Windows网络操作系统配置与管理单元十二任务1：配置ADCS课件

Windows网络操作系统的配置与管理单元一：安装windows操作系统单元二：安装与配置活动目录域服务单元三：管理用户和组单元四：配置和管理组策略单元五：配置与管理分布式文件系统单元六：配置与管理存储系统单元七：配置与管理打印服务器单元八：IP地址与配置方法单元九：配置与管理DHCP服务器单元十：配置与管理DNS服务器单元十一：配置与管理Web服务器 单元十二：配置与管理ADCS单元十三：配置路由与远程访问单元十四：配置网络策略服务和网络访问保护Windows网络操作系统的配置与管理单元一：安装wind单元十二配置与管理ADCS单元十二工作背景

你是时讯公司的网络管理员，为了保证公司网络的通讯安全，许多技术都需要证书的支持，比如文件加密，与服务器的加密连接，安全Web访问，基于证书的VPN加密连接以及基于证书的NAP保护等，为此，你需要在当前公司网络中部署ADCS基础结构。工作背景你是时讯公司的网络管理员，为了保证公司网络的工作任务任务1安装与配置ADCS任务2部署用户和计算机证书工作任务任务1安装与配置ADCS单元十二配置与管理ADCS任务1安装与配置ADCS任务2部署用户和计算机证书单元十二配置与管理ADCS任务1安装与配任务1安装与配置ADCS一：课程导入二：知识原理2.1PKI及其优点2.2PKI的应用2.3PKI解决方案的组件2.4ADCS对PKI的支持2.5CA概述2.6CA的类型2.7独立CA和企业CA2.8CA层次结构的使用方案2.9安装根CA的注意事项2.10安装子级CA的注意事项三：演示：安装根CA和安装子级CA四：小结任务1安装与配置ADCS一：课程导入一、课程导入你在网上购物，然后用网银支付，是否担心账户密码给别人窃取？

你在网上与别人聊天，不担心聊天内容被黑客截获？

你公司的服务器，可能被心怀不轨的人登录窃取或破坏？一、课程导入你在网上购物，然后用网银支付，是否担心账二、知识原理2.1PKI及其优点2.2PKI的应用2.3PKI解决方案的组件2.4ADCS对PKI的支持2.5CA概述2.6CA的类型2.7独立CA和企业CA2.8CA层次结构的使用方案2.9安装根CA的注意事项2.10安装子级CA的注意事项二、知识原理2.1PKI及其优点2.1PKI及其优点公钥基础结构（PKI）：PKI（PublicKeyInfrastructure）即"公钥基础设施"，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI通过提供以下几点增强基础结构安全性：机密性：PKI提供了加密存储和传输数据的能力完整性：使用数字签名，可识别在信息传送过程中是否有数据被修改。真实性：利用哈希算法生成信息摘要，利用私钥对摘要进行签名，以

证明该消息摘要是由发送方生成。不可抵赖性：数字签名是数据来源的证明2.1PKI及其优点公钥基础结构（PKI）：PKI（P几个概念凯撒密码：相传当年凯撒大帝行军打仗时为了保证自己的命令不被敌军知道，就用一种特殊的方法进行通信，以确保信息传递的安全，他的原理是：把字母表中的每一个字母按顺序向后移X位，例如：“baidu”向后移3位变成：edlgx，这里”baidu”是原始信息，edlgx是密文，3是密钥。公钥和私钥：是通过一种算法得到的一个密钥对（即一个公钥和一个私钥）其中的一个向外界公开，称为公钥；另一个自己保留，称为私钥。通过这种算法得到的密钥对能保证在世界范围内是唯一的。用公钥加密数据就必须用私钥解密，用私钥加密也必须用公钥解密，否则解密将不会成功。数字签名：类似写在纸上的普通的物理签名。将摘要信息用发送者的私钥加密，如果对方能用发送者的公钥机密，则能证明是发送者的身份。几个概念凯撒密码：相传当年凯撒大帝行军打仗时为了保证自己的命2.2PKI的应用软件代码签名加密文件系统智能卡登录802.1xIP安全Internet身份验证安全电子邮件Windows2008

证书服务器软件限制策略数字签名2.2PKI的应用软件代码加密文智能卡登录802.1x2.3PKI解决方案的组件证书颁发机构数字证书证书吊销列表和联机响应程序证书模板支持公钥的应用程序和服务证书和CA管理工具AIA和CRL分发点2.3PKI解决方案的组件证书颁发机构数字证书证书吊销2.4ADCS对PKI的支持CAADCSCAWeb注册联机响应程序网络设备注册服务2.4ADCS对PKI的支持CAADCSCA2.5CA概述证书颁发机构为自己颁发证书验证证书申请者的身份管理证书吊销向用户、计算机和服务颁发证书在windowsserver2008网络中，CA（证书颁发机构）是装有CS（证书服务）角色的计算机。2.5CA概述证书颁发机构为自己颁发证书验证证书申请2.6CA的类型是PKI基础结构中最受信任的CA类型是自签名证书向其他子级CA颁发证书拥有物理安全性以及通常比子级CA更加严格的证书颁发策略根CA由根CA或其他CA颁发证书针对具体的使用策略、组织性或地域性边界、负载平衡以及容错设置的CA向其他CA颁发证书，以形成分层的PKI基础结构子级CA2.6CA的类型是PKI基础结构中最受信任的CA2.7独立CA和企业CA独立CA企业CA如果有任何CA（根CA或中间CA/策略）脱机，那么必须使用独立CA。这是因为独立CA不加入ADDS域。要求使用ActiveDirectory需要ADDS可使用组策略将证书填入受信任的根CA证书存储默认用户只能通过网页申请。将用户证书和CRL发布到ADDS不需要证书模板颁发基于证书模板的证书所有证书申请保持挂起状态，直到管理员批准支持自动注册来颁发证书2.7独立CA和企业CA独立CA企业CA要求使2.8CA层次结构的使用方案根子级RASEFSS/MIME印度加拿大美国根子级根子级根子级制造部门工程部门会计部门员工承包商合作伙伴证书用途位置部门组织单位2.8CA层次结构的使用方案根子级RASEFSS/MI2.9安装根CA的注意事项计算机名称和域成员身份名称和配置私钥配置有效期证书数据库和日志位置CSP默认值：2048密钥字符长度哈希算法证书#规划根CA服务器的配置2.9安装根CA的注意事项计算机名称和域成员身份名称安装根CA的注意事项对于大多数组织，根证书颁发机构(CA)的证书是其安装的第一个ActiveDirectory证书服务(AD

CS)角色服务。在基本公钥基础结构(PKI)中，根CA可能是组织部署的唯一CA。无论您是安装一个CA还是多个CA，根CA证书都会建立一些基本规则，用于管理整个PKI的证书颁发和使用。其中根证书定义一些标准规定在PKI层次结构可接受和不可接受的内容，AD

CS将这些标准应用于任何其他CA和D

CS角色服务。根CA可以是独立CA或企业CA。如果组织中有多个CA，则除非需要处理从属CA证书的申请，否则很多组织通过使根CA脱机以使其尽可能不暴露。本地管理员中的成员身份或等效身份是完成此过程所需的最低要求。如果是企业CA，那么DomainAdmins中的成员身份或等效身份是完成此过程所需的最低要求。安装根CA的注意事项对于大多数组织，根证书颁发机构(CA)2.10安装子级CA的注意事项计算机名称和域成员身份名称和配置有效期证书数据库和日志位置为子级CA申请证书CSP默认值：2048密钥字符长度哈希算法证书#规划根CA2.10安装子级CA的注意事项计算机名称和域成员身安装子级CA的注意事项安装根证书颁发机构(CA)之后，很多组织会安装一个或多个从属CA以对公钥基础结构(PKI)实施策略限制并向最终客户端颁发证书。至少使用一个从属CA可以帮助防止不必要的公开根CA。如果从属CA用于向帐户在ActiveDirectory域中的用户或计算机颁发证书，则将从属CA安装为企业CA，可以使用ActiveDirectory域服务(ADDS)中的客户端现有帐户数据来颁发和管理证书并将证书发布到ADDS。本地管理员中的成员身份或等效身份是完成此过程所需的最低要求。如果是企业CA，那么DomainAdmins中的成员身份或等效身份是完成此过程所需的最低要求。安装子级CA的注意事项安装根证书颁发机构(CA)之后，很三、演示安装CA证书颁发机构工作场景：

你是时讯公司的网络管理员，时讯公司在多个城市有分支机构，该公司目前运行windowsserver2008系统，集合使用windowsserver2008activedirectory证书服务（ADCS）来部署公钥基础机构（PKI）解决方案。为此，你需要在一台windowsserver2008服务器上安装并配置ADCS根证书CA，在另外一台服务器上安装子级CA，并将该服务器配置为使用Web界面分发证书。实验环境：SH-DC1独立根CASH-CLI1SH-SVR1企业子CA三、演示安装CA证书颁发机构工作场景：SH-DC1SH-C任务在DC上安装ADCS服务器角色，并配置为独立根CA安装类型：独立指定CA：根CA私钥：新建私钥密钥长度：4096CA名称：shixunCA在SVR1上安装带Web注册的企业级子CA安装类型：企业指定CA：子级CA私钥：新建私钥密钥长度：4096CA名称：IssuingCA向父CA申请证书：shixunCA颁发子级CA证书安装并验证子级CA证书任务在DC上安装ADCS服务器角色，并配置为独立根CA演示安装CA证书颁发机构目的：在DC上安装ADCS服务器角色，并配置为独立根CA在SVR1上安装带Web注册的企业级子CA颁发子级CA证书安装并验证子级CA证书演示安装CA证书颁发机构目的：四、小结通过本节的学习，你能够：了解PKI及其优点了解PKI的应用熟悉PKI解决方案的组件了解ADCS对PKI的支持熟悉CA概念和功能掌握CA的类型掌握独立CA和企业CA的概念熟悉CA层次结构的使用方案掌握如何安装根CA和

安装子级CA四、小结通过本节的学习，你能够：Windows网络操作系统的配置与管理单元一：安装windows操作系统单元二：安装与配置活动目录域服务单元三：管理用户和组单元四：配置和管理组策略单元五：配置与管理分布式文件系统单元六：配置与管理存储系统单元七：配置与管理打印服务器单元八：IP地址与配置方法单元九：配置与管理DHCP服务器单元十：配置与管理DNS服务器单元十一：配置与管理Web服务器 单元十二：配置与管理ADCS单元十三：配置路由与远程访问单元十四：配置网络策略服务和网络访问保护Windows网络操作系统的配置与管理单元一：安装wind单元十二配置与管理ADCS单元十二工作背景

你是时讯公司的网络管理员，为了保证公司网络的通讯安全，许多技术都需要证书的支持，比如文件加密，与服务器的加密连接，安全Web访问，基于证书的VPN加密连接以及基于证书的NAP保护等，为此，你需要在当前公司网络中部署ADCS基础结构。工作背景你是时讯公司的网络管理员，为了保证公司网络的工作任务任务1安装与配置ADCS任务2部署用户和计算机证书工作任务任务1安装与配置ADCS单元十二配置与管理ADCS任务1安装与配置ADCS任务2部署用户和计算机证书单元十二配置与管理ADCS任务1安装与配任务1安装与配置ADCS一：课程导入二：知识原理2.1PKI及其优点2.2PKI的应用2.3PKI解决方案的组件2.4ADCS对PKI的支持2.5CA概述2.6CA的类型2.7独立CA和企业CA2.8CA层次结构的使用方案2.9安装根CA的注意事项2.10安装子级CA的注意事项三：演示：安装根CA和安装子级CA四：小结任务1安装与配置ADCS一：课程导入一、课程导入你在网上购物，然后用网银支付，是否担心账户密码给别人窃取？

你在网上与别人聊天，不担心聊天内容被黑客截获？

你公司的服务器，可能被心怀不轨的人登录窃取或破坏？一、课程导入你在网上购物，然后用网银支付，是否担心账二、知识原理2.1PKI及其优点2.2PKI的应用2.3PKI解决方案的组件2.4ADCS对PKI的支持2.5CA概述2.6CA的类型2.7独立CA和企业CA2.8CA层次结构的使用方案2.9安装根CA的注意事项2.10安装子级CA的注意事项二、知识原理2.1PKI及其优点2.1PKI及其优点公钥基础结构（PKI）：PKI（PublicKeyInfrastructure）即"公钥基础设施"，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI通过提供以下几点增强基础结构安全性：机密性：PKI提供了加密存储和传输数据的能力完整性：使用数字签名，可识别在信息传送过程中是否有数据被修改。真实性：利用哈希算法生成信息摘要，利用私钥对摘要进行签名，以

证明该消息摘要是由发送方生成。不可抵赖性：数字签名是数据来源的证明2.1PKI及其优点公钥基础结构（PKI）：PKI（P几个概念凯撒密码：相传当年凯撒大帝行军打仗时为了保证自己的命令不被敌军知道，就用一种特殊的方法进行通信，以确保信息传递的安全，他的原理是：把字母表中的每一个字母按顺序向后移X位，例如：“baidu”向后移3位变成：edlgx，这里”baidu”是原始信息，edlgx是密文，3是密钥。公钥和私钥：是通过一种算法得到的一个密钥对（即一个公钥和一个私钥）其中的一个向外界公开，称为公钥；另一个自己保留，称为私钥。通过这种算法得到的密钥对能保证在世界范围内是唯一的。用公钥加密数据就必须用私钥解密，用私钥加密也必须用公钥解密，否则解密将不会成功。数字签名：类似写在纸上的普通的物理签名。将摘要信息用发送者的私钥加密，如果对方能用发送者的公钥机密，则能证明是发送者的身份。几个概念凯撒密码：相传当年凯撒大帝行军打仗时为了保证自己的命2.2PKI的应用软件代码签名加密文件系统智能卡登录802.1xIP安全Internet身份验证安全电子邮件Windows2008

证书服务器软件限制策略数字签名2.2PKI的应用软件代码加密文智能卡登录802.1x2.3PKI解决方案的组件证书颁发机构数字证书证书吊销列表和联机响应程序证书模板支持公钥的应用程序和服务证书和CA管理工具AIA和CRL分发点2.3PKI解决方案的组件证书颁发机构数字证书证书吊销2.4ADCS对PKI的支持CAADCSCAWeb注册联机响应程序网络设备注册服务2.4ADCS对PKI的支持CAADCSCA2.5CA概述证书颁发机构为自己颁发证书验证证书申请者的身份管理证书吊销向用户、计算机和服务颁发证书在windowsserver2008网络中，CA（证书颁发机构）是装有CS（证书服务）角色的计算机。2.5CA概述证书颁发机构为自己颁发证书验证证书申请2.6CA的类型是PKI基础结构中最受信任的CA类型是自签名证书向其他子级CA颁发证书拥有物理安全性以及通常比子级CA更加严格的证书颁发策略根CA由根CA或其他CA颁发证书针对具体的使用策略、组织性或地域性边界、负载平衡以及容错设置的CA向其他CA颁发证书，以形成分层的PKI基础结构子级CA2.6CA的类型是PKI基础结构中最受信任的CA2.7独立CA和企业CA独立CA企业CA如果有任何CA（根CA或中间CA/策略）脱机，那么必须使用独立CA。这是因为独立CA不加入ADDS域。要求使用ActiveDirectory需要ADDS可使用组策略将证书填入受信任的根CA证书存储默认用户只能通过网页申请。将用户证书和CRL发布到ADDS不需要证书模板颁发基于证书模板的证书所有证书申请保持挂起状态，直到管理员批准支持自动注册来颁发证书2.7独立CA和企业CA独立CA企业CA要求使2.8CA层次结构的使用方案根子级RASEFSS/MIME印度加拿大美国根子级根子级根子级制造部门工程部门会计部门员工承包商合作伙伴证书用途位置部门组织单位2.8CA层次结构的使用方案根子级RASEFSS/MI2.9安装根CA的注意事项计算机名称和域成员身份名称和配置私钥配置有效期证书数据库和日志位置CSP默认值：2048密钥字符长度哈希算法证书#规划根CA服务器的配置2.9安装根CA的注意事项计算机名称和域成员身份名称安装根CA的注意事项对于大多数组织，根证书颁发机构(CA)的证书是其安装的第一个ActiveDirectory证书服务(AD

CS)角色服务。在基本公钥基础结构(PKI)中，根CA可能是组织部署的唯一CA。无论您是安装一个CA还是多个CA，根CA证书都会建立一些基本规则，用于管理整个PKI的证书颁发和使用。其中根证书定义一些标准规定在PKI层次结构可接受和不可接受的内容，AD

CS将这些标准应用于任何其他CA和D

CS角色服务。根CA可以是独立CA或企业CA。如果组织中有多个CA，则除非需要处理从属CA证书的申请，否则很多组织通过使根CA脱机以使其尽可能不暴露。本地管理员中的成员身份或等效身份是完成此过程所需的最低要求。如果是企业CA，那么DomainAdmins中的成员身份或等效身份是完成此过程所需的最低要求。安装根CA的注意事项对于大多数组织，根证书颁发机构(CA)2.10安装子级CA的注意事项计算机名称和域成员身份名称和配置有效期证书数据库和日志位置为子级CA申请证书CSP默认值：2048密钥字符长度哈希算法证书#规划根CA2.10安装子级CA的注意事项计算机名称和域成员身安装子级CA的注意事项安装根证书颁发机构(CA)之后，很多组织会安装一个或多个从属CA以对公钥基础结构(PKI)实施策略限制并向最终客户端颁发证书。至少使用一个从属CA可以帮助防止不必要的公开根CA。如果从属CA用于向帐户在ActiveDirectory域中的用户或计算机颁发证书，则将从属CA安装为企业CA，可以使用ActiveDirectory域服务(AD