實訓8部署CA實現(xiàn)HTTPS訪問01實訓目的背景描述實訓原理實訓步驟賽點鏈接0203040506易錯分析01實訓目的01實訓目的實訓目的通過本實訓，讀者可以掌握如下技能：1．能理解證書服務的概念和作用；2．能熟練掌握HTTPS的實現(xiàn)過程；3．能在WindowsServer2012R2下實現(xiàn)CA服務。02背景描述02背景描述背景描述

達通集團的Web站點已建立完成，但在應用過程中發(fā)現(xiàn)有用戶信息在通信過程中被泄露。因此，網絡管理員決定采用更加可靠的HTTPS方式，利用證書服務在一定程度上保證訪問Web站點的安全性。02背景描述需求分析

針對公司的需求，可使用證書服務建立認證體系。但通常情況下，證書需要向客戶端信任的權威證書頒發(fā)機構申請。為解決使用成本

問題，網絡管理員可以建立公司內部的證書頒發(fā)機構（CA，CertificateAuthority），為Web服務器頒發(fā)“Web服務器證書”來認證站點。服務器角色分配見下表。BFDMADIP地址規(guī)劃如下表：BFDMADIP地址規(guī)劃如下表：計算機名角色IP地址（/24）所需設置S1.CA服務器01安裝證書服務配置證書頒發(fā)機構S5.申請“Web服務器證書”05申請和下載證書綁定證書測試03實訓原理03實訓原理

Web服務器證書，用來證明Web服務器的身份和進行通信加密，一般用來實現(xiàn)Web服務器的SSL訪問，即實現(xiàn)HTTPS，因此也稱之為SSL證書。大多數操作系統(tǒng)默認信任根證書機構VeriSign，該公司也是Web服務器證書的主要認證機構。

企業(yè)CA必須是域成員，企業(yè)CA會自動處理域成員的證書申請并頒發(fā)證書，需要安裝ADCS服務。

獨立CA則可不受域的限制，可不安裝ADCS，但需要手動處理證書申請，頒發(fā)、吊銷證書。04實訓步驟04實訓步驟1．安裝證書服務

步驟1：在“服務器管理”中使用向導方式安裝“ActiveDirectory證書服務”，在“選擇角色服務”窗口除默認選中的“證書頒發(fā)機構”外，同時選中“證書頒發(fā)機構Web注冊”復選框，然后按向導完成證書服務安裝，如圖所示。詳細過程略。04實訓步驟2．配置證書頒發(fā)機構

步驟1：在“服務器管理器”窗口中選擇“ADCS”角色，然后單擊黃色警告信息后的“更多…”鏈接，如圖所示。04實訓步驟

步驟2：在“所有服務器個任務詳細信息和通知”窗口中，單擊操作“配置目標服務器上的ActiveDirectory證書服務”鏈接，如圖所示。04實訓步驟步驟3：在“ADCS”配置向導的“憑據”窗口中，單擊“下一步”按鈕，如圖所示。

04實訓步驟

步驟4：在“角色服務”窗口中選中“證書頒發(fā)機構”及“證書頒發(fā)機構Web注冊”，然后單擊“下一步”按鈕，如圖所示。

04實訓步驟步驟5：在“設置類型”窗口中，指定CA的設置類型為“企業(yè)CA”，單擊“下一步”按鈕，如圖8-7所示。

04實訓步驟步驟6：在“CA類型”窗口中指定CA類型為“根CA”，單擊“下一步”按鈕，如圖所示。04實訓步驟步驟7：在“私鑰”窗口中，指定私鑰類型為“創(chuàng)建新的私鑰”，然后單擊“下一步”按鈕，如圖所示。04實訓步驟步驟8：在“CA的加密”窗口中使用默認的加密選項，直接單擊“下一步”按鈕，如圖所示。04實訓步驟

步驟9：在“CA”名稱窗口中，輸入CA名稱為“datong-root”，然后單擊“下一步”按鈕，如圖所示。04實訓步驟步驟10：在“有效期”窗口中指定頒發(fā)證書的有效期，然后單擊“下一步”按鈕，如圖所示。04實訓步驟步驟11：在“CA數據庫”窗口中使用默認設置，直接單擊“下一步”按鈕，如圖所示。04實訓步驟步驟12：在“確定”窗口中查看匯總信息，確認無誤后單擊“配置”按鈕，如圖所示。04實訓步驟步驟13：在“結果”窗口中，單擊“關閉”按鈕，如圖所示。04實訓步驟3．申請和下載證書步驟1：在Web服務器S5上，打開“InternetInformationServices（IIS）管理器”窗口，雙擊服務器“S5”，在S5主頁設置項中雙擊“服務器證書”，如圖所示。04實訓步驟步驟2：在“服務器證書”設置頁，單擊右側的“創(chuàng)建證書申請”項，如圖所示。04實訓步驟

步驟3：在“申請證書”的“可分辨名稱屬性”對話框中輸入證書的必要信息，可按達通集團的實際情況填寫，填寫完畢后單擊“下一步”按鈕，如圖所示。04實訓步驟步驟4：在“加密服務提供程序屬性”對話框中，直接單擊“下一步”按鈕，如圖所示。04實訓步驟

步驟5：在“文件名”對話框中，輸入申請文件的名稱和存儲路徑，本任務中使用“C:\shenqing.txt”，設置完畢后單擊“下一步”按鈕，如圖所示。圖8-20指定證書申請文件名稱04實訓步驟

步驟6：在瀏覽器地址欄中，輸入“01/certsrv”打開證書頒發(fā)機構的Web注冊頁面，在彈出的“Windows安全”對話框中輸入憑據的賬戶信息，此處使用“Administrator”賬戶，輸入完畢后單擊“確定”按鈕，如圖所示。04實訓步驟步驟7：在證書服務的Web注冊頁面中單擊“申請證書”鏈接，如圖所示。

圖8-22證書服務的Web注冊頁面04實訓步驟步驟8：在“申請一個證書”頁面單擊“高級證書申請”鏈接，如圖所示。04實訓步驟

步驟9：在“高級證書申請”頁面，單擊“使用base64編碼的CMC活PKCS#10文件提交一個證書申請，或使用base64編碼的PKCS#7文件續(xù)訂證書申請”鏈接，如圖所示。04實訓步驟步驟10：打開之前的證書申請文件，復制文件的全部內容，如圖所示。04實訓步驟

步驟11：將申請文件中的全部內容，粘貼到申請頁面的“Base-64編碼的證書申請”后的文本框中，選擇證書模板的類型為“Web服務器”，然后單擊“提交”按鈕，如圖8-26所示。04實訓步驟步驟12：在“證書已頒發(fā)”頁面中，單擊“下載證書”鏈接，如圖所示。04實訓步驟

步驟13：在下載方式提示框中，單擊“保存”按鈕，如圖所示。

04實訓步驟步驟14：打開保存位置后，可看到證書文件“certnew.cer”，如圖所示。04實訓步驟4．完成證書申請步驟1：在S5的“服務器證書”設置窗口中，單擊右側的“完成證書申請”操作項，如圖所示。04實訓步驟

步驟2：在“指定證書頒發(fā)機構響應”對話框中的“包含證書頒發(fā)機構響應的文件名”下的文本框中，指定已下載Web服務器證書的完整路徑，輸入證書的“好記名稱”，然后單擊“確定”按鈕，如圖所示。04實訓步驟

步驟3：返回“服務器證書”設置窗口，可看到該服務器已經獲得了Web服務器證書“s5-web”，如圖所示。04實訓步驟5．綁定證書步驟1：雙擊需綁定證書的Web站點“”，單擊右側的“綁定”項，如圖所示。04實訓步驟步驟2：在“網站綁定”對話框中單擊“添加”按鈕，如圖所示。04實訓步驟步驟3：在“添加網站綁定”對話框中，添加類型為“https”、對應端口為“443”的綁定條目，選擇SSL證書為“s5-web”，然后單擊“確定”按鈕，如圖所示。04實訓步驟步驟4：若要禁止該站點的非安全訪問，則可選中類型為“http”的綁定，然后單擊“刪除”按鈕，如圖所示。04實訓步驟步驟5：在刪除提示對話框中，單擊“是”按鈕，如圖所示。04實訓步驟步驟6：返回“網站綁定”對話框后，可看到只有一個https綁定，單擊“關閉”按鈕，如圖所示。04實訓步驟步驟7：返回站點設置窗口后，單擊右側的“重新啟動”項，如圖所示。04實訓步驟6．測試HTTPS步驟1：使用HTTP方式訪問網站，出現(xiàn)“無法顯示此頁”提示，如圖所示。04實訓步驟步驟2：使用HTTPS方式訪問網站，由于訪問的客戶端中并未安裝客戶端證書，則頁面會出現(xiàn)“此網站的安全證書存在問題”提示，單擊“繼續(xù)瀏覽此網站（不推薦）”鏈接，如圖所示。04實訓步驟步驟3：打開后的HTTPS頁面，如圖所示。05賽點鏈接05賽點鏈接2016-2018年國賽服務器題目總部兩臺核心交換機通過VSF物理端口連接起來形成一臺虛擬的邏輯設備，用戶對這臺虛擬設備進行管理，來實現(xiàn)對虛擬設備中所有物理設備的管理。兩臺設備之間建立一個vsfport-group，vsfport-group編號都為1，每個vsfport-group綁定兩個千兆光端口，SW-1的成員編號為1，SW-2的成員編號為2，正常情況下SW-2負責管理整個VSF，采用LACPMAD分裂檢測，配置快速檢測模式為short，配置VSF鏈路down延遲上報時間為2s、VSF分裂后橋MAC地址保留時間為6分鐘；安裝證書服務，設置為企業(yè)根，有效期為5年，為企業(yè)內部自動回復證書申請06