 你在網(wǎng)上與別人聊天，不擔(dān)心聊天內(nèi)容被黑客截獲？ 你公司的服務(wù)器，可能被心懷不軌的人登錄竊取或破壞？二、知識(shí)原理二、知識(shí)原理2.1 pki 及其優(yōu)點(diǎn)2.2 pki的應(yīng)用2.3 pki 解決方案的組件2.4 ad cs 對(duì) pki 的支持2.5 ca 概述2.6 ca 的類(lèi)型2.7 獨(dú)立 ca 和企業(yè) ca2.8 ca 層次結(jié)構(gòu)的使用方案2.9 安裝根 ca 的注

4、意事項(xiàng)2.10 安裝子級(jí) ca 的注意事項(xiàng)2.1 pki 及其優(yōu)點(diǎn)公鑰基礎(chǔ)結(jié)構(gòu)（公鑰基礎(chǔ)結(jié)構(gòu)（pki）：）：pki（public key infrastructure ） 即即公鑰基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施，是一種遵，是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái),它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書(shū)管理體系，簡(jiǎn)單來(lái)說(shuō)，密碼服務(wù)及所必需的密鑰和證書(shū)管理體系，簡(jiǎn)單來(lái)說(shuō)，pki就是利用公鑰就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。pki技術(shù)是信息安全技術(shù)的技術(shù)是信息安全技術(shù)

5、的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。pki 通過(guò)提供以下幾點(diǎn)增強(qiáng)基礎(chǔ)結(jié)構(gòu)安全性：通過(guò)提供以下幾點(diǎn)增強(qiáng)基礎(chǔ)結(jié)構(gòu)安全性：機(jī)密性：機(jī)密性：pki提供了加密存儲(chǔ)和傳輸數(shù)據(jù)的能力提供了加密存儲(chǔ)和傳輸數(shù)據(jù)的能力完整性：使用數(shù)字簽名，可識(shí)別在信息傳送過(guò)程中是否有數(shù)據(jù)被修改。完整性：使用數(shù)字簽名，可識(shí)別在信息傳送過(guò)程中是否有數(shù)據(jù)被修改。真實(shí)性：利用哈希算法生成信息摘要，利用私鑰對(duì)摘要進(jìn)行簽名，以真實(shí)性：利用哈希算法生成信息摘要，利用私鑰對(duì)摘要進(jìn)行簽名，以 證明該消息摘要是由發(fā)送方生成。證明該消息摘要是由發(fā)送方生成。不可抵賴(lài)性：數(shù)字簽名是數(shù)據(jù)來(lái)源的證明不可抵賴(lài)性：數(shù)字簽名是

6、數(shù)據(jù)來(lái)源的證明幾個(gè)概念凱撒密碼：凱撒密碼：相傳當(dāng)年凱撒大帝行軍打仗時(shí)為了保證自己的命令不被敵軍知道，就用一種特殊的方法進(jìn)行通信，以確保信息傳遞的安全，他的原理是：把字母表中的每一個(gè)字母按順序向后移x位，例如：“baidu”向后移3位變成：edlgx，這里”baidu”是原始信息，edlgx是密文密文，3是密鑰密鑰。公鑰和私鑰：公鑰和私鑰：是通過(guò)一種算法得到的一個(gè)密鑰對(duì)（即一個(gè)公鑰和一個(gè)私鑰）其中的一個(gè)向外界公開(kāi)，稱(chēng)為公鑰公鑰；另一個(gè)自己保留，稱(chēng)為私鑰私鑰。通過(guò)這種算法得到的密鑰對(duì)能保證在世界范圍內(nèi)是唯一的。用公鑰加密數(shù)據(jù)就必須用私鑰解密，用私鑰加密也必須用公鑰解密，否則解密將不會(huì)成功。數(shù)字簽名

7、：數(shù)字簽名：類(lèi)似寫(xiě)在紙上的普通的物理簽名。將摘要信息用發(fā)送者的私鑰加密，如果對(duì)方能用發(fā)送者的公鑰機(jī)密，則能證明是發(fā)送者的身份。2.2 pki2.2 pki的應(yīng)用的應(yīng)用軟件代碼軟件代碼簽名簽名 加密文加密文件系統(tǒng)件系統(tǒng)智能卡登錄智能卡登錄 802.1xip 安全安全internet 身份驗(yàn)證身份驗(yàn)證安全電子安全電子郵件郵件windows 2008證書(shū)服務(wù)器證書(shū)服務(wù)器軟件限制策略軟件限制策略 數(shù)字簽名數(shù)字簽名2.3 pki 解決方案的組件證書(shū)頒發(fā)機(jī)構(gòu)證書(shū)頒發(fā)機(jī)構(gòu)數(shù)字證書(shū)數(shù)字證書(shū)證書(shū)吊銷(xiāo)列表和證書(shū)吊銷(xiāo)列表和聯(lián)機(jī)響應(yīng)程序聯(lián)機(jī)響應(yīng)程序證書(shū)模板證書(shū)模板支持公鑰的應(yīng)用程序支持公鑰的應(yīng)用程序和服務(wù)和服務(wù)證書(shū)和

8、證書(shū)和 ca 管理管理工具工具aia 和和 crl 分分發(fā)點(diǎn)發(fā)點(diǎn)2.4 ad cs 對(duì) pki 的支持caad csca web 注冊(cè)注冊(cè)聯(lián)機(jī)響應(yīng)程序聯(lián)機(jī)響應(yīng)程序網(wǎng)絡(luò)設(shè)備注冊(cè)服務(wù)網(wǎng)絡(luò)設(shè)備注冊(cè)服務(wù)2.5 ca 概述證書(shū)頒發(fā)機(jī)構(gòu)證書(shū)頒發(fā)機(jī)構(gòu) 為自己頒發(fā)證為自己頒發(fā)證書(shū)書(shū)驗(yàn)證證書(shū)申請(qǐng)者的驗(yàn)證證書(shū)申請(qǐng)者的身份身份管理證書(shū)吊銷(xiāo)管理證書(shū)吊銷(xiāo)向用戶、計(jì)算機(jī)和服向用戶、計(jì)算機(jī)和服務(wù)頒發(fā)證書(shū)務(wù)頒發(fā)證書(shū)在windows server 2008網(wǎng)絡(luò)中，ca（證書(shū)頒發(fā)機(jī)構(gòu)）是裝有cs（證書(shū)服務(wù)）角色的計(jì)算機(jī)。2.6 ca 的類(lèi)型 是 pki 基礎(chǔ)結(jié)構(gòu)中最受信任的 ca 類(lèi)型 是自簽名證書(shū) 向其他子級(jí) ca 頒發(fā)證書(shū)

9、擁有物理安全性以及通常比子級(jí) ca 更加嚴(yán)格的證書(shū)頒發(fā)策略根根 ca由根由根ca或其他或其他 ca 頒發(fā)證書(shū)頒發(fā)證書(shū)針對(duì)具體的使用策略、組織性或地域性邊界、針對(duì)具體的使用策略、組織性或地域性邊界、負(fù)載平衡以及容錯(cuò)設(shè)置的負(fù)載平衡以及容錯(cuò)設(shè)置的ca向其他向其他 ca 頒發(fā)證書(shū)，以形成分層的頒發(fā)證書(shū)，以形成分層的 pki 基礎(chǔ)結(jié)構(gòu)基礎(chǔ)結(jié)構(gòu)子級(jí)子級(jí) ca2.7 獨(dú)立 ca 和企業(yè) ca獨(dú)立 ca企業(yè) ca如果有任何 ca（根 ca 或中間 ca /策略）脫機(jī)，那么必須使用獨(dú)立 ca。這是因?yàn)楠?dú)立 ca 不加入 ad ds 域。 要求使用 active directory需要 ad ds 可使用組策略將

10、證書(shū)填入受信任的根 ca 證書(shū)存儲(chǔ) 默認(rèn)用戶只能通過(guò)網(wǎng)頁(yè)申請(qǐng)。將用戶證書(shū)和 crl 發(fā)布到 ad ds 不需要證書(shū)模板頒發(fā)基于證書(shū)模板的證書(shū)所有證書(shū)申請(qǐng)保持掛起狀態(tài)，直到管理員批準(zhǔn)支持自動(dòng)注冊(cè)來(lái)頒發(fā)證書(shū)2.8 ca 層次結(jié)構(gòu)的使用方案根根子級(jí)子級(jí)rasefss/mime印度印度加拿大加拿大美國(guó)美國(guó)根根子級(jí)子級(jí)根根子級(jí)子級(jí)根根子級(jí)子級(jí)制造部門(mén)制造部門(mén)工程部門(mén)工程部門(mén)會(huì)計(jì)部門(mén)會(huì)計(jì)部門(mén)員工員工承包商承包商合作伙伴合作伙伴證書(shū)用途證書(shū)用途位置位置部門(mén)部門(mén)組織單位組織單位2.9 安裝根 ca 的注意事項(xiàng)計(jì)算機(jī)名稱(chēng)和域成員身份計(jì)算機(jī)名稱(chēng)和域成員身份名稱(chēng)和名稱(chēng)和配置配置私鑰配置私鑰配置有效期有效期證書(shū)數(shù)據(jù)庫(kù)

11、證書(shū)數(shù)據(jù)庫(kù)和日志位置和日志位置csp默認(rèn)值：默認(rèn)值：2048密鑰字符長(zhǎng)度密鑰字符長(zhǎng)度哈希算法哈希算法證書(shū)證書(shū)#規(guī)劃根規(guī)劃根 ca服務(wù)器的配置服務(wù)器的配置安裝根ca的注意事項(xiàng)對(duì)于大多數(shù)組織，根證書(shū)頒發(fā)機(jī)構(gòu) (ca) 的證書(shū)是其安裝的第一個(gè) active directory 證書(shū)服務(wù) (ad cs) 角色服務(wù)。在基本公鑰基礎(chǔ)結(jié)構(gòu) (pki) 中，根 ca 可能是組織部署的唯一 ca。 無(wú)論您是安裝一個(gè) ca 還是多個(gè) ca，根 ca 證書(shū)都會(huì)建立一些基本規(guī)則，用于管理整個(gè) pki 的證書(shū)頒發(fā)和使用。其中根證書(shū)定義一些標(biāo)準(zhǔn)規(guī)定在 pki 層次結(jié)構(gòu)可接受和不可接受的內(nèi)容，ad cs 將這些標(biāo)準(zhǔn)應(yīng)用于任

12、何其他 ca 和 d cs 角色服務(wù)。根 ca 可以是獨(dú)立 ca 或企業(yè) ca。如果組織中有多個(gè) ca，則除非需要處理從屬 ca 證書(shū)的申請(qǐng)，否則很多組織通過(guò)使根 ca 脫機(jī)以使其盡可能不暴露。本地管理員中的成員身份或等效身份是完成此過(guò)程所需的最低要求。如果是企業(yè) ca，那么 domain admins 中的成員身份或等效身份是完成此過(guò)程所需的最低要求。 2.10 安裝子級(jí) ca 的注意事項(xiàng)計(jì)算機(jī)名稱(chēng)和域成員身份計(jì)算機(jī)名稱(chēng)和域成員身份名稱(chēng)和名稱(chēng)和配置配置有效期有效期證書(shū)數(shù)據(jù)庫(kù)證書(shū)數(shù)據(jù)庫(kù)和日志位置和日志位置為子級(jí)為子級(jí) ca 申請(qǐng)證書(shū)申請(qǐng)證書(shū) csp默認(rèn)值：默認(rèn)值：2048密鑰字符長(zhǎng)度密鑰字符長(zhǎng)

13、度哈希算法哈希算法證書(shū)證書(shū)#規(guī)劃根規(guī)劃根 ca安裝子級(jí)ca的注意事項(xiàng)安裝根證書(shū)頒發(fā)機(jī)構(gòu) (ca) 之后，很多組織會(huì)安裝一個(gè)或多個(gè)從屬 ca 以對(duì)公鑰基礎(chǔ)結(jié)構(gòu) (pki) 實(shí)施策略限制并向最終客戶端頒發(fā)證書(shū)。至少使用一個(gè)從屬 ca 可以幫助防止不必要的公開(kāi)根 ca。 如果從屬 ca 用于向帳戶在 active directory 域中的用戶或計(jì)算機(jī)頒發(fā)證書(shū)，則將從屬 ca 安裝為企業(yè) ca，可以使用 active directory 域服務(wù) (ad ds) 中的客戶端現(xiàn)有帳戶數(shù)據(jù)來(lái)頒發(fā)和管理證書(shū)并將證書(shū)發(fā)布到 ad ds。本地管理員中的成員身份或等效身份是完成此過(guò)程所需的最低要求。如果是企業(yè) c

14、a，那么 domain admins 中的成員身份或等效身份是完成此過(guò)程所需的最低要求。三、演示 安裝ca證書(shū)頒發(fā)機(jī)構(gòu)工作場(chǎng)景：工作場(chǎng)景： 你是時(shí)訊公司的網(wǎng)絡(luò)管理員，時(shí)訊公司在多個(gè)城市有分支機(jī)構(gòu)，該公司目前運(yùn)行windows server 2008系統(tǒng)，集合使用windows server 2008 activedirectory 證書(shū)服務(wù)（ad cs）來(lái)部署公鑰基礎(chǔ)機(jī)構(gòu)（pki）解決方案。為此，你需要在一臺(tái)windows server 2008服務(wù)器上安裝并配置ad cs根證書(shū)ca，在另外一臺(tái)服務(wù)器上安裝子級(jí)ca，并將該服務(wù)器配置為使用web界面分發(fā)證書(shū)。實(shí)驗(yàn)環(huán)境：實(shí)驗(yàn)環(huán)境：sh-dc1獨(dú)立根cash-cli1sh-svr1企業(yè)子ca任務(wù)在dc上安裝ad cs服務(wù)器角色，并配置為獨(dú)立根ca安裝類(lèi)型：獨(dú)立指定ca：根ca私鑰：新建私鑰密鑰長(zhǎng)度：4096ca名稱(chēng)：shixunca在svr1上安裝帶web注冊(cè)的企業(yè)級(jí)子ca安裝類(lèi)型：企業(yè)指定ca：子級(jí)ca私鑰：新建私鑰密鑰長(zhǎng)度：4096ca名稱(chēng)：issuingca向父ca申請(qǐng)證書(shū)：shixunca頒發(fā)子級(jí)ca證書(shū)安裝并驗(yàn)證子級(jí)ca證書(shū) 演示 安裝ca證書(shū)頒發(fā)機(jī)構(gòu)目的：