【高校-】--项目11配置认证服务器【教材配套】课件

2014年6月项目11 配置认证服务器本项目学习目标和任务任务1 架设CA服务器 任务2 SSL网站证书的安装与测试 任务3 数字证书的管理学习目标：学习目标：通过安装通过安装Windows Server 2008操作系操作系统、创建与管理本地用建与管理本地用户和和组、管理和配置磁管理和配置磁盘系系统等等3个任个任务，使，使读者者对Windows Server 2008操作系操作系统有一个基本的了解，具有初步系有一个基本的了解，具有初步系统管理管理员的能力的能力，为配置其它服务器提，为配置其它服务器提供基础平台。供基础平台。任务1 架设CA服务器1.安装CA证书服务器2.设置安装类型3.设置私钥与配置加密4.配置CA名称、有效期、数据库等5.安装Web服务器设置6.确认并完成CA证书服务器的安装7.手动使计算机信任企业CA1.安装CA证书服务器选择“开始”“管理工具”“服务器管理器”弹出“服务器管理器”控制台。选择“角色”在右边单击“添加角色”超链接，弹出“选择服务器角色”对话框。1.安装CA证书服务器选择“Active Directory证书服务”项，单击“下一步”按钮，弹出“Active Directory证书服务简介”对话框。1.安装CA证书服务器本项没有什么选择，单击“下一步”按钮，弹出“选择服务角色”对话框。选择“证书颁发机构”和“证书颁发机构 Web证书”两项，如果是新的服务器可能会弹出“是否添加Web服务器（IIS）所需的功能？”警示框，单击“添加必须的角色服务”按钮，即可。2.设置安装类型单击“下一步”按钮，弹出“指定安装类型”对话框。2.设置安装类型选择“企业”单选钮，单击“下一步”按钮，弹出“指定CA类型”对话框。3.设置私钥与配置加密选择“根CA”单选钮。单击“下一步”按钮，弹出“设置私钥”对话框。本例使用默认选择。3.设置私钥与配置加密选择“新建私钥”单选钮，弹出“为CA配置加密”对话框。4.配置CA名称、有效期、数据库等单击“下一步”按钮，弹出“配置CA名称”对话框。4.配置CA名称、有效期、数据库等在“此CA的公用名称”文本输入框处输入CA服务器的名称，本例为“testCA”。在“可分辨名称后缀”文本输入框下，选择默认项。单击“下一步”按钮，弹出“设置有效期”对话框。4.配置CA名称、有效期、数据库等默认是5年，具体操作时请根据具体情况设置有效期，单击“下一步”按钮，弹出“配置证书数据库”对话框。使用默认的数据库位置和日志的位置即可。5.安装Web服务器设置单击“下一步”按钮，因为选择了“证书颁发机构 Web证书”项目，会弹出“Web服务器（IIS）”对话框。5.安装Web服务器设置单击“下一步”按钮，弹出“选择角色服务”对话框。这里一般不需要特殊选择，系统会把需要选择的选择项选中，一般不要更改这些角色服务。6.确认并完成CA证书服务器的安装单击“下一步”按钮，弹出“确认安装选择”对话框。6.确认并完成CA证书服务器的安装单击“安装”按钮，开始安装系统。等待一会儿，会弹出“安装结果”对话框。单击“关闭”按钮，完成CA服务器的安装。6.确认并完成CA证书服务器的安装选择“开始”“管理工具”会发现多了一个“Certification Authority”项（意思为“证书颁发机构”），选择之会出现“certsrv-证书颁发机构”控制台。使用这个控制台可以管理证书。7.手动使计算机信任企业CA1下载CA证书链在客户端计算机上打开浏览器，在地址栏输入“192.168.0.2/certsrv”会弹出用户登录对话框，输入域用户和密码，会出现安装证书的网页。7.手动使计算机信任企业CA在此网页上单击“下载CA证书、证书链或CRL”超链接，出现“下载CA证书、证书链或CRL”网页，单击“下载CA证书链”超链接，会弹出保存文件对话框，默认文件名为“certnew.p7b”单击“保存”按钮，给该文件选择一个文件目录保存即可。7.手动使计算机信任企业CA2添加独立管理单元仍然在客户端计算机上，单击“开始”选择“运行”命令，在其中输入“MMC”单击“确定”按钮，启动“MMC”命令，打开MMC控制台。在该控制台中选择“文件菜单”下，选择“添加/删除管理单元”命令。7.手动使计算机信任企业CA打开“添加/删除管理单元”对话框，在“独立”选项卡中，单击“添加”按钮，弹出“添加独立管理单元”对话框，在“可用独立管理单元”列表框中选择“证书”选项，然后单击“添加”按钮，弹出“证书管理单元”对话框，在该对话框中，选中“计算机账户”单选钮，单击“下一步”按钮，弹出“选择计算机”对话框，选择“本地计算机（运行这个控制台的计算机）”单选钮，单击“完成”按钮完成独立管理单元的添加。7.手动使计算机信任企业CA3导入证书在控制台窗口中，在展开“证书”下，展开“受信任的根证书颁发机构”项，选择其下的“证书”单击鼠标右键，弹出右键下拉菜单。7.手动使计算机信任企业CA选择“所有任务”后面的“导入”命令，弹出“证书申请向导”对话框。7.手动使计算机信任企业CA单击“下一步”按钮，弹出“要导入的文件”对话框。7.手动使计算机信任企业CA单击“文件名”文本输入框后的“浏览”按钮，选择前面下载的“certnew.p7b”文件及目录地址，单击“下一步”按钮，弹出“证书存储”对话框。7.手动使计算机信任企业CA选择“将所有的证书放入下列存储区”单选钮，使用下面的“证书存储”中“受信任的根证书颁发机构”默认选项。单击“下一步”按钮，弹出“正在完成证书申请向导”对话框，在该对话框中提示了已经指定的设置，如果没有问题，单击“完成”按钮，完成证书的发放。这时，我们再打开控制台看会发现有一个testCA证书至此，个人证书申请完毕，该计算机就可以使用此证书了。任务2 SSL网站证书的安装与测试1.让网站与浏览器计算机信任CA服务器2.在网站上创建证书申请文件3.IIS上申请与下载证书4.安装证书到IIS5.https协议绑定到Web站点6.创建网站的测试网页7.SSL连接测试1.让网站与浏览器计算机信任CA服务器按照任务1步骤7的方法，使得准备做客户端测试用的计算机信任CA服务器。如果Web服务器与CA服务器不是同一台计算机，也需要按照以上方法使得Web服务器计算机信任CA服务器。本例因为是一台计算机作为Web服务器和CA服务器，所以只完成客户端测试用的计算机信任CA服务器即可。2.在网站上创建证书申请文件选择“开始”“管理工具”“Internet信息服务（IIS）管理器”打开“Internet信息服务（IIS）管理器”控制台，选择Web计算机，双击中间“区域”部分的“服务器证书”图标，在最左边的“操作”框中，单击“创建证书申请”超链接，弹出“可分辨名称属性”对话框。2.在网站上创建证书申请文件在“通用名称”文本输入框处输入Web服务器的IP地址，或域名（如果有DNS服务器并将Web主机解析成功的话）。其它的“组织”、“组织单位”、“城市/地点”等文本输入框中的内容只是一个标识，其内容不影响功能。填写完毕，单击“下一步”按钮，弹出“加密服务提供程序属性”对话框。2.在网站上创建证书申请文件一般选择“加密服务提供程序”和“位长”下拉列表框的默认内容，单击“下一步”按钮，弹出“文件名”对话框。选择完毕，单击“完成”按钮。完成申请文件。3.IIS上申请与下载证书在Web服务器计算机上打开IE浏览器，在地址栏输入CA证书服务器的IP地址/certsrv。本例应该输入“192.168.0.2/certsrv”，由于是向企业CA申请证书，所以会弹出输入域系统管理员账户和密码的对话框。3.IIS上申请与下载证书输入超级用户的用户名“administrator”在“密码”文本输入框处输入域超级用户的密码，单击“确定”按钮，浏览器出现欢迎使用页面。3.IIS上申请与下载证书单击“申请证书”超链接，弹出“申请一个证书”页面。3.IIS上申请与下载证书在此页面上单击“高级证书申请”超链接，弹出“高级证书申请”页面。3.IIS上申请与下载证书单击“使用base64编码的CMC或PKCS=10文件提交一个证书申请，或使用base64编码的PKCS#7文件续订证书申请”超链接，弹出“提交一个证书申请或续订申请”页面。找到步骤2中保存的文本文件，用记事本打开之，复制全部文件的内容，粘贴在该页面“保存的申请”下面的文本输入框中。3.IIS上申请与下载证书单击“提交”按钮，弹出“证书已颁发”页面，选择“DER编码”单选钮，单击“下载证书”超链接，弹出保存文件对话框，单击“保存”按钮，将证书文件存储起来，本证书的默认文件名为“certnew.cer”。4.安装证书到IIS在“Internet信息服务（IIS）管理器”控制台中，单击最右边的“操作”框中“完成证书申请”超链接，弹出“指定证书颁发机构响应”对话框。4.安装证书到IIS在“包含证书颁发机构响应的文件名”文本输入框中，保持默认内容。在“好记名称”文本输入框处输入一个容易记忆的名称，本例保持默认内容。单击“确定”按钮，完成证书的申请。5.https协议绑定到Web站点在“Internet信息服务（IIS）管理器”控制台选中“Default Web Site”项目，单击最左边的“操作”栏“编辑站点”下的“绑定”超链接，弹出“网站绑定”对话框，单击“添加”按钮，弹出“添加网站绑定”对话框，在“类型”下拉列表框中选择“https”项。在“IP地址”下拉列表框中选择“192.168.0.2”也可使用“全部未分配”项。在“端口”文本输入框中使用“443”端口。在“SSL证书”下拉列表框中输入任意的内容，一般是个标识。最后单击“确定”按钮，回到“网站绑定”对话框，再单击“关闭”按钮，完成绑定。6.创建网站的测试网页在Web服务器的默认站点的逻辑根目录下“C：inepubwwwroot”新建一个子目录，如“sale”，同时使用记事本建立一个“default.htm”文件，文件内容如下：Windows Server 2008网站架构练习 首页SSL安全连接在“sale”目录中使用记事本也建立一个“default.htm”文件，内容只有一句：这是需要安全连接的SSL网页7.SSL连接测试到安装过证书的客户端计算机上，打开IE浏览器，在地址栏输入“192.168.0.2”后，会出现以前输入的内容。单击“SSL安全连接”超链接，会连接到“sale”目录下的https的内容。任务3 数字证书的管理1.CA服务器的停止与启动2.CA的备份与还原3.启用证书模板4.吊销证书5.续订CA证书1.CA服务器的停止与启动在CA服务器上，选择“开始”“管理工具”“Certification Authority”，启动“证书颁发机构”控制台。选中要停止服务的服务器，单击鼠标右键在弹出的右键下拉菜单中展开“所有任务”选择“停止服务”命令，稍等片刻该服务就停止服务。启动服务也是一样的，在图11-51所示的“证书颁发机构”控制台中，选中要启动服务的服务器，单击鼠标右键在弹出的右键下拉菜单中展开“所有任务”选择“启动服务”命令，稍等片刻该服务就启动服务了。2.CA的备份与还原备份在CA服务器上，选择“开始”“管理工具”“Certification Authority”，启动“证书颁发机构”控制台。选中要备份的服务器，单击鼠标右键在弹出的右键下拉菜单中展开“所有任务”选择“备份CA”命令，弹出“证书颁发机构备份向导”对话框。2.CA的备份与还原备份单击“下一步”按钮，弹出“要备份的项目”对话框。2.CA的备份与还原备份把“私钥和CA证书”和“证书数据库和证书数据库日志”两个复选框均选择上。单击“浏览”按钮，选择要把文件备份的目录，注意该目录必须是空的。最后单击“下一步”按钮，弹出“选择密码”对话框。2.CA的备份与还原备份在该对话框的“密码”和“确认密码”文本输入框下输入同样的密码，并且请牢记该密码，以便还原时使用。单击“下一步”按钮，弹出“完成证书颁发机构备份向导”对话框。在该对话框中单击“完成”按钮，结束CA的备份。请把该目录拷贝到安全地方，以备还原证书时使用。2.CA的备份与还原还原在CA服务器上，选择“开始”“管理工具”“Certification Authority”，启动“证书颁发机构”控制台。选中要备份的服务器，单击鼠标右键在弹出的右键下拉菜单中展开“所有任务”选择“还原CA”命令，弹出“欢迎使用证书颁发机构还原向导”对话框。2.CA的备份与还原还原单击“下一步”按钮，弹出“要还原的项目”对话框。2.CA的备份与还原还原在这个对话框中选中所需要还原的项目，注意一定与备份的项目相同，同时单击“浏览”按钮，选择备份CA的目录，单击“下一步”按钮，弹出“提供密码”对话框。2.CA的备份与还原还原这时输入备份CA时输入的密码，单击“下一步”按钮，如果密码正确，则会弹出“完成证书颁发机构还原向导”对话框。单击“完成”按钮，进行还原证书，稍等片刻，证书还原成功，提示重新启动证书服务，重启证书服务，同时使用新还原的CA证书。3.启用证书模板在CA服务器上，选择“开始”“管理工具”“Certification Authority”，启动“证书颁发机构”控制台。展开CA服务器，选中“证书模板”单击鼠标右键在弹出的右键下拉菜单中展开“新建”选项，选择“要颁发的证书模板”命令，这时会弹出“启用证书模板”对话框，选则需要的模板，单击“确定”按钮，该选择就会到“证书模板”中。本例就是将“Exchange用户 安全电子邮件”模板添加到了“证书模板”中。4.吊销证书1吊销证书在CA服务器上，选择“开始”“管理工具”“Certification Authority”，启动“证书颁发机构”控制台。选择“颁发的证书”选项，显示所有已经颁发的证书，选中要吊销的证书单击鼠标右键，弹出右键下拉菜单展开“所有任务”单击“吊销证书”命令，这时弹出“吊销证书”对话框，在“理由码”的下拉列表框中选择吊销的原因，日期和时间一般使用默认值，单击“是”按钮，此证书吊销成功。4.吊销证书2发布CRL在“证书颁发机构”控制台，选中“吊销的证书”选项，显示所有已经吊销的证书。单击鼠标右键，弹出右键下拉菜单选择“所有任务”单击“发布”项，弹出“发布CRL”对话框。对于第一次发布CRL，选择“新的CRL”单选按钮，以后再发布CRL就可以选择“仅增量CRL”单选项了。单击“确定”按钮，CRL发布成功。5.续订CA证书打开“证书颁发机构”控制台，选中CA名称。单击鼠标右键，在弹出右键下拉菜单中选择“所有任务”单击“续订CA证书”命令，这时，弹出“续订CA证书”对话框，若重建一组新的密钥，可以选择“是”单选钮，若不重建选择“否”单选钮。单击“确定”按钮，就实现了CA 证书的续订。