Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装
[计算机软件及应用]windowsserver2008下配置CA服务器文档
![[计算机软件及应用]windowsserver2008下配置CA服务器文档](https://img.taocdn.com/s3/m/d50cea9703d276a20029bd64783e0912a2167c04.png)
Windows server 2008下构建CA服务器文档一、添加服务器管理器角色首先打开服务管理器,选择开始-》管理工具-》服务管理器。
选择角色,右键添加角色。
打开添加角色向导对话框。
在“选择服务器角色”页中,选中“Active Directory证书服务”。
在“选择角色服务”页中,添加“证书颁发机构”、“证书颁发机构Web注册”,在选择“证书颁发机构Web注册”时,会弹出添加IIS的对话框,单击“添加必需的角色服务”即可自动添加所需要的IIS服务。
在“指定安装类型”页中,选择“独立”,这就是表示要安装“标准CA证书”服务器了。
在“指定CA类型”页,选择“根CA”。
在“设备私钥”页,选择“新建私钥”。
在“为CA配置加密”页,选择默认值。
填写CA的公用名称。
选择默认,点击下一步。
选择默认,点击下一步。
选择默认,点击下一步勾选, 在选择时会出现“是否添加所需的角色服务”对话框,选择“添加必须的角色服务”选项。
之后点击下一步。
点击安装。
安装完成,点击关闭按钮,然后在服务管理器中会看到添加的角色。
重启电脑,使配置生效。
二、配置AD证书服务器为自动颁发证书打开AD证书服务器,点击开始菜单->管理工具->Certification Authority。
打开我们建立的证书颁发机构的属性对话框。
在属性对话框中选择策略模块选项卡,在策略模块选项卡中点击属性按钮,在弹出的属性对话框中选择“如果可以的话,按照证书模板中的设置。
否则将自动颁发证书”选项,点击确定。
之后重启证书颁发机构,是配置生效。
三、配置IIS打开IIS管理器,选择开始菜单->管理工具->Internet 信息服务(IIS)管理器。
3.1配置服务器证书在IIS服务器根目录下,在中间的主页界面中双击服务器证书,打开服务器证书配置页面,在右侧选择创建证书申请,打开申请证书向导。
填写相关的信息后,点击下一步。
选择默认,下一步。
为证书申请指定文件名。
windows2021中CA服务器配置方法与步骤
windows2021中CA服务器配置方法与步骤windows2021中ca服务器的安装与配置ca是认证中心的意思:如果你要访问这个网站,你必须通过认证之后,才有资格访问这个网站,平常是不能访问这个网站的,这个网站的安全性能提高很多。
第一部分:加装步骤一、安装证书服装器用一个证书的服务器去颁授证书,然后再采用这个证书。
ca的公用名称:windows2021a二、要在配置的网站上申请证书(草稿)找出我们布局的网站的名称:myweb,右击“属性”-“目录安全性”-“服务器证书”,回去提出申请一个证书。
“新建一个证书”,在国家时“必须挑选cn中国“,下面省市:江苏省,邳州市,最后必须分解成一个申请的文件,一般文件名叫:certreg.txt这样一个文件。
相当于一个申请书。
三、正式宣布向证书机构回去提出申请一个证书(正式宣布提出申请)local本地host是主机:localhost本地主机/certsrv这个cert这证书serversrv服务器certsrv:证书服务器。
1、提出申请一个证书2高级证书提出申请3、选择一个base64这个证书4、把刚才分解成的申请书文件:certrreg.txt文件中的内容全部导入到网页中留存的提出申请侧边中。
5。
提交之后才正式申请开始,等着颁发证书。
四、颁授证书到“证书颁发机构”-选择\挂起的申请“,找到这个申请之后,右击”任务“颁发”这就相当于颁发一个正常的证书了。
2、查阅挂上的证书提出申请的状态,如果存有一个,就浏览这个证书:用base64这个类型的证书,把这个证书留存起至c:\\certnew.cer这样一个崭新证书。
六、使用这个证书来完成ca服务器的配置。
右击“这个网站的名字myweb\选“属性”“目录安全性”中“服务器证书”“处理一个新的证书”,把刚才下载到c:\\certnew.cer这样一个证书用上就可以了。
七、采用ssl(安全地下通道)功能去出访网页方法是:右击“myweb\这个网站,选择“属性”“目录安全性”在“安全通信中的编辑”中,选择“要求安全通道”和”要求客户端的证书“。
Windows中的证书服务及应用1PKI和CA概述
5.5 证书的审核与管理
证书的审核与管理Windows Server 2003服务 器上进行。 (1)当有客户机通过网站申请了证书之后,在 Windows Server 2003服务器上,依次单击“开始/ 管理工具/证书颁发机构”菜单,打开“证书颁发机 构”控制台窗口。在主窗口中展开树状目录,单击“ 挂起的申请”项,找到刚才申请的证书,然后右键单 击该项,选择“所有任务/颁发”。
(3)单击“安装此CA证书链”链接,弹出一 个证书指纹安全警告对话框,显示了证书指纹。 (4)单击“是”按钮,安装好证书链之后, 系统提示“CA证书链已成功安装”。 (5)回到地址为“http://证书服务器IP地址 /certsrv/default.asp”的证书服务欢迎页面。
(6)单击“申请一个证书”,打开“申请一 个证书”页面。 (7)单击“高级证书申请”,打开“高级证 书申请”页面。
(1)在Windows XP客户端的IE浏览器的地址 栏中,再次输入“http://证书服务器IP地址 /certsrv/default.asp”访问证书注册页面。 (2)单击“查看挂起的证书申请的状态”链接, 打开“查看挂起的证书申请的状态”页面。
(3)单击要查看的证书申请,如“客户端身 份验证证书”,可看到“证书已颁发”页面。 (4)单击“安装此证书”链接,打开“证书 已安装”页面,提示新证书已经成功安装。
windows server 2003 证书服务(CA)的部署
独立CA可向Windows2003网络外部的用户颁发证书,并且不需要活动目录的支持。
选择CA模式在建立认证服务之前,选择一种适应需要的认证模式是非常关键的,安装认证服务时可选择4种CA模式,每种模式都有各自的性能和特性。
企业根CA企业根CA是认证体系中最高级别的证书颁发机构。
它通过活动目录来识别申请者,并确定该申请者是否对特定证书有访问权限,。
如果只对组织中的用户和计算机颁发证书,则需建立一个企业的根CA。
一般来讲,企业的根CA只对其下级的CA颁发证书,而下级CA再颁发证书给组织中的用户和计算机。
安装企业根CA需要如下支持:1.活动目录证书服务的企业策略信息存放在活动目录中。
2.DNS名称解析服务在Windows2003中活动目录与DNS紧密集成。
3.对DNS活动目录和CA服务器的管理权限。
企业下级CA企业下级CA是组织直接向用户和计算机颁发证书的CA。
企业下级CA在组织中不是最受信任的CA,它还要有上一级CA来确定自己的身份。
独立根CA独立根CA是认证体系中最高级别的证书颁发机构,独立CA不需活动目录,因此即使是域中的成员也可不加入到域中。
独立根CA可从网络中断开放置到安全的地方。
独立根CA可用于向组织外部的实体颁发证书,同企业根CA一样,独立根CA通常只向其下一级的独立CA颁发证书。
独立CA独立CA将直接组织外部的实体颁发证书。
建立独立CA需要以下支持:1.上一级CA:比如组织外部的第三方商业性的认证机构。
2.因为独立CA不需要加入到域中,因此要有对本机操作的管理员权限。
安装证书服务认证服务不是Windows2003的默认服务,需要在Windows2003安装完毕后手工添加。
要在一台服务器上安装企业根CA,需要以下操作步骤。
1.从“控制面板”,双击“添加/删除程序”,单击“添加/删除Windows组件”,选中“证书服务”,单击“下一步”。
如图5-3所示。
图6-3 添加证书服务2.选中“企业根CA”,并选中“高级选项”,单击“下一步”。
WindowsCA_证书服务器配置
WindowsCA_证书服务器配置Windows CA 证书服务器配置一、介绍Windows CA 证书服务器是用于创建和管理数字证书的工具。
本文将指导您如何配置 Windows CA 证书服务器以确保安全的证书管理和分发。
二、系统要求在开始配置 Windows CA 证书服务器之前,请确保系统满足以下要求:1、Windows Server 操作系统。
2、硬件资源满足最低配置要求。
3、网络连接稳定。
三、安装 Windows CA 证书服务1、打开“服务器管理器”。
2、在“角色和功能”窗口中,选择“添加角色和功能”。
3、在向导中,选择“角色基于功能或角色的安装”,并“下一步”。
4、选择要安装 Windows CA 证书服务的服务器,“下一步”。
5、在“选择服务器角色”窗口中,选中“Active Directory 统一访问角色”,“下一步”。
6、在“选择角色服务”窗口中,选中“证书授权服务”,“下一步”。
7、在“确认安装选择”窗口中,“安装”。
8、安装完成后,“关闭”。
四、配置 Windows CA 证书服务器1、打开“证书授权管理控制台”。
2、在左侧导航栏中,选择“证书授权站点”。
3、在右侧窗口中,“配置证书授权站点”。
4、在向导中,选择“企业证书授权站点”,“下一步”。
5、选择要使用的证书数据库类型,“下一步”。
6、配置站点设置,包括站点名称、默认访问 URL 等,“下一步”。
7、配置证书颁发策略,设置证书的颁发方式和条件,“下一步”。
8、配置证书申请策略,设置证书的申请方式和条件,“下一步”。
9、完成配置后,“完成”。
五、证书管理1、打开“证书授权管理控制台”。
2、在左侧导航栏中,选择“已颁发的证书”。
3、在右侧窗口中,可以查看和管理已颁发的证书。
六、证书分发1、打开“证书授权控制台”。
2、在左侧导航栏中,选择“颁发策略”。
3、在右侧窗口中,可配置证书颁发的策略。
4、在客户端申请证书时,其请求将被验证,并根据颁发策略进行处理。
配置 Lotus Domino 使用第三方 CA - Microsoft Windows CA
配置 Lotus Domino 使用第三方 CA - Microsoft Windows CA配置 Lotus Domino 使用第三方 CA - Microsoft Windows CA本文描述了如何在 Lotus Domino 中配置使用第三方 CA 提供的数字证书以进行 Domino Web 页面的 SSL 登录,以及在收发 Internet 邮件时如何使用第三方 CA 数字证书进行签名和加密,并以 Windows CA 为例,全程描述了证书申请、注册、使用的过程。
前言什么是 CACA 为 Certificate Authority 的缩写,也就是认证权威机构。
它提供数字证书的发放、管理、取消等服务。
认证权威机构将自己的公钥放在根证书里发布到互联网上,以证明该机构发放的服务器 和个人证书。
在互联网上通过数字证书来进行身份认证、数字签名、数字加密等操作,从而保证信息安全。
Domino 的安全机制在 Lotus Domino/Notes 里也需要有认证机制来保证服务器和个人用户的身份和信息安全。
不同于互联网上的 CA,Domino 的每个服务器和个人都拥有唯一的 ID 文件,而所有这些 ID 文件都是由一个根—— certifier ID 发放的。
这个根就是 Notes 层次名的最后一级。
Domino 里使用 ID 文件来完成邮件加解密、身份验证。
为什么使用第三方 CA为 了使 Domino 用户在 Notes 世界以外的互联网上保证身份验证的正确和信息传播的安全,需要使用 CA 来发放符合互联网标准的数字证书。
Lotus Domino 本身也带有 CA 服务,因而可以将 Domino 服务器配置成一个 CA,并使用 Domino CA 发放的数字证书或进行 SSL,或进行 internet 邮件的签名、加密等操作。
前文已经提到,互联网上存在独立 的认证权威机构。
常见的受信任的 CA 根证书已经被加载到常见浏览器和服务器中。
WindowsCA_证书服务器配置
12
CA的职责
CA中心的证书审批业务部门则负责对证书申请者进行资 格审查,并决定是否同意给该申请者发放证书,并承担因审 核错误引起的、为不满足资格的证书申请者发放证书所引起 的一切后果,因此,它应是能够承担这些责任的机构担任; 证书操作部门(Certificate Processor,简称CP)负责为已 授权的申请者制作、发放和管理证书, 并承担因操作运营错 误所产生的一切后果,包括失密和为没有授权者发放证书等, 它可以由审核业务部门自己担任,也可委托给第三方担任。
证书的版本信息; 证书的序列号,每个证书都有一个唯一的证书序列号; 证书所使用的签名算法; 证书的发行机构名称,命名规则一般采用X.500格式; 证书的有效期,现在通用的证书一般采用UTC时间格式; 证书所有人的名称,命名规则一般采用X.500格式; 证书所有人的公开密钥; 证书发行者对证书的签名
18
CA中心的作用
确定客户密钥生存周期,实施密钥吊销和更新管理
每一张客户公钥证书都会有有效期,密钥对生命周期的长短由签发 证书的CA中心来确定。各CA系统的证书有效期限有所不同,一般 大约为2~3年。
19
CA中心的作用
密钥更新不外为以下两种情况:密钥对到期、密钥泄露后需要启 用新的密钥对(证书吊销)。密钥对到期时,客户一般事先非常 清楚,可以采用重新申请的方式实施更新。
16
CA中心的作用来自自身密钥的产生、存储、备份/恢复、归档和销毁
从根CA开始到直接给客户发放证书的各层次CA,都有其自身的密 钥对。CA中心的密钥对一般由硬件加密服务器在机器内直接产生, 并存储于加密硬 件内,或以一定的加密形式存放于密钥数据库内。 加密备份于IC卡或其他存储介质中,并以高等级的物理安全措施保 护起来。密钥的销毁要以安全的密钥冲写标 准,彻底清除原有的 密钥痕迹。需要强调的是,根CA密钥的安全性至关重要,它的泄 露意味着整个公钥信任体系的崩溃,所以CA的密钥保护必须按照 最高安全级 的保护方式来进行设置和管理。
WindowsCA_证书服务器配置
WindowsCA_证书服务器配置Windows CA证书服务器配置指南一、引言Windows CA(Certificate Authority)是一种权威的证书颁发机构,负责为组织内部或互联网上的计算机、用户或设备颁发数字证书。
数字证书是一种用于验证实体身份的电子文档,可用于确保通信的安全性和完整性。
本文将详细介绍Windows CA证书服务器的配置方法,帮助您完成证书颁发的整个流程。
二、配置步骤1、安装证书服务在Windows服务器上安装证书服务,可以打开“服务器管理器”,然后从“角色”页面选择“添加角色”。
在“角色”对话框中,选择“证书”,然后按照向导完成安装。
2、创建根CA在安装完证书服务后,需要创建一个根CA。
在“服务器管理器”中,打开“证书”并选择“根CA”。
在“根CA”对话框中,输入CA的名称和其他相关信息,然后按照向导完成创建。
3、配置颁发机构策略在创建完根CA后,需要配置颁发机构策略。
在“服务器管理器”中,打开“证书”并选择“颁发机构”。
在“颁发机构”对话框中,选择“策略”选项卡,然后根据需要进行配置。
例如,可以设置证书的有效期、设置证书的主题和其他相关信息等。
4、配置申请策略在配置完颁发机构策略后,需要配置申请策略。
在“服务器管理器”中,打开“证书”并选择“颁发机构”。
在“颁发机构”对话框中,选择“申请”选项卡,然后根据需要进行配置。
例如,可以设置申请者的身份验证方法和证书模板等。
5、接受申请当有用户或设备需要申请数字证书时,需要在证书服务器上接受申请。
在“服务器管理器”中,打开“证书”并选择“颁发机构”。
在“颁发机构”对话框中,选择“申请队列”选项卡,然后双击需要处理的申请。
在“处理申请”对话框中,选择处理方式(例如自动批准或手动批准),然后按照向导完成处理。
6、颁发证书在处理完申请后,需要颁发数字证书。
在“服务器管理器”中,打开“证书”并选择“颁发机构”。
在“颁发机构”对话框中,选择“已颁发的证书”选项卡,然后双击需要颁发的证书。
【最新精选】图解windows2016证书服务配置
Win2003证书服务配置/客户端(服务端)证书申请/IIS站点SSL设置转载自“菩提树下的杨过”一.CA证书服务器安装1.安装证书服务之前要先安装IIS服务并且保证“WEB服务扩展”中的“Active Server Pages”为允许状态2.在“控制面板”中运行“添加或删除程序”,切换到“添加/删除Windows组件”页3.在“Windows组件向导”对话框中,选中“证书服务”选项,接下来选择CA类型,这里选择“独立根CA”4.然后为该CA服务器起个名字(本例中的名字为CntvsServer),设置证书的有效期限,建议使用默认值“5年”即可,最后指定证书数据库和证书数据库日志的位置后,就完成了证书服务的安装。
5.安装完成后,系统会自动在IIS的默认站点,建几个虚拟目录CertSrc,CertControl,CertEnroll二.客户端证书申请1. 运行Internet Explorer浏览器,在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”。
证书申请页面,输入相应的申请信息,然后点击[申请一个证书]。
接下来选择"Web浏览器证书"填写相关信息2. 系统将处理您提交的申请,此过程可能要等待10秒钟左右。
建议最好记下申请ID(本例为4)三。
客户端证书的颁发打开“管理工具”选择“证书颁发机构”,打开"挂起的申请",右击-->"颁发"四。
客户端证书的下载及安装1.运行Internet Explorer浏览器,在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”,选择“查看挂起的证书申请状态”2.找到自己申请的证书3.安装证书安装完成后,可到IE里查看刚刚安装好的证书五.服务器证书的申请1.以IIS的默认站为例,先右击站点,打开网站属性-->目录安全性-->服务器证书2.按IIS证书向导一步步提交服务器证书申请六。
Windows CA 证书服务器配置(二) —— 申请数字证书
Windows CA 证书服务器配置(二) ——申请数字证书在IE地址栏中输入证书服务系统的地址,进入服务主页:点击‘申请一个证书’进入申请页面:如果证书用作客户端身份认证,则可点击‘Web浏览器证书’或‘高级证书申请’,一般用户申请‘Web浏览器证书’即可,‘高级证书申请’里有更多选项,也就有很多专业术语,高级用户也可点击进入进行申请。
这里我们以点击申请‘Web浏览器证书’为例:申请‘Web浏览器证书’,‘姓名’是必填项,其他项目可不填,但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的,所以请尽量多填,并且填写真实信息,因为CA管理员会验证申请人的真实信息,然后进行颁发。
需注意的一点是,‘国家(地区)’需用国际代码填写,CN代表中国。
如果想查看更多选项,请点击‘更多选项’:在‘更多选项’里,默认的CSP为Microsoft Enhanced Cryptographic Provider v1.0,选择其他CSP不会对认证产生影响。
默认情况下‘启用强私钥保护’并没有勾选上,建议将它勾选上,点击提交后就会让申请人设置证书的安全级别,如果不将安全级别设置为高级并用口令进行保护,则只要机器上装有该证书,任何人都可以用它作为认证,所以建议将证书设置为高级安全级别,用口令进行保护。
以下将作相应操作,点击‘提交’:单击‘是’:单击‘设置安全级别’:将安全级别设置为‘高’,单击‘下一步’后会弹出口令设置窗口:输入口令,对证书进行加密,并记住密码,因为在以后调用该证书的时候,浏览器会弹出输入密码的窗口。
单击‘完成’:单击‘确定’,浏览器页面跳向如下:到这一步,申请人已经向CA服务器发送证书信息,并等待CA管理员对其进行核对,然后决定是否要颁发,如果CA管理员核对信息后决定颁发此证书,则申请人在其颁发之后再次访问该系统:点击‘查看挂起的证书申请状态’:该页面证明CA管理员已经颁发了申请人的证书,点击进入证书安装页面:点击‘安装此证书’:您应该已经信任CA机构,所以请单击‘是’:您已经成功安装数字证书。
WindowsCA_证书服务器配置
CA的架构
CA认证的主要工具是CA中心为网上作业主体颁发的数 字证书。CA架构包括PKI结构、高强度抗攻击的公开加解密 算法、数字签名技术、身份认证技 术、运行安全管理技术、 可靠的信任责任体系等等。从业务流程涉及的角色看, 包括 认证机构、数字证书库和黑名单库、密钥托管处理系统、证 书目录服务、证书审批和作废处理系统。从CA的层次结构来 看, 可以分为认证中心(根CA)、密钥管理中心(KM)、 认证下级中心(子CA)、证书审批中心(RA中心)、证书 审批受理点(RAT)等。CA中心一般要发布认证体系声明书, 向服务的对象郑重声明CA的政策、保证安全的措施、服务的 范围、服务的质量、承担的责任、操作流程等条款。
书是由权威公正的第三方机构即CA中心签发的,它在证书申 请被认证中心批 准后,通过登记服务机构将证书发放给申请
者。
14
CA中的数字证书
数字安全证书是一个经证书授权中心数字签名的包含公 开密钥拥有者信息以及公开密钥的文件。最简单的证书包含 一个公开密钥、名称以及证书授权中心的数字 签名。一般情 况下证书中还包括密钥的有效时间,发证机关(证书授权中心) 的名称,该证书的序列号等信息,证书的格式遵循ITUT X.509国际标准。一个标准的X.509数字安全证书包含以下一 些内容:
10
CA的架构
密钥的管理政策是把公钥和实体绑定,由CA中心把实体 的信息和实体的公钥制作成数字证书,证书的尾部必须有CA 中心的数字签名。由于CA中心的数字签名是不可伪造的,因 此实体的数字证书不可伪造。CA中心对实体的物理身份资格 审查通过后,才对申请者颁发数字证书,将实体的身份与数 字证书对应起来。由于实体都信任提供第三方服务的CA中心, 因此,实体可以信任由CA中心颁发数字证书的其他实体,放 心地在网上进行作业和交易。
CA证书服务配置
(1)开启两台windows server 2003,windows server 2003(1)作为CA证书服务器,windows server 2003(2)作为客户端①Windows server 2003(1)的IP地址为192.168.1.1 子网掩码为255.255.255.0 DNS为192.168.1.1,同为Vmnet3网段。
②Windows server 2003(2)的IP地址为192.168.1.2 子网掩码为255.255.255.0 DNS为192.168.1.1,同为Vmnet3网段。
③测试两台PC的连通性(2)在windows server 2003(1)配置Web服务①安装web服务,开始----控制面板----添加与删除程序----添加/删除windows组件②在E盘下建立一个ok文件夹,在此文件夹下建立一个index.htm的网页文档,里面内容为“很高兴为您服务”③配置web服务,开始----管理工具----Internet信息服务(IIS)管理器④右键“默认网站”----属性----主目录,将网页文档的存放位置添加上去⑤在客户端的IE浏览器输入服务器的IP地址,即http://192.168.1.1,看是否正常浏览(3)在windows server 2003(1)配置CA证书服务①安装CA证书服务,开始----控制面板----添加与删除程序----添加/删除windows组件②开始----管理工具----Internet信息服务(IIS)管理器,在默认网站下看是否成功建立CertSrv 的站点,出现则安装成功。
③右键“默认网站”----属性----目录安全性④申请一个证书,在CA证书服务器上的IE浏览器上输入http://192.168.1.1/certsrv⑤将挂起的证书颁发,开始----管理工具----证书颁发机构⑥下载证书,在CA证书服务器的IE浏览器输入http://192.168.1.1/certsrv⑦在windows server 2003(1)安装证书,开始----管理工具----Internet信息服务(IIS)管理器----右键“默认网站”----属性----目录安全性⑧启用安全通道SSL,开始----管理工具----Internet信息服务(IIS)管理器----右键“默认网站”----属性----目录安全性⑼在windows server 2003(2)IE浏览器输入https://192.168.1.1。
Windows网络操作系统电子教案-Windows网络服务器搭建-配置与管理证书服务器
五’
补充,对存在地问题行评析,加服务器。主要内容如下。 配置与管理证书地方法;
归 五’
纳
部署 web 服务器证书服务地方法。 总计
总 结
一 八 零’
拓展 提升
在默认情况下,IIS 使用 HTTP 协议以明文形式传输数据,没有采取任何加密措施,用 户地重要数据很容易被窃取,如何才能保护局域网地这些重要数据呢?我们可以使用 SSL 增强 IIS 服务器地通信安全。
此部分地内容是前课地内容,在此行复。
例 分一 析 五’
学 生 实 践
讲 讲解
授 示范(E)
一,课堂讲解
模仿
让浏览器信任 CA。
练(E)
网站 WEB 与运行浏览器地计算机都应该信任发放 SSL 证书地 CA,否则浏览器在 案
任 务 利用 https(SSL)连接网站时会显示警告信息。 四
例二
二,操作示范
教学方法 LEEPEE 教学法 项目驱动 案例教学
教学 教 环节 学
学内容
教 学时
方间 式
过 项目
一,企业项目导入
演
程 导入
根据如下图所示地环境来配置与管理证书服务器。利用 PKI 提供地密钥体系来实现 示 五’
(L) 数字证书签发,身份认证,数据加密与数字签名等功能,可以确保电子邮件,电子商务易,文 提
件传送等各类数据传输地安全。
问
设 计
• 图 配置与管理证书服务器
二,项目任务分析
具体要求如下: 掌握配置与管理证书。 掌握部署 web 服务器证书服务。
三,项目理论目地分析
一.分析知识目地
二.分析技能目地
讲解
示范(E)
模 仿 一,课堂讲解
windowsserver2016安装证书服务下载并信任证书
windowsserver2016安装证书服务下载并信任证书Windows Server 2016操作系统搭建⾃签名CA证书服务器(Microsoft Active Directory 证书服务)2020-12-10 发表关注2关注,3492浏览组⽹及说明Comware V7安全设备在开启ssl server-policy相关服务时,需要引⽤PKI的证书服务。
通常我们使⽤Windows Server 2016进⾏搭建⾃签名证书服务器。
Windows Server 2016操作系统安装可参考知了案例配置步骤1,打开服务器管理器,点击【添加⾓⾊和功能】。
2,以下步骤缺省点击【下⼀步】。
3,服务器⾓⾊需要勾选【Active Directory**证书服务】并点击该项⾃动弹出的【添加功能】,然后继续点击【下⼀步**】。
4,这⾥再勾选【证书颁发机构**Web注册】并点击该项⾃动弹出的【添加功能】,然后以下步骤缺省点击【下⼀步**】。
5,点击【安装】并等待安装完成。
6,在服务器管理器点击右上⾓提⽰,进⾏【配置⽬标服务器上的**Active Directory证书服务】,然后点击【下⼀步**】。
7,⾓⾊服务配置需要将前两个选项【证书颁发机构】和【证书颁发机构**Web注册】同时勾选,然后以下步骤缺省点击【下⼀步**】。
8,这⾥证书有效期建议设置为50年,继续【下⼀步】直到配置完成。
如果申请证书过程中有提⽰"为了完成证书注册,必须将该CA的⽹站配置为使⽤HTTPS⾝份验证":可以对IE浏览器进⾏如下操作:接着:继续在【受信任的站点】为准点击【⾃定义级别】,此时会弹出⼀个【安全设置】⼦界⾯,拖动滚动条,找到【对未标记为可安全执⾏脚本的ActiveX空间初始化并执⾏脚本】,将其勾选为【启⽤】,之后点击所有【确认】操作,直到【Internet选项】关闭为⽌。
10,在操作系统【Windows**管理⼯具】->【证书颁发机构**】组件中可以对证书进⾏管理。
Windows CA 证书服务器配置
Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装安装准备:插入Windows Server 2003 系统安装光盘添加IIS组件:点击‘确定’,安装完毕后,查看IIS管理器,如下:添加‘证书服务’组件:如果您的机器没有安装活动目录,在勾选以上‘证书服务’时,将弹出如下窗口:由于我们将要安装的是独立CA,所以不需要安装活动目录,点击‘是’,窗口跳向如下:默认情况下,‘用自定义设置生成密钥对和CA证书’没有勾选,我们勾选之后点击‘下一步’可以进行密钥算法的选择:Microsoft 证书服务的默认CSP为:Microsoft Strong Cryptographic Provider,默认散列算法:SHA-1,密钥长度:2048——您可以根据需要做相应的选择,这里我们使用默认。
点击‘下一步’:填写CA的公用名称(以AAAAA为例),其他信息(如邮件、单位、部门等)可在‘可分辨名称后缀’中添加,有效期限默认为5年(可根据需要作相应改动,此处默认)。
点击‘下一步’:点击‘下一步’进入组件的安装,安装过程中可能弹出如下窗口:单击‘是’,继续安装,可能再弹出如下窗口:由于安装证书服务的时候系统会自动在IIS中(这也是为什么必须先安装IIS的原因)添加证书申请服务,该服务系统用ASP写就,所以必须为IIS启用ASP功能,点击‘是’继续安装:‘完成’证书服务的安装。
开始》》》管理工具》》》证书颁发机构,打开如下窗口:我们已经为服务器成功配置完公用名为AAAAA的独立根CA,Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。
此时该服务器(CA)的IIS下多出以下几项:我们可以通过在浏览器中输入以下网址进行数字证书的申请:http://hostname/certsrv或http://hostip/certsrv申请界面如下:Windows CA 证书服务器配置(二) ——申请数字证书在IE地址栏中输入证书服务系统的地址,进入服务主页:点击‘申请一个证书’进入申请页面:如果证书用作客户端身份认证,则可点击‘Web浏览器证书’或‘高级证书申请’,一般用户申请‘Web浏览器证书’即可,‘高级证书申请’里有更多选项,也就有很多专业术语,高级用户也可点击进入进行申请。
微软系统工程师、微软企业架构专家课程-CA证书服务配置及管理(共78张PPT)
2 Click Request a certificate.
5 Install the certificate.
3
Select the type of certificate that you want to request.
4 Type or verify your identification.
入一个 AD DS 域。
用户提供标识信息并指定 的证书类型
不需要证书模板
所有证书请求保留挂起至 管理员批准
企业 CAs
需要使用 Active Directory®
需要 AD DS
可以使用组策略传播证 书受信任的根 CA 证书
存储 将用户证书和 CRL 发
布到 AD DS 颁发证书基于证书模板
支持自动注册签发证明 书
Contractor
组织单位
Partner
什么是经过认证层次结构?
在根目录 CA 级别的认证
Root CA Subordinate CA
Root CA Subordinate CA
Organization 1
Organization 2
经认证从属 CA 到根 CA
Root CA Subordinat证书
Discussion:用于实现 CA 选项
•优点和缺点使用外部公共 CA 是什么? •优点和缺点使用内部的 CA 是什么?
CA 类型
Root CA
• 是 CA 最受信任的类型在 PKI 基础结构中。
• 是自签名的证书。 • 其他问题证书从属 CA。 • 拥有物理安全及证书发行策略通常比从属 CA 更严格的
微软企业管理专家、微软企业架构专家课程
第六次课程
证书服务配 置及管理
windows建立CA服务器
Windows2003 server 建立CA服务器1.安装并开启IIS服务,开启支持ASP2.安装CA服务开始--〉设置--〉控制面板--〉添加/删除程序--〉添加/删除Windows组件--〉选中证书服务选择合适的CA类型,我们选择独立的根CA,下一步,CA的详细信息,下一步注:CA的公用名称根据自己情况录入。
指定存储配置数据、数据库和日志的位置。
系统会自动安装CA系统。
最后点击“完成”按钮来完成安装。
颁发证书打开计算机文件管理系统,选择管理工具——证书颁发机构选中刚建立的CA,选择属性——扩展——添加 (需要添加图片去介绍,否则表述不清楚。
)http://CA服务器IP/certenroll/CA的公用名称.crl3.访问CA服务通过WEB访问http://CA服务器IP地址/certsrv可以申请一张证书、查看证书请求状态、下载根证书4.颁发一个电子邮件保护证书打开http://CA服务器IP地址/certsrv点击申请证书——电子邮件保护证书,填入申请人信息并提交。
发的证书选中,选择操作——所有任务——颁发打开http://CA服务器IP地址/certsrv查看证书请求状态——电子邮件保护证书——安装此证书,完成。
*安装证书完成后,发送邮件时选签名,对方就会获得你的公钥,回邮件时就可以利用这个公钥进行加密。
5.申请Web浏览器证书并安装根证书打开http://CA服务器IP地址/certsrv点击申请证书——颁发Web浏览器证书,填入申请人信息并提交。
在CA服务器上打开管理工具——证书颁发机构——挂起的申请,找到需颁发的证书选中,选择操作——所有任务——颁发。
打开http://CA服务器IP地址/certsrv查看证书请求状态——Web浏览器证书——安装此证书,完成。
安装根证打开http://CA服务器IP地址/certsrv下载一个CA证书——下载CA证书——选择下载路径和证书名(证书名可起成方便记忆的名称)运行上面生成的根证选择安装证书选中将所有证书证入下列存储,点击浏览,按下图选择后确定,下一步,完成。
Windows网络服务搭建管理之3.《WEBFTP(服务器群集)CA证书配置详解
/445300/138815/Windows网络服务搭建管理之3.《WEB/FTP(服务器群集)CA证书配置详解》实验时间:2009-03-13 实验人:小风实验名称:2. WEB/FTP(服务器群集/负载平衡)CA证书服务器的搭建和配置实验任务和目标:《总的目标》v 在企业网络中实现IP地址的动态分配v 配置DNS服务器,完成域名解析v 利用IIS6.0配置企业Web网站v 配置和管理FTP服务器v 实现企业网络的RAS(远程访问服务)v 利用证书服务实现安全性v 网络负载平衡和服务器群集提高可靠性v 多域间的访问v 操作主机维护v 活动目录数据库维护v 监控服务器有两个域一个是是公司主域另一个是收购一家公司的域用信任关系使它们互相访问1、DHCPa.两个作用域b.按80/20规则建立两台DHCPc.授权d.为DNS,WEB,FTP等站点保留IP地址e.作用域选项f.DHCP数据库的备份2、DNSa.独立建立两台DNS,作为域的DNS和其它域名解析b.建立辅助DNS服务器c.在每个DNS上建立转发器,互相转发解析请求d.建立反向区域,为以后增加邮件做准备,并增加MX纪录e.设置区域复制要求,一个域中的DNS记录只能被它的辅助DNS复制f.假设公司马上要下设两个子公司,域名分别是和,给sjd做子域,给wm做委派3、web站点a.做一个外部web站点,域名是b.做一个内部站点,域名是c.为sjd域建立一个站点,通过不同的端口访问,可以达到简单的隐蔽作用d.在其它的计算机建立隐含共享,在web中建立虚拟目录,来访问其它计算机上的资源本身站点匿名访问,虚拟目录要输入用户名和密码来进行访问,基本站点都可以访问,虚拟目录只能本公司内的员工访问e.为虚拟目录加上ca证书,来保证数据传输的安全f.使用负载均衡来保证WEB的安全4、FTP站点a.为sjdwm使用serv-u建立ftp,建立一个总目录,目录下是每部门的目录,对于总目录结构任何人不能进行修改,也不能在总目录下添加或删除东西;每部门员工只能在自己部门下上传东西,部门有一个该部门的目录管理人员,此人可以整理目录内容;每人使用自己的账号登录FTP服务器,对主管的上传下载速度限制为40k,普通员工是20k,每个用户只能打开一个FTP连接,空闲5分钟就断开连接b.为sjd建立普通FTP,使用域来隔离用户c.使用一个服务器来对serv-u进行远程管理5、DCa.建立域b.为每部门建立OUc.OU中委派管理权d.每个部门建立一个全局组,将本部门的员工加入到全局-安全组中e.建立全局的通讯组,将本部门员工加入到全局-通讯组中,为以后的exchange做准备f.在中建立一个全局-安全组,名字是sjd,目的是为本公司支持域的人员建立组便于限制这些人使用域中资源,在域中建立本地域组,把sjd加入到本组,并对某个资料文件夹设置权限e.建立额外DC,将基础结构主机转移到额外DC上g.在DC上使用NTBACKUP建立计划备份任务,周一进行常规,周二到周五进行差异,便于以后进行授权和非授权的还原域要信任域6、建立一台VPN服务器a.为企业出差用户访问公司网络提供服务,IP地址由DHCP提供b.要求外部用户只能在周一到周五的早8点到晚6点之间进行访问,必须属于一个vpn组7、CAa.建立一个企业CA,为web站点颁发证书8、远程管理及性能监测a.对所以上述服务器进行pcanywhere的远程管理b.在web上启+用web应答和FTP的性能警报,启用三大硬件的警报;实验环境描述:2台路由,3台交换机,10台服务器,3台PC机实验拓扑及网络规划:总的拓扑图实验操作过程及配置说明:1、PKI系统中的数字证书简称证书它把公钥和拥有对应私钥的主体的标识信息(如名称、电子邮件、身证号等)捆绑在一起,证书的主体可以是用户、计算机、服务等,证书可以用于很多方面,Web 用户身份验证,Web 服务器身份验证,安全电子邮件Internet 协议安全(IPSec); 数字证书是由权威公正的第三方机构即CA签发的证书包含以下信息§使用者的公钥值§使用者标识信息(如名称和电子邮件地址)§有效期(证书的有效时间)§颁发者标识信息§颁发者的数字签名CA的核心功能就是颁发和管理数字证书具体描述如下v 处理证书申请v 鉴定申请者是否有资格接收证书v 证书的发放v 证书的更新v 接收最终用户数字证书的查询、撤销v 产生和发布证书吊销列表(CRL)v 数字证书的归档v 密钥归档v 历史数据归档证书的发放过程1)证书申请§用户根据个人信息填好申请证书的信息并提交证书申请信息2)RA确认用户§在企业内部网中,一般使用手工验证的方式,这样更能保证用户信息的安全性和真实性3)证书策略处理§如果验证请求成功,那么,系统指定的策略就被运用到这个请求上,比如名称的约束、密钥长度的约束等4)RA提交用户申请信息到CA§RA用自己私钥对用户申请信息签名,保证用户申请信息是RA提交给CA的2.先安装CA证书服务器(这在里要注意,安装CA之前先要装好IIS因为CA要IIS的支持)1.单击控制面板中的“添加或册除程序”,在windows组件向导中勾选“证书服务”复选框,单击“下一步”按钮。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装
2008-09-24 10:03
安装准备:插入Windows Server 2003 系统安装光盘
添加IIS组件:
点击‘确定’,安装完毕后,查看IIS管理器,如下:
添加‘证书服务’组件:
如果您的机器没有安装活动目录,在勾选以上‘证书服务’时,将弹出如下窗口:
由于我们将要安装的是独立CA,所以不需要安装活动目录,点击‘是’,窗口跳向如下:
默认情况下,‘用自定义设置生成密钥对和CA证书’没有勾选,我们勾选之后点击‘下一步’可以进行密钥算法的选择:
Microsoft 证书服务的默认CSP为:Microsoft Strong Cryptographic Provider,
默认散列算法:SHA-1,密钥长度:2048——您可以根据需要做相应的选择,这里我们使用默认。
点击‘下一步’:
填写CA的公用名称(以AAAAA为例),其他信息(如邮件、单位、部门等)可在‘可分辨名称后缀’中添加,有效期限默认为5年(可根据需要作相应改动,此处默认)。
点击‘下一步’:
点击‘下一步’进入组件的安装,安装过程中可能弹出如下窗口:
单击‘是’,继续安装,可能再弹出如下窗口:
由于安装证书服务的时候系统会自动在IIS中(这也是为什么必须先安装IIS 的原因)添加证书申请服务,该服务系统用ASP写就,所以必须为IIS启用ASP 功能,点击‘是’继续安装:
‘完成’证书服务的安装。
开始》》》管理工具》》》证书颁发机构,打开如下窗口:
我们已经为服务器成功配置完公用名为AAAAA的独立根CA,Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。
此时该服务器(CA)的IIS下多出以下几项:
我们可以通过在浏览器中输入以下网址进行数字证书的申请:http://hostname/certsrv或http://hostip/certsrv
申请界面如下:。