1、實(shí)訓(xùn)5：配置數(shù)字證書(shū)服務(wù)實(shí)訓(xùn)環(huán)境1.臺(tái)WindowsServer2016DC,主機(jī)名為DC。2.臺(tái)WindowsServer2016服務(wù)器并加入域，主機(jī)名為Server3.臺(tái)Windows10客戶(hù)端并加入域，主機(jī)名為WinlO。實(shí)訓(xùn)操作假設(shè)你是一家公司的管理員，需要你完成以下工作:1.在DC上部署企業(yè)根CA。打開(kāi)“服務(wù)器管理器”，單擊“添加角色和功能”，打開(kāi)“添加角色和功能向?qū)А贝翱?。逐步單擊“下一步”，在“服?wù)器角色”界面中，勾選“ActiveDirectory證書(shū)服務(wù)復(fù)選框，然后單擊“下一步在“ADCS角色服務(wù)界面中，勾選“證書(shū)頒發(fā)機(jī)構(gòu)”和“證書(shū)頒發(fā)機(jī)構(gòu)Web注冊(cè)”復(fù)選框，然后單擊“下一步

2、”。其中“證書(shū)頒發(fā)機(jī)構(gòu)Web注冊(cè)角色，可以實(shí)現(xiàn)通過(guò)瀏覽器向CA進(jìn)行證書(shū)申請(qǐng)的功能。服務(wù)角色兔色2Z)ActiveDirectoryRightsManagementServices_ActiveDirectory盛芻少紛簽證唳矣ActiveDirectoryADCS角色娠務(wù)ActrveDirectory書(shū)長(zhǎng)駕ADCS)是亍細(xì)合證書(shū)破機(jī)樹(shù)哭天住琶眠S.從而允用麻變暗淫備成用茬 Q 饋用的血ctivcDirectory江翔強(qiáng)j./nroc選擇角色服務(wù)Web眼務(wù)參角色(il倦色服務(wù)鋪認(rèn)4.最后在“確認(rèn)”界面中.單擊“安會(huì)”，開(kāi)始安裝證書(shū)服務(wù)。確認(rèn)安裝所選內(nèi)容者妾在疝曜務(wù)客上支長(zhǎng)以下角邑魚(yú)況務(wù)立功宅，舌

3、單*生定.次志；妥.巨站新目胡目敬歡蘭可能會(huì)奩比頁(yè)旬上顯示可秀功德頁(yè)般理工n).區(qū)為巳自動(dòng)典 0 賞功as.SDH不常2：安鐐 mm 可撅弟，君單為上 FUJ?除耳!璉也ActiveDirector證書(shū)寂為證書(shū)或室機(jī)伯證書(shū)迎林岫盼Web匾鳥(niǎo)資IIS)WebSS3常見(jiàn)HTTP況S3;AS目笈瀏菟HTTP畛HTTP里定珂OSRS-S5掐定兮用湯?&徑|藏I)I吸湛完成安裝后，單擊配置目標(biāo)服務(wù)器上的ActiveDirectory證書(shū)服務(wù)。辭安熊度0功能安蕓羌支田登。已在S上安裝成功。ActiveDirectory 征書(shū)服務(wù)為了配直目后艮芳指上的ActiveDirectoy汪頸擘，*祈其饋賽|SB目已

4、艮務(wù)器上的ActiveDirectory注書(shū)服務(wù)】證書(shū)頒發(fā)機(jī)構(gòu)i 正書(shū)頒發(fā)機(jī)構(gòu) Web 注冊(cè)Web 瞧器(IIS)UVebBESSSServer!.contosozcn亓始之動(dòng)安裝美里巔關(guān)器選經(jīng)報(bào)務(wù)蘭危色功能ADCSActiveDirectory環(huán)書(shū)版務(wù)整要安簽到危色砌角色服務(wù)江罰驟明Web由了 5 簡(jiǎn)單鬼Web界曲.允許用戶(hù)執(zhí)行包若申語(yǔ)會(huì)訂還甘趨緊近節(jié)兆的歹.表(CRg三臘旎卡證毋母9任駕.$o*rffir1.ccntc5o.ccn亓抬之前交秘型服務(wù)88逸徑眼務(wù)器角色ADCS角色服務(wù)V/eb?E角色:低)墉認(rèn)正書(shū) g 機(jī)芯網(wǎng)岸沒(méi)備瓢琢歸簇瀏構(gòu)Web沏近書(shū)注冊(cè)Web財(cái)證書(shū)注臆酩Web陽(yáng)容當(dāng)mU

5、TTOTflSC在“ADCS配置”向?qū)е械摹敖巧?wù)”界面，勾選“證書(shū)頒發(fā)機(jī)構(gòu)”和“證書(shū)頒發(fā)機(jī)構(gòu)Web注冊(cè)。聯(lián)機(jī)響應(yīng)程序網(wǎng)定設(shè)督頜服務(wù)口臥珊Web服務(wù)證書(shū)渤演BgWeb月gg在“ADCS配置”向?qū)е械摹霸O(shè)置類(lèi)型”界面，選擇“企業(yè)CA”。LiADCSEH角色服務(wù)目標(biāo)酸器S憑據(jù)選擇要配置的角色服務(wù)角色服務(wù)fLADCSEg設(shè)置類(lèi)型X目辟略Server!憑據(jù)用色眼另沒(méi)曾類(lèi)型CA類(lèi)型岫加宣CA名球有效明還下蘇據(jù)庫(kù)確認(rèn)IS果指定CA的設(shè)留類(lèi)笠企也E書(shū)酸明(CA)可以明ActiveDirectory域錚簡(jiǎn)化碰B忍鮑CA不回宅ADD5來(lái)瘀書(shū)，|企業(yè)CA(E)企業(yè)CA必須是痂彼.齊目通甬處亍聯(lián)機(jī)狀態(tài)以成發(fā)證書(shū)或

6、汪書(shū)鐐野O技立CA(A)獨(dú)立CA可應(yīng)成員、工作廷或域.技立CA在要ADDS,可在沒(méi)有問(wèn)JS逢接球況(脫機(jī))下在“ADCS配置”向?qū)е械摹癈A類(lèi)型界面，選擇“根CA”。CA類(lèi)型S隹色版務(wù)沒(méi)置類(lèi)型CA類(lèi)型指定CA類(lèi)型在安裝ActiveDirectory證枝耕(ADCS)凱揮如連切影湖禁給歸PKI)層次結(jié)構(gòu).根CA位亍FKI鼻次結(jié)花的設(shè)蓼.成發(fā)其白己3均簽名宙B.從匡CA從PKI后次結(jié)構(gòu)中位于其上方的CA做證書(shū).私鑰加密CA名稱(chēng)有效期征書(shū)55蝸庫(kù)確認(rèn)進(jìn)度|招XR)|垂CAS3PKI層;詢(xún)2口配后的笛一目可胡呈暗一的CA.O從匡CA(U)從屈CA卷耳適立PKI導(dǎo)次球，井旦已段層忽8構(gòu)辛位于電方的CA按

7、踏發(fā)證或設(shè)置類(lèi)型CA類(lèi)型私珥加密CA名稱(chēng)鈉期證書(shū)敏據(jù)岸確認(rèn)結(jié)采動(dòng)證書(shū)頒發(fā)機(jī)構(gòu)V證刊訶朝向Web注冊(cè)X全部保持默認(rèn)設(shè)置并單擊“下一步”，最后單擊“配置按鈕，完成證書(shū)服務(wù)的配置日以購(gòu)器S。上一步(P)下 TG；tE5K)J2取稔|證書(shū)服務(wù)安裝完成后，可以在“服務(wù)器管理器”的“工具”菜單中，打開(kāi)“證書(shū)頒發(fā)機(jī)構(gòu)管理工具進(jìn)行查看。新ccrtsrv-X文件(F)藻作(A)iV)幫助(Hl商證書(shū)頜發(fā)機(jī)秘本均)名稱(chēng)V洛contoso-SERVERl-CA吊銷(xiāo)的證書(shū)預(yù)發(fā)的證書(shū)舞的曰請(qǐng)夫歿的日請(qǐng)正書(shū)讖仍contoso-SERVER1-CA正書(shū)頒發(fā)機(jī)構(gòu)當(dāng)域的用戶(hù)向企業(yè)根CA申請(qǐng)證書(shū)時(shí)，企業(yè)根CA會(huì)通過(guò)ActiveD

8、irectory得知用盧的相關(guān)信息，并自動(dòng)核準(zhǔn)、發(fā)放用戶(hù)所要求的證書(shū)。企業(yè)根CA默認(rèn)的證書(shū)種類(lèi)很多，而且是根據(jù)“證書(shū)模板”來(lái)發(fā)放證書(shū)的。例如，圖中右方的“用戶(hù)模板提供了可以用于將文件加密的證書(shū)、保護(hù)電子安全的證書(shū)與驗(yàn)證客戶(hù)端身份的證書(shū)。確認(rèn)憑據(jù)角色服務(wù)設(shè)置關(guān)型CA類(lèi)圖私鑰IBSCA名稱(chēng)部人。ActiveDirectory旺書(shū)睇務(wù)CA維企業(yè)性加壑加程字：RSAMkrosoftSoftwareKeyStorageProviderSHA256整竺心20482048先許涇8務(wù)左互12怕證翊渤8：2O22/B/19:21:00可分i格承CN=contoso-SERVERI-CA,(X=contoo,DC

9、二comE 皿:心C：Windov，ssy$tEi32CortLcg證下祚吞日泛位&C:Windcv,叭萬(wàn)gen32CertLcg言委配菖以下星色角色腰彩玫晚，無(wú)單壬配宜二ilFBSmWWeb注冊(cè)奪ccrtsrv-pZ書(shū)頒發(fā)機(jī)構(gòu)(本i6)ccrto5oSERVER1 CA證書(shū)建板ZZ件(F)S(A)辭(V)符Ht(H)伊哮|名|國(guó)|園功證饋發(fā)機(jī)構(gòu)佐她)名稱(chēng)醐用逢7 狷contoso-SERVERI-CA豆目錄電子的說(shuō)刮目件賓制吊銷(xiāo)的狂書(shū)回鵬制器身份檢旺旨占蓋身分驗(yàn)正股會(huì)器身份狙:正智能.一頒發(fā)的旺韋23Kerberos身份驗(yàn)：IE存臼 W 身分瞼正度名器身份蜉正,智能.二SSKS清回EFS恢冥

10、代理回*EFS力瞌文件蜘|日箜板|團(tuán)癱制 M吝上其身吩瞼;正反笑器身份撿江畫(huà)Wsb展務(wù)器間計(jì)宜機(jī)吝白誨,狂國(guó)用戶(hù)方文件系統(tǒng).安全毛子*部生客戶(hù)點(diǎn)身.圓從屆證書(shū)殿偽51管理5Microsoft信任列表簽名,DDSJZg.Windowsserver2016通過(guò)組策略，讓域的所有用戶(hù)與計(jì)算機(jī)自動(dòng)信任由企業(yè)根CA所發(fā)送的證書(shū)。例如，域的一臺(tái)Windows10計(jì)算機(jī)中IE瀏覽器的證書(shū)界面，此計(jì)算機(jī)自動(dòng)信任域的企業(yè)根CA。證書(shū)個(gè)人其他人中間證書(shū)頒發(fā)機(jī)構(gòu) 受信任的根證書(shū)頒發(fā)機(jī)構(gòu)受信任的發(fā)布者去受信任的發(fā)布者Class3PublicPr.llClass3PublicPr.Copyright(c)19.DCie

11、asthome-DC-CA憐Ieasthome-DC-CALMicrosoftAuthe.MicrosoftRoot.早MicrosoftRoot.MicrosoftRoot.Class3PublicPrim.Class3PublicPrim.Copyright(c)1997.DC莪止日期2028/8/22004/1/31999/12.2019/2/2友好名稱(chēng)VeriSignClass.VeriSignClass.MicrosoftTim.證書(shū)網(wǎng)站Aeasthome-DC-CAeasthome-DC-CA2023/2/22023/2/2v 無(wú)4無(wú)MicrosoftAuthenti.2000/1

12、/1MicrosoftAut.MicrosoftRootAu.2020/12.MicrosoftKoo.MicrosoftRootCe.2021/5/.MicrosoftR.00.MicrosoftRootCe.2035/6/.MicrosoftR.00.VX刪除(R)蹴目的(N)：zV 所有高級(jí)(A)2.發(fā)布證書(shū)申請(qǐng)。在“服務(wù)器管理器”中打開(kāi)uInternetInformationServices(IIS)管理器并在服務(wù)器的主頁(yè)中單擊“服務(wù)器證書(shū)選擇“創(chuàng)建自簽名證書(shū)。操作導(dǎo)入削建證書(shū)申請(qǐng)完成證書(shū)南請(qǐng).創(chuàng)建域證書(shū)I嘩白簽名近H橋目前重特定知的證書(shū)慧助在“創(chuàng)建自簽名證書(shū)對(duì)話(huà)框中，輸入一個(gè)證書(shū)名稱(chēng)

13、，并在“為新證書(shū)選擇證書(shū)存儲(chǔ)中選擇Web宿主，最后單擊“確定按鈕。-維5(A)g 依好攻Ea&f*%/Internetlnfr*d功炒配置蜘暮Configur.創(chuàng)建自簽名證書(shū)措定證書(shū)由蹄文件名.此信息可以發(fā)送蛤證書(shū)頒姬構(gòu)遂行委名:取消返回“InternetInformationServices(IIS)管理器界面,選擇默認(rèn)，并單擊右側(cè)的“綁定”。詢(xún)irtcrne：InforrraticnSvice54-DC,財(cái)站(MtuhWebgUJ指定友好名稱(chēng)網(wǎng)站綁定添加網(wǎng)站綁定姓(T):IPiSM：https 全慈二分配責(zé)口（。）：71443|主機(jī)名(H):?X者要金務(wù)器名稱(chēng)指示(N)SSL 證書(shū)(F):

14、證書(shū)網(wǎng)站郵(L).查看(V).曜耽肖短此時(shí)已完成證書(shū)申請(qǐng)的發(fā)布。登錄客戶(hù)端計(jì)算機(jī)，使用IE瀏覽器，訪(fǎng)問(wèn)證書(shū)申請(qǐng)：https：/服務(wù)器域名或IP地址/certsrv,即可訪(fǎng)問(wèn)證書(shū)申請(qǐng)。.,19169.0.10rz.Q。證書(shū)國(guó) WCMieroseftActiveDirector.MicrosoftActiveDirectory-easthome-DC-CA歡迎使用使用此網(wǎng)站為你的Web瀏覽器、電子郵件客戶(hù)端或其他程序申請(qǐng)證書(shū)。通過(guò)使用證書(shū)，你可以向通過(guò)Web進(jìn)彳:你的身份、簽名并加密郵件，并根據(jù)你申蹄證書(shū)類(lèi)型執(zhí)行其他安全任務(wù)。你也可以使用此網(wǎng)站下載證書(shū)頒發(fā)機(jī)構(gòu)(CA)證書(shū)、證書(shū)鏈，或證書(shū)吊銷(xiāo)列表(

15、CRL),或者查看掛起申請(qǐng)的狀態(tài)。有關(guān)ActiveDirectory證書(shū)服務(wù)的詳細(xì)信息,請(qǐng)參閱ActiveDirectory證書(shū)務(wù)文檔.選擇一個(gè)任務(wù)：申請(qǐng)證書(shū)杳看掛掃的證書(shū)申話(huà)的狀態(tài)下我CA證書(shū).i正毛筑或CRL3.在Serverl上創(chuàng)建基于SSL的。完成Web服務(wù)器（IIS）的安裝。塢InternetInformationServices(IIS)含埋器0SERVER1，網(wǎng)站DefaultWebSite文件（F）瞄（V）wan（H）DefaultWebSite主頁(yè)舞園a(G)全部昱示(A)分組依據(jù)：區(qū)域IISS#1ffi41IHTTPIR昉MIME嬤SSL姻處理所羨曄頭射也H完成計(jì)算機(jī)證書(shū)的注冊(cè)。S又期)*T(A)一營(yíng)枷虹龍(338苴GtgJ徊 EK二Hgm菖不購(gòu) g食三住傾職。J2H任人a蝴iZJWgWiGBw.WndcmsUreQToker在IIS管理器中，設(shè)置默認(rèn)的證書(shū)綁定。連接j碼起抬頁(yè)vJSERVER1(EASTHOMEadrvJ)W朗油vG悶站Defau