《网络应用服务管理》形考任务-实训5：配置数字证书服务

1、实训5：配置数字证书服务实训环境1.台WindowsServer2016DC,主机名为DC。2.台WindowsServer2016服务器并加入域，主机名为Server3.台Windows10客户端并加入域，主机名为WinlO。实训操作假设你是一家公司的管理员，需要你完成以下工作:1.在DC上部署企业根CA。打开“服务器管理器”，单击“添加角色和功能”，打开“添加角色和功能向导”窗口。逐步单击“下一步”，在“服务器角色”界面中，勾选“ActiveDirectory证书服务复选框，然后单击“下一步在“ADCS角色服务界面中，勾选“证书颁发机构”和“证书颁发机构Web注册”复选框，然后单击“下一步

2、”。其中“证书颁发机构Web注册角色，可以实现通过浏览器向CA进行证书申请的功能。服务角色兔色2Z)ActiveDirectoryRightsManagementServices_ActiveDirectory盛刍少纷签证唳矣ActiveDirectoryADCS角色娠务ActrveDirectory书长驾ADCS)是亍细合证书破机树哭天住琶眠S.从而允用麻变暗淫备成用茬 Q 馈用的血ctivcDirectory江翔强j./nroc选择角色服务Web眼务参角色(il倦色服务铺认4.最后在“确认”界面中.单击“安会”，开始安装证书服务。确认安装所选内容者妾在疝曜务客上支长以下角邑鱼况务立功宅，舌

3、单*生定.次志；妥.巨站新目胡目敬欢兰可能会奁比页旬上显示可秀功德页般理工n).区为巳自动典 0 赏功as.SDH不常2：安镣 mm 可撅弟，君单为上 FUJ?除耳!琏也ActiveDirector证书寂为证书或室机伯证书迎林岫盼Web匾鸟资IIS)WebSS3常见HTTP况S3;AS目笈浏菟HTTP畛HTTP里定珂OSRS-S5掐定兮用汤?&径|藏I)I吸湛完成安装后，单击配置目标服务器上的ActiveDirectory证书服务。辞安熊度0功能安芸羌支田登。已在S上安装成功。ActiveDirectory 征书服务为了配直目后艮芳指上的ActiveDirectoy汪颈擘，*祈其馈赛|SB目已

4、艮务器上的ActiveDirectory注书服务】证书颁发机构i 正书颁发机构 Web 注册Web 瞧器(IIS)UVebBESSSServer!.contosozcn亓始之动安装美里巅关器选经报务兰危色功能ADCSActiveDirectory环书版务整要安签到危色砌角色服务江罚骤明Web由了 5 简单鬼Web界曲.允许用户执行包若申语会订还甘趋紧近节兆的歹.表(CRg三腊旎卡证毋母9任驾.$o*rffir1.ccntc5o.ccn亓抬之前交秘型服务88逸径眼务器角色ADCS角色服务V/eb?E角色:低)墉认正书 g 机芯网岸没备瓢琢归簇浏构Web沏近书注册Web财证书注臆酩Web阳容当mU

5、TTOTflSC在“ADCS配置”向导中的“角色服务”界面，勾选“证书颁发机构”和“证书颁发机构Web注册。联机响应程序网定设督颌服务口卧珊Web服务证书渤演BgWeb月gg在“ADCS配置”向导中的“设置类型”界面，选择“企业CA”。LiADCSEH角色服务目标酸器S凭据选择要配置的角色服务角色服务fLADCSEg设置类型X目辟略Server!凭据用色眼另没曾类型CA类型岫加宣CA名球有效明还下苏据库确认IS果指定CA的设留类笠企也E书酸明(CA)可以明ActiveDirectory域铮简化碰B忍鲍CA不回宅ADD5来瘀书，|企业CA(E)企业CA必须是痂彼.齐目通甬处亍联机状态以成发证书或

6、汪书镣野O技立CA(A)独立CA可应成员、工作廷或域.技立CA在要ADDS,可在没有问JS逢接球况(脱机)下在“ADCS配置”向导中的“CA类型界面，选择“根CA”。CA类型S隹色版务没置类型CA类型指定CA类型在安装ActiveDirectory证枝耕(ADCS)凯挥如连切影湖禁给归PKI)层次结构.根CA位亍FKI鼻次结花的设蓼.成发其白己3均签名宙B.从匡CA从PKI后次结构中位于其上方的CA做证书.私钥加密CA名称有效期征书55蜗库确认进度|招XR)|垂CAS3PKI层;询2口配后的笛一目可胡呈暗一的CA.O从匡CA(U)从屈CA卷耳适立PKI导次球，井旦已段层忽8构辛位于电方的CA按

7、踏发证或设置类型CA类型私珥加密CA名称钠期证书敏据岸确认结采动证书颁发机构V证刊诃朝向Web注册X全部保持默认设置并单击“下一步”，最后单击“配置按钮，完成证书服务的配置日以购器S。上一步(P)下 TG；tE5K)J2取稔|证书服务安装完成后，可以在“服务器管理器”的“工具”菜单中，打开“证书颁发机构管理工具进行查看。新ccrtsrv-X文件(F)藻作(A)iV)帮助(Hl商证书颌发机秘本均)名称V洛contoso-SERVERl-CA吊销的证书预发的证书舞的曰请夫殁的日请正书谶仍contoso-SERVER1-CA正书颁发机构当域的用户向企业根CA申请证书时，企业根CA会通过ActiveD

8、irectory得知用卢的相关信息，并自动核准、发放用户所要求的证书。企业根CA默认的证书种类很多，而且是根据“证书模板”来发放证书的。例如，图中右方的“用户模板提供了可以用于将文件加密的证书、保护电子安全的证书与验证客户端身份的证书。确认凭据角色服务设置关型CA类图私钥IBSCA名称部人。ActiveDirectory旺书睇务CA维企业性加壑加程字：RSAMkrosoftSoftwareKeyStorageProviderSHA256整竺心20482048先许泾8务左互12怕证翊渤8：2O22/B/19:21:00可分i格承CN=contoso-SERVERI-CA,(X=contoo,DC

9、二comE 皿:心C：Windov，ssy$tEi32CortLcg证下祚吞日泛位&C:Windcv,叭万gen32CertLcg言委配菖以下星色角色腰彩玫晚，无单壬配宜二ilFBSmWWeb注册夺ccrtsrv-pZ书颁发机构(本i6)ccrto5oSERVER1 CA证书建板ZZ件(F)S(A)辞(V)符Ht(H)伊哮|名|国|园功证馈发机构佐她)名称醐用逢7 狷contoso-SERVERI-CA豆目录电子的说刮目件宾制吊销的狂书回鹏制器身份检旺旨占盖身分验正股会器身份狙:正智能.一颁发的旺韦23Kerberos身份验：IE存臼 W 身分睑正度名器身份蜉正,智能.二SSKS清回EFS恢冥

10、代理回*EFS力瞌文件蜘|日箜板|团瘫制 M吝上其身吩睑;正反笑器身份捡江画Wsb展务器间计宜机吝白诲,狂国用户方文件系统.安全毛子*部生客户点身.圆从届证书殿伪51管理5Microsoft信任列表签名,DDSJZg.Windowsserver2016通过组策略，让域的所有用户与计算机自动信任由企业根CA所发送的证书。例如，域的一台Windows10计算机中IE浏览器的证书界面，此计算机自动信任域的企业根CA。证书个人其他人中间证书颁发机构 受信任的根证书颁发机构受信任的发布者去受信任的发布者Class3PublicPr.llClass3PublicPr.Copyright(c)19.DCie

11、asthome-DC-CA怜Ieasthome-DC-CALMicrosoftAuthe.MicrosoftRoot.早MicrosoftRoot.MicrosoftRoot.Class3PublicPrim.Class3PublicPrim.Copyright(c)1997.DC莪止日期2028/8/22004/1/31999/12.2019/2/2友好名称VeriSignClass.VeriSignClass.MicrosoftTim.证书网站Aeasthome-DC-CAeasthome-DC-CA2023/2/22023/2/2v 无4无MicrosoftAuthenti.2000/1

12、/1MicrosoftAut.MicrosoftRootAu.2020/12.MicrosoftKoo.MicrosoftRootCe.2021/5/.MicrosoftR.00.MicrosoftRootCe.2035/6/.MicrosoftR.00.VX删除(R)蹴目的(N)：zV 所有高级(A)2.发布证书申请。在“服务器管理器”中打开uInternetInformationServices(IIS)管理器并在服务器的主页中单击“服务器证书选择“创建自签名证书。操作导入削建证书申请完成证书南请.创建域证书I哗白签名近H桥目前重特定知的证书慧助在“创建自签名证书对话框中，输入一个证书名称

13、，并在“为新证书选择证书存储中选择Web宿主，最后单击“确定按钮。-维5(A)g 依好攻Ea&f*%/Internetlnfr*d功炒配置蜘暮Configur.创建自签名证书措定证书由蹄文件名.此信息可以发送蛤证书颁姬构遂行委名:取消返回“InternetInformationServices(IIS)管理器界面,选择默认，并单击右侧的“绑定”。询irtcrne：InforrraticnSvice54-DC,财站(MtuhWebgUJ指定友好名称网站绑定添加网站绑定姓(T):IPiSM：https 全慈二分配责口（。）：71443|主机名(H):?X者要金务器名称指示(N)SSL 证书(F):

14、证书网站邮(L).查看(V).曜耽肖短此时已完成证书申请的发布。登录客户端计算机，使用IE浏览器，访问证书申请：https：/服务器域名或IP地址/certsrv,即可访问证书申请。.,19169.0.10rz.Q。证书国 WCMieroseftActiveDirector.MicrosoftActiveDirectory-easthome-DC-CA欢迎使用使用此网站为你的Web浏览器、电子邮件客户端或其他程序申请证书。通过使用证书，你可以向通过Web进彳:你的身份、签名并加密邮件，并根据你申蹄证书类型执行其他安全任务。你也可以使用此网站下载证书颁发机构(CA)证书、证书链，或证书吊销列表(

15、CRL),或者查看挂起申请的状态。有关ActiveDirectory证书服务的详细信息,请参阅ActiveDirectory证书务文档.选择一个任务：申请证书杳看挂扫的证书申话的状态下我CA证书.i正毛筑或CRL3.在Serverl上创建基于SSL的。完成Web服务器（IIS）的安装。坞InternetInformationServices(IIS)含埋器0SERVER1，网站DefaultWebSite文件（F）瞄（V）wan（H）DefaultWebSite主页舞园a(G)全部昱示(A)分组依据：区域IISS#1ffi41IHTTPIR昉MIME嬷SSL姻处理所羡晔头射也H完成计算机证书的注册。S又期)*T(A)一营枷虹龙(338苴GtgJ徊 EK二Hgm菖不购 g食三住倾职。J2H任人a蝴iZJWgWiGBw.WndcmsUreQToker在IIS管理器中，设置默认的证书绑定。连接j码起抬页vJSERVER1(EASTHOMEadrvJ)W朗油vG闷站Defau