《網(wǎng)絡(luò)應(yīng)用服務(wù)管理》形考任務(wù)-實訓(xùn)5：配置數(shù)字證書服務(wù)

1、實訓(xùn)5：配置數(shù)字證書服務(wù)實訓(xùn)環(huán)境1.臺WindowsServer2016DC,主機名為DC。2.臺WindowsServer2016服務(wù)器并加入域，主機名為Server3.臺Windows10客戶端并加入域，主機名為WinlO。實訓(xùn)操作假設(shè)你是一家公司的管理員，需要你完成以下工作:1.在DC上部署企業(yè)根CA。打開“服務(wù)器管理器”，單擊“添加角色和功能”，打開“添加角色和功能向?qū)А贝翱凇Ｖ鸩絾螕簟跋乱徊健?，在“服?wù)器角色”界面中，勾選“ActiveDirectory證書服務(wù)復(fù)選框，然后單擊“下一步在“ADCS角色服務(wù)界面中，勾選“證書頒發(fā)機構(gòu)”和“證書頒發(fā)機構(gòu)Web注冊”復(fù)選框，然后單擊“下一步

2、”。其中“證書頒發(fā)機構(gòu)Web注冊角色，可以實現(xiàn)通過瀏覽器向CA進行證書申請的功能。服務(wù)角色兔色2Z)ActiveDirectoryRightsManagementServices_ActiveDirectory盛芻少紛簽證唳矣ActiveDirectoryADCS角色娠務(wù)ActrveDirectory書長駕ADCS)是亍細合證書破機樹哭天住琶眠S.從而允用麻變暗淫備成用茬 Q 饋用的血ctivcDirectory江翔強j./nroc選擇角色服務(wù)Web眼務(wù)參角色(il倦色服務(wù)鋪認4.最后在“確認”界面中.單擊“安會”，開始安裝證書服務(wù)。確認安裝所選內(nèi)容者妾在疝曜務(wù)客上支長以下角邑魚況務(wù)立功宅，舌

3、單*生定.次志；妥.巨站新目胡目敬歡蘭可能會奩比頁旬上顯示可秀功德頁般理工n).區(qū)為巳自動典 0 賞功as.SDH不常2：安鐐 mm 可撅弟，君單為上 FUJ?除耳!璉也ActiveDirector證書寂為證書或室機伯證書迎林岫盼Web匾鳥資IIS)WebSS3常見HTTP況S3;AS目笈瀏菟HTTP畛HTTP里定珂OSRS-S5掐定兮用湯?&徑|藏I)I吸湛完成安裝后，單擊配置目標(biāo)服務(wù)器上的ActiveDirectory證書服務(wù)。辭安熊度0功能安蕓羌支田登。已在S上安裝成功。ActiveDirectory 征書服務(wù)為了配直目后艮芳指上的ActiveDirectoy汪頸擘，*祈其饋賽|SB目已

4、艮務(wù)器上的ActiveDirectory注書服務(wù)】證書頒發(fā)機構(gòu)i 正書頒發(fā)機構(gòu) Web 注冊Web 瞧器(IIS)UVebBESSSServer!.contosozcn亓始之動安裝美里巔關(guān)器選經(jīng)報務(wù)蘭危色功能ADCSActiveDirectory環(huán)書版務(wù)整要安簽到危色砌角色服務(wù)江罰驟明Web由了 5 簡單鬼Web界曲.允許用戶執(zhí)行包若申語會訂還甘趨緊近節(jié)兆的歹.表(CRg三臘旎卡證毋母9任駕.$o*rffir1.ccntc5o.ccn亓抬之前交秘型服務(wù)88逸徑眼務(wù)器角色ADCS角色服務(wù)V/eb?E角色:低)墉認正書 g 機芯網(wǎng)岸沒備瓢琢歸簇瀏構(gòu)Web沏近書注冊Web財證書注臆酩Web陽容當(dāng)mU

5、TTOTflSC在“ADCS配置”向?qū)е械摹敖巧?wù)”界面，勾選“證書頒發(fā)機構(gòu)”和“證書頒發(fā)機構(gòu)Web注冊。聯(lián)機響應(yīng)程序網(wǎng)定設(shè)督頜服務(wù)口臥珊Web服務(wù)證書渤演BgWeb月gg在“ADCS配置”向?qū)е械摹霸O(shè)置類型”界面，選擇“企業(yè)CA”。LiADCSEH角色服務(wù)目標(biāo)酸器S憑據(jù)選擇要配置的角色服務(wù)角色服務(wù)fLADCSEg設(shè)置類型X目辟略Server!憑據(jù)用色眼另沒曾類型CA類型岫加宣CA名球有效明還下蘇據(jù)庫確認IS果指定CA的設(shè)留類笠企也E書酸明(CA)可以明ActiveDirectory域錚簡化碰B忍鮑CA不回宅ADD5來瘀書，|企業(yè)CA(E)企業(yè)CA必須是痂彼.齊目通甬處亍聯(lián)機狀態(tài)以成發(fā)證書或

6、汪書鐐野O技立CA(A)獨立CA可應(yīng)成員、工作廷或域.技立CA在要ADDS,可在沒有問JS逢接球況(脫機)下在“ADCS配置”向?qū)е械摹癈A類型界面，選擇“根CA”。CA類型S隹色版務(wù)沒置類型CA類型指定CA類型在安裝ActiveDirectory證枝耕(ADCS)凱揮如連切影湖禁給歸PKI)層次結(jié)構(gòu).根CA位亍FKI鼻次結(jié)花的設(shè)蓼.成發(fā)其白己3均簽名宙B.從匡CA從PKI后次結(jié)構(gòu)中位于其上方的CA做證書.私鑰加密CA名稱有效期征書55蝸庫確認進度|招XR)|垂CAS3PKI層;詢2口配后的笛一目可胡呈暗一的CA.O從匡CA(U)從屈CA卷耳適立PKI導(dǎo)次球，井旦已段層忽8構(gòu)辛位于電方的CA按

7、踏發(fā)證或設(shè)置類型CA類型私珥加密CA名稱鈉期證書敏據(jù)岸確認結(jié)采動證書頒發(fā)機構(gòu)V證刊訶朝向Web注冊X全部保持默認設(shè)置并單擊“下一步”，最后單擊“配置按鈕，完成證書服務(wù)的配置日以購器S。上一步(P)下 TG；tE5K)J2取稔|證書服務(wù)安裝完成后，可以在“服務(wù)器管理器”的“工具”菜單中，打開“證書頒發(fā)機構(gòu)管理工具進行查看。新ccrtsrv-X文件(F)藻作(A)iV)幫助(Hl商證書頜發(fā)機秘本均)名稱V洛contoso-SERVERl-CA吊銷的證書預(yù)發(fā)的證書舞的曰請夫歿的日請正書讖仍contoso-SERVER1-CA正書頒發(fā)機構(gòu)當(dāng)域的用戶向企業(yè)根CA申請證書時，企業(yè)根CA會通過ActiveD

8、irectory得知用盧的相關(guān)信息，并自動核準(zhǔn)、發(fā)放用戶所要求的證書。企業(yè)根CA默認的證書種類很多，而且是根據(jù)“證書模板”來發(fā)放證書的。例如，圖中右方的“用戶模板提供了可以用于將文件加密的證書、保護電子安全的證書與驗證客戶端身份的證書。確認憑據(jù)角色服務(wù)設(shè)置關(guān)型CA類圖私鑰IBSCA名稱部人。ActiveDirectory旺書睇務(wù)CA維企業(yè)性加壑加程字：RSAMkrosoftSoftwareKeyStorageProviderSHA256整竺心20482048先許涇8務(wù)左互12怕證翊渤8：2O22/B/19:21:00可分i格承CN=contoso-SERVERI-CA,(X=contoo,DC

9、二comE 皿:心C：Windov，ssy$tEi32CortLcg證下祚吞日泛位&C:Windcv,叭萬gen32CertLcg言委配菖以下星色角色腰彩玫晚，無單壬配宜二ilFBSmWWeb注冊奪ccrtsrv-pZ書頒發(fā)機構(gòu)(本i6)ccrto5oSERVER1 CA證書建板ZZ件(F)S(A)辭(V)符Ht(H)伊哮|名|國|園功證饋發(fā)機構(gòu)佐她)名稱醐用逢7 狷contoso-SERVERI-CA豆目錄電子的說刮目件賓制吊銷的狂書回鵬制器身份檢旺旨占蓋身分驗正股會器身份狙:正智能.一頒發(fā)的旺韋23Kerberos身份驗：IE存臼 W 身分瞼正度名器身份蜉正,智能.二SSKS清回EFS恢冥

10、代理回*EFS力瞌文件蜘|日箜板|團癱制 M吝上其身吩瞼;正反笑器身份撿江畫Wsb展務(wù)器間計宜機吝白誨,狂國用戶方文件系統(tǒng).安全毛子*部生客戶點身.圓從屆證書殿偽51管理5Microsoft信任列表簽名,DDSJZg.Windowsserver2016通過組策略，讓域的所有用戶與計算機自動信任由企業(yè)根CA所發(fā)送的證書。例如，域的一臺Windows10計算機中IE瀏覽器的證書界面，此計算機自動信任域的企業(yè)根CA。證書個人其他人中間證書頒發(fā)機構(gòu) 受信任的根證書頒發(fā)機構(gòu)受信任的發(fā)布者去受信任的發(fā)布者Class3PublicPr.llClass3PublicPr.Copyright(c)19.DCie

11、asthome-DC-CA憐Ieasthome-DC-CALMicrosoftAuthe.MicrosoftRoot.早MicrosoftRoot.MicrosoftRoot.Class3PublicPrim.Class3PublicPrim.Copyright(c)1997.DC莪止日期2028/8/22004/1/31999/12.2019/2/2友好名稱VeriSignClass.VeriSignClass.MicrosoftTim.證書網(wǎng)站Aeasthome-DC-CAeasthome-DC-CA2023/2/22023/2/2v 無4無MicrosoftAuthenti.2000/1

12、/1MicrosoftAut.MicrosoftRootAu.2020/12.MicrosoftKoo.MicrosoftRootCe.2021/5/.MicrosoftR.00.MicrosoftRootCe.2035/6/.MicrosoftR.00.VX刪除(R)蹴目的(N)：zV 所有高級(A)2.發(fā)布證書申請。在“服務(wù)器管理器”中打開uInternetInformationServices(IIS)管理器并在服務(wù)器的主頁中單擊“服務(wù)器證書選擇“創(chuàng)建自簽名證書。操作導(dǎo)入削建證書申請完成證書南請.創(chuàng)建域證書I嘩白簽名近H橋目前重特定知的證書慧助在“創(chuàng)建自簽名證書對話框中，輸入一個證書名稱

13、，并在“為新證書選擇證書存儲中選擇Web宿主，最后單擊“確定按鈕。-維5(A)g 依好攻Ea&f*%/Internetlnfr*d功炒配置蜘暮Configur.創(chuàng)建自簽名證書措定證書由蹄文件名.此信息可以發(fā)送蛤證書頒姬構(gòu)遂行委名:取消返回“InternetInformationServices(IIS)管理器界面,選擇默認，并單擊右側(cè)的“綁定”。詢irtcrne：InforrraticnSvice54-DC,財站(MtuhWebgUJ指定友好名稱網(wǎng)站綁定添加網(wǎng)站綁定姓(T):IPiSM：https 全慈二分配責(zé)口（。）：71443|主機名(H):?X者要金務(wù)器名稱指示(N)SSL 證書(F):

14、證書網(wǎng)站郵(L).查看(V).曜耽肖短此時已完成證書申請的發(fā)布。登錄客戶端計算機，使用IE瀏覽器，訪問證書申請：https：/服務(wù)器域名或IP地址/certsrv,即可訪問證書申請。.,19169.0.10rz.Q。證書國 WCMieroseftActiveDirector.MicrosoftActiveDirectory-easthome-DC-CA歡迎使用使用此網(wǎng)站為你的Web瀏覽器、電子郵件客戶端或其他程序申請證書。通過使用證書，你可以向通過Web進彳:你的身份、簽名并加密郵件，并根據(jù)你申蹄證書類型執(zhí)行其他安全任務(wù)。你也可以使用此網(wǎng)站下載證書頒發(fā)機構(gòu)(CA)證書、證書鏈，或證書吊銷列表(

15、CRL),或者查看掛起申請的狀態(tài)。有關(guān)ActiveDirectory證書服務(wù)的詳細信息,請參閱ActiveDirectory證書務(wù)文檔.選擇一個任務(wù)：申請證書杳看掛掃的證書申話的狀態(tài)下我CA證書.i正毛筑或CRL3.在Serverl上創(chuàng)建基于SSL的。完成Web服務(wù)器（IIS）的安裝。塢InternetInformationServices(IIS)含埋器0SERVER1，網(wǎng)站DefaultWebSite文件（F）瞄（V）wan（H）DefaultWebSite主頁舞園a(G)全部昱示(A)分組依據(jù)：區(qū)域IISS#1ffi41IHTTPIR昉MIME嬤SSL姻處理所羨曄頭射也H完成計算機證書的注冊。S又期)*T(A)一營枷虹龍(338苴GtgJ徊 EK二Hgm菖不購 g食三住傾職。J2H任人a蝴iZJWgWiGBw.WndcmsUreQToker在IIS管理器中，設(shè)置默認的證書綁定。連接j碼起抬頁vJSERVER1(EASTHOMEadrvJ)W朗油vG悶站Defau