网络搭建与应用赛项技能实训指南 第二篇 服务器配置及应用课件 实训08 部署 CA 实现 HTTPS 访问

实训8部署CA实现HTTPS访问01实训目的背景描述实训原理实训步骤赛点链接0203040506易错分析01实训目的01实训目的实训目的通过本实训，读者可以掌握如下技能：1．能理解证书服务的概念和作用；2．能熟练掌握HTTPS的实现过程；3．能在WindowsServer2012R2下实现CA服务。02背景描述02背景描述背景描述

达通集团的Web站点已建立完成，但在应用过程中发现有用户信息在通信过程中被泄露。因此，网络管理员决定采用更加可靠的HTTPS方式，利用证书服务在一定程度上保证访问Web站点的安全性。02背景描述需求分析

针对公司的需求，可使用证书服务建立认证体系。但通常情况下，证书需要向客户端信任的权威证书颁发机构申请。为解决使用成本

问题，网络管理员可以建立公司内部的证书颁发机构（CA，CertificateAuthority），为Web服务器颁发“Web服务器证书”来认证站点。服务器角色分配见下表。BFDMADIP地址规划如下表：BFDMADIP地址规划如下表：计算机名角色IP地址（/24）所需设置S1.CA服务器01安装证书服务配置证书颁发机构S5.申请“Web服务器证书”05申请和下载证书绑定证书测试03实训原理03实训原理

Web服务器证书，用来证明Web服务器的身份和进行通信加密，一般用来实现Web服务器的SSL访问，即实现HTTPS，因此也称之为SSL证书。大多数操作系统默认信任根证书机构VeriSign，该公司也是Web服务器证书的主要认证机构。

企业CA必须是域成员，企业CA会自动处理域成员的证书申请并颁发证书，需要安装ADCS服务。

独立CA则可不受域的限制，可不安装ADCS，但需要手动处理证书申请，颁发、吊销证书。04实训步骤04实训步骤1．安装证书服务

步骤1：在“服务器管理”中使用向导方式安装“ActiveDirectory证书服务”，在“选择角色服务”窗口除默认选中的“证书颁发机构”外，同时选中“证书颁发机构Web注册”复选框，然后按向导完成证书服务安装，如图所示。详细过程略。04实训步骤2．配置证书颁发机构

步骤1：在“服务器管理器”窗口中选择“ADCS”角色，然后单击黄色警告信息后的“更多…”链接，如图所示。04实训步骤

步骤2：在“所有服务器个任务详细信息和通知”窗口中，单击操作“配置目标服务器上的ActiveDirectory证书服务”链接，如图所示。04实训步骤步骤3：在“ADCS”配置向导的“凭据”窗口中，单击“下一步”按钮，如图所示。

04实训步骤

步骤4：在“角色服务”窗口中选中“证书颁发机构”及“证书颁发机构Web注册”，然后单击“下一步”按钮，如图所示。

04实训步骤步骤5：在“设置类型”窗口中，指定CA的设置类型为“企业CA”，单击“下一步”按钮，如图8-7所示。

04实训步骤步骤6：在“CA类型”窗口中指定CA类型为“根CA”，单击“下一步”按钮，如图所示。04实训步骤步骤7：在“私钥”窗口中，指定私钥类型为“创建新的私钥”，然后单击“下一步”按钮，如图所示。04实训步骤步骤8：在“CA的加密”窗口中使用默认的加密选项，直接单击“下一步”按钮，如图所示。04实训步骤

步骤9：在“CA”名称窗口中，输入CA名称为“datong-root”，然后单击“下一步”按钮，如图所示。04实训步骤步骤10：在“有效期”窗口中指定颁发证书的有效期，然后单击“下一步”按钮，如图所示。04实训步骤步骤11：在“CA数据库”窗口中使用默认设置，直接单击“下一步”按钮，如图所示。04实训步骤步骤12：在“确定”窗口中查看汇总信息，确认无误后单击“配置”按钮，如图所示。04实训步骤步骤13：在“结果”窗口中，单击“关闭”按钮，如图所示。04实训步骤3．申请和下载证书步骤1：在Web服务器S5上，打开“InternetInformationServices（IIS）管理器”窗口，双击服务器“S5”，在S5主页设置项中双击“服务器证书”，如图所示。04实训步骤步骤2：在“服务器证书”设置页，单击右侧的“创建证书申请”项，如图所示。04实训步骤

步骤3：在“申请证书”的“可分辨名称属性”对话框中输入证书的必要信息，可按达通集团的实际情况填写，填写完毕后单击“下一步”按钮，如图所示。04实训步骤步骤4：在“加密服务提供程序属性”对话框中，直接单击“下一步”按钮，如图所示。04实训步骤

步骤5：在“文件名”对话框中，输入申请文件的名称和存储路径，本任务中使用“C:\shenqing.txt”，设置完毕后单击“下一步”按钮，如图所示。图8-20指定证书申请文件名称04实训步骤

步骤6：在浏览器地址栏中，输入“01/certsrv”打开证书颁发机构的Web注册页面，在弹出的“Windows安全”对话框中输入凭据的账户信息，此处使用“Administrator”账户，输入完毕后单击“确定”按钮，如图所示。04实训步骤步骤7：在证书服务的Web注册页面中单击“申请证书”链接，如图所示。

图8-22证书服务的Web注册页面04实训步骤步骤8：在“申请一个证书”页面单击“高级证书申请”链接，如图所示。04实训步骤

步骤9：在“高级证书申请”页面，单击“使用base64编码的CMC活PKCS#10文件提交一个证书申请，或使用base64编码的PKCS#7文件续订证书申请”链接，如图所示。04实训步骤步骤10：打开之前的证书申请文件，复制文件的全部内容，如图所示。04实训步骤

步骤11：将申请文件中的全部内容，粘贴到申请页面的“Base-64编码的证书申请”后的文本框中，选择证书模板的类型为“Web服务器”，然后单击“提交”按钮，如图8-26所示。04实训步骤步骤12：在“证书已颁发”页面中，单击“下载证书”链接，如图所示。04实训步骤

步骤13：在下载方式提示框中，单击“保存”按钮，如图所示。

04实训步骤步骤14：打开保存位置后，可看到证书文件“certnew.cer”，如图所示。04实训步骤4．完成证书申请步骤1：在S5的“服务器证书”设置窗口中，单击右侧的“完成证书申请”操作项，如图所示。04实训步骤

步骤2：在“指定证书颁发机构响应”对话框中的“包含证书颁发机构响应的文件名”下的文本框中，指定已下载Web服务器证书的完整路径，输入证书的“好记名称”，然后单击“确定”按钮，如图所示。04实训步骤

步骤3：返回“服务器证书”设置窗口，可看到该服务器已经获得了Web服务器证书“s5-web”，如图所示。04实训步骤5．绑定证书步骤1：双击需绑定证书的Web站点“”，单击右侧的“绑定”项，如图所示。04实训步骤步骤2：在“网站绑定”对话框中单击“添加”按钮，如图所示。04实训步骤步骤3：在“添加网站绑定”对话框中，添加类型为“https”、对应端口为“443”的绑定条目，选择SSL证书为“s5-web”，然后单击“确定”按钮，如图所示。04实训步骤步骤4：若要禁止该站点的非安全访问，则可选中类型为“http”的绑定，然后单击“删除”按钮，如图所示。04实训步骤步骤5：在删除提示对话框中，单击“是”按钮，如图所示。04实训步骤步骤6：返回“网站绑定”对话框后，可看到只有一个https绑定，单击“关闭”按钮，如图所示。04实训步骤步骤7：返回站点设置窗口后，单击右侧的“重新启动”项，如图所示。04实训步骤6．测试HTTPS步骤1：使用HTTP方式访问网站，出现“无法显示此页”提示，如图所示。04实训步骤步骤2：使用HTTPS方式访问网站，由于访问的客户端中并未安装客户端证书，则页面会出现“此网站的安全证书存在问题”提示，单击“继续浏览此网站（不推荐）”链接，如图所示。04实训步骤步骤3：打开后的HTTPS页面，如图所示。05赛点链接05赛点链接2016-2018年国赛服务器题目总部两台核心交换机通过VSF物理端口连接起来形成一台虚拟的逻辑设备，用户对这台虚拟设备进行管理，来实现对虚拟设备中所有物理设备的管理。两台设备之间建立一个vsfport-group，vsfport-group编号都为1，每个vsfport-group绑定两个千兆光端口，SW-1的成员编号为1，SW-2的成员编号为2，正常情况下SW-2负责管理整个VSF，采用LACPMAD分裂检测，配置快速检测模式为short，配置VSF链路down延迟上报时间为2s、VSF分裂后桥MAC地址保留时间为6分钟；安装证书服务，设置为企业根，有效期为5年，为企业内部自动回复证书申请06