Windows Server網(wǎng)絡(luò)操作系統(tǒng)項(xiàng)目教程 課件 第10章 CA服務(wù)器配置管理

WindowsServer網(wǎng)絡(luò)操作系統(tǒng)項(xiàng)目教程（WindowsServer2019）（微課版）第10章CA服務(wù)器配置管理重點(diǎn)AKEY知識(shí)PKI技術(shù)的優(yōu)勢與應(yīng)用數(shù)字證書及其應(yīng)用規(guī)劃部署CA服務(wù)器配置客戶端計(jì)算機(jī)瀏覽器信任CA在Web服務(wù)器上配置證書服務(wù)公鑰基礎(chǔ)設(shè)施和數(shù)字證書技能實(shí)踐數(shù)字簽名10.1.1PKI的定義及組成PKI是利用公鑰密碼理論和技術(shù)建立起來的，它不針對(duì)具體的某一種網(wǎng)絡(luò)應(yīng)用，而是提供一個(gè)通用性的基礎(chǔ)平臺(tái)，并對(duì)外提供了友好的接口。PKI采用證書管理公鑰，通過CA把用戶的公鑰和其他標(biāo)識(shí)信息進(jìn)行綁定，實(shí)現(xiàn)用戶身份認(rèn)證。用戶可以利用PKI所提供的安全服務(wù)，保證傳輸信息的保密性、完整性和不可否認(rèn)性，從而實(shí)現(xiàn)安全的通信。PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等。PKI用公鑰概念和技術(shù)實(shí)施，支持公開密鑰的管理并提供真實(shí)性、保密性、完整性以及可追究性的安全基礎(chǔ)設(shè)施服務(wù)。10.1.1PKI的定義及組成完整的PKI系統(tǒng)包括五大部分。0102030405CA數(shù)字證書庫密鑰備份及恢復(fù)系統(tǒng)證書作廢系統(tǒng)APIPKI系統(tǒng)10.1.2PKI技術(shù)的優(yōu)勢與應(yīng)用1．PKI技術(shù)的優(yōu)勢PKI采用公開密鑰密碼技術(shù)，能夠支持可公開驗(yàn)證并無法仿冒的數(shù)字簽名，從而在支持可追究的服務(wù)上具有不可替代的優(yōu)勢。由于密碼技術(shù)的采用，保護(hù)機(jī)密性是PKI得天獨(dú)厚的優(yōu)點(diǎn)。由于數(shù)字證書可以由用戶獨(dú)立驗(yàn)證，不需要在線查詢，原理上能夠保證服務(wù)范圍的無限制擴(kuò)張，這使得PKI能夠成為一種可以服務(wù)巨大用戶群體的基礎(chǔ)設(shè)施。PKI提供了證書的撤銷機(jī)制，從而使得其應(yīng)用領(lǐng)域不受具體應(yīng)用的限制。PKI具有極強(qiáng)的互連能力。10.1.2PKI技術(shù)的優(yōu)勢與應(yīng)用2．PKI技術(shù)的應(yīng)用（1）VPN企業(yè)在架構(gòu)VPN時(shí)會(huì)利用防火墻和訪問控制技術(shù)來提高VPN的安全性，這只解決了很少的一部分問題，而一個(gè)現(xiàn)代VPN所需要的安全保障，如認(rèn)證、機(jī)密、完整、不可否認(rèn)以及易用性等都需要采用更完善的安全技術(shù)。就技術(shù)而言，除了基于防火墻的VPN之外，還可以有其他的結(jié)構(gòu)方式，如基于黑盒的VPN、基于路由器的VPN、基于遠(yuǎn)程訪問的VPN或者基于軟件的VPN。VPN的基本思想是采用秘密通信通道，用加密的方法來實(shí)現(xiàn)。其具體協(xié)議一般有3種：PPTP、L2TP和IPSec。10.1.2PKI技術(shù)的優(yōu)勢與應(yīng)用（2）安全電子郵件隨著Internet的持續(xù)發(fā)展，商業(yè)機(jī)構(gòu)或政府機(jī)構(gòu)都開始用電子郵件交換一些信息，這就引出了一些安全方面的問題：安全問題信任問題AB消息和附件可以在不為通信雙方所知的情況下被讀取、篡改或攔截沒有辦法可以確定一封電子郵件是否真的來自某人，也就是說，發(fā)信者的身份可能被人偽造利用數(shù)字證書和私鑰，用戶可以對(duì)其所發(fā)的電子郵件進(jìn)行數(shù)字簽名，這樣就可以保證電子郵件的可認(rèn)證性、完整性和不可否認(rèn)性。如果證書是由用戶所屬公司或某一可信任的第三方頒發(fā)的，那么收到電子郵件的人就可以信任該電子郵件，而不用管其是否認(rèn)識(shí)發(fā)送電子郵件的人。10.1.2PKI技術(shù)的優(yōu)勢與應(yīng)用（3）Web安全瀏覽Web頁面是人們常用的訪問Internet的方式。1234詐騙攻擊泄露篡改10.1.2PKI技術(shù)的優(yōu)勢與應(yīng)用（4）電子商務(wù)的應(yīng)用PKI技術(shù)是解決電子商務(wù)安全問題的關(guān)鍵，綜合PKI的各種應(yīng)用，可以建立一個(gè)可信任和足夠安全的網(wǎng)絡(luò)。其中有可信任的認(rèn)證中心，典型的如銀行、政府或其他第三方。在通信中，利用數(shù)字證書可消除匿名帶來的風(fēng)險(xiǎn)，利用加密技術(shù)可消除開放網(wǎng)絡(luò)帶來的風(fēng)險(xiǎn)，這樣，商業(yè)交易就可以安全、可靠地在網(wǎng)絡(luò)上進(jìn)行了。10.1.3數(shù)字證書及其應(yīng)用1．?dāng)?shù)字證書的基本內(nèi)容最簡單的數(shù)字證書包括所有者的公鑰、名稱及認(rèn)證機(jī)構(gòu)的數(shù)字簽名。通常情況下，數(shù)字證書還包括證書的序列號(hào)、密鑰的有效時(shí)間、認(rèn)證機(jī)構(gòu)名稱等信息。目前常用的數(shù)字證書是X.509格式的，它包括以下幾項(xiàng)基本內(nèi)容。證書的版本信息。證書的序列號(hào)，這個(gè)序列號(hào)在同一個(gè)證書機(jī)構(gòu)中是唯一的。證書的認(rèn)證機(jī)構(gòu)名稱。證書所采用的簽名算法名稱。證書的有效時(shí)間。證書所有者的名稱。證書所有者的公鑰信息。證書認(rèn)證機(jī)構(gòu)對(duì)證書的簽名。10.1.3數(shù)字證書及其應(yīng)用在IE瀏覽器的“Internet選項(xiàng)”對(duì)話框中選擇“內(nèi)容”選項(xiàng)卡，單擊“證書”按鈕，彈出“證書”對(duì)話框，從中可以查看本機(jī)已經(jīng)安裝的數(shù)字證書，如圖10.1所示。選擇某一個(gè)證書，單擊“查看”按鈕，彈出“證書”對(duì)話框，可以查看證書的常規(guī)信息、詳細(xì)信息等，如圖10.2和圖10.3所示。10.1.3數(shù)字證書及其應(yīng)用2．?dāng)?shù)字證書的應(yīng)用數(shù)字證書主要應(yīng)用于各種需要身份認(rèn)證的場合。保證網(wǎng)上銀行的安全通過證書防范網(wǎng)站被假冒發(fā)送安全郵件屏蔽插件安裝窗口防止網(wǎng)上投假票保護(hù)Office文檔安全公鑰基礎(chǔ)設(shè)施和數(shù)字證書技能實(shí)踐數(shù)字簽名10.2.1數(shù)字簽名概述數(shù)字簽名（又稱公鑰數(shù)字簽名）是只有信息的發(fā)送者才能生成的、別人無法偽造的一段數(shù)字，這段數(shù)字同時(shí)是對(duì)信息發(fā)送者所發(fā)送信息真實(shí)性的有效證明。它是一種類似寫在紙上的普通的物理簽名，使用了公鑰加密領(lǐng)域的技術(shù)來實(shí)現(xiàn)，它是用于鑒別數(shù)字信息的方法。一套數(shù)字簽名通常定義了兩種互補(bǔ)的運(yùn)算：一個(gè)用于簽名，另一個(gè)用于驗(yàn)證。數(shù)字簽名是非對(duì)稱密鑰加密技術(shù)與數(shù)字摘要技術(shù)的應(yīng)用。10.2.1數(shù)字簽名概述1．?dāng)?shù)字簽名的特點(diǎn)鑒權(quán)公鑰加密系統(tǒng)允許任何人在發(fā)送信息時(shí)使用公鑰進(jìn)行加密，在接收信息時(shí)使用私鑰解密。鑒權(quán)的重要性在財(cái)務(wù)數(shù)據(jù)上表現(xiàn)得尤為突出完整性雖然加密使得第三方想要讀取數(shù)據(jù)變得十分困難，但是第三方仍然能采取可行的方法在傳輸?shù)倪^程中修改數(shù)據(jù)，而數(shù)字簽名就可以驗(yàn)證數(shù)據(jù)的完整性不可抵賴性消息的接收方可以通過數(shù)字簽名來防止所有后續(xù)的抵賴行為，因?yàn)榻邮辗娇梢猿鍪竞灻宰C明信息的來源10.2.1數(shù)字簽名概述2．?dāng)?shù)字簽名的主要功能因?yàn)樗借€只有簽名者自己知道，所以其他人不可能進(jìn)行偽造防冒充（偽造）在網(wǎng)絡(luò)環(huán)境下，接收方通過數(shù)字簽名能夠鑒別發(fā)送方所宣稱的身份可鑒別身份對(duì)于數(shù)字簽名，簽名與原有文件已經(jīng)形成一個(gè)混合的整體數(shù)據(jù)，不可能被篡改防篡改（保證信息的完整性）在數(shù)字簽名中，如果對(duì)簽名報(bào)文采用了添加流水號(hào)、時(shí)間戳等技術(shù)，則可以防止重放攻擊防重放在數(shù)字簽名體制中，要預(yù)防接收方的抵賴，需要求接收方在收到信息后，返回一個(gè)自己簽名的表示收到的報(bào)文給發(fā)送方或者第三方防抵賴數(shù)字簽名可以加密要簽名的消息，當(dāng)然，如果簽名的報(bào)文不要求機(jī)密性，也可以不用加密機(jī)密性（保密性）10.2.2數(shù)字簽名的實(shí)現(xiàn)方法一個(gè)完善的數(shù)字簽名應(yīng)該解決3個(gè)問題。020103接收方能夠核實(shí)發(fā)送方的報(bào)文的簽名，如果當(dāng)事雙方對(duì)簽名真?zhèn)伟l(fā)生爭議，則應(yīng)該能夠在第三方的監(jiān)督下通過驗(yàn)證簽名來確認(rèn)其真?zhèn)伟l(fā)送方事后不能否認(rèn)自己對(duì)報(bào)文的簽名任何人都不能偽造發(fā)送方簽名，也不能對(duì)接收或發(fā)送的信息進(jìn)行篡改、偽造10.2.2數(shù)字簽名的實(shí)現(xiàn)方法數(shù)字簽名的實(shí)現(xiàn)思想假設(shè)發(fā)送方A要發(fā)送一個(gè)報(bào)文信息S給接收方B，那么A采用私鑰SKA對(duì)報(bào)文S進(jìn)行解密運(yùn)算（可以把這里的解密看作一種數(shù)學(xué)運(yùn)算，而不是一定要經(jīng)過加密運(yùn)算的報(bào)文才能進(jìn)行解密。這里A并非為了加密報(bào)文，而是為了實(shí)現(xiàn)數(shù)字簽名），實(shí)現(xiàn)對(duì)報(bào)文的簽名，并將結(jié)果DSKA（S）發(fā)送給接收方B。B在接收到DSKA（S）后，采用已知的A的公鑰PKA對(duì)報(bào)文進(jìn)行加密運(yùn)算，就可以得到S=EPKA（DSKA（S）），核實(shí)簽名，其實(shí)現(xiàn)過程如圖10.4所示。10.2.2數(shù)字簽名的實(shí)現(xiàn)方法為了使報(bào)文在傳輸過程中實(shí)現(xiàn)加密，采用如下方法：在將報(bào)文DSKA（S）發(fā)送出去之前，先用B的公鑰PKB對(duì)報(bào)文進(jìn)行加密；B在接收到報(bào)文后，先用私鑰SKB對(duì)報(bào)文進(jìn)行解密，再驗(yàn)證簽名，這樣可以達(dá)到加密和數(shù)字簽名的雙重效果，實(shí)現(xiàn)具有保密性的數(shù)字簽名，其實(shí)現(xiàn)過程如圖10.5所示。10.2.2數(shù)字簽名的實(shí)現(xiàn)方法數(shù)字簽名的功效能確定消息的完整性，因?yàn)閿?shù)字簽名的特點(diǎn)是它代表了文件的特征，文件如果發(fā)生改變，數(shù)字摘要的值也將發(fā)生變化能確定消息確實(shí)是由發(fā)送方簽名并發(fā)出的，因?yàn)閯e人假冒不了發(fā)送方的簽名不同的文件將得到不同的數(shù)字摘要。一次數(shù)字簽名涉及一個(gè)哈希函數(shù)、接收方的公鑰、發(fā)送方的私鑰。公鑰基礎(chǔ)設(shè)施和數(shù)字證書技能實(shí)踐數(shù)字簽名10.3技能實(shí)踐若使用WindowsServer2019的ADCS來提供CA服務(wù)，則可以選擇將CA設(shè)置為以下角色之一。企業(yè)根CA（EnterpriseRootCA）企業(yè)從屬CA（EnterpriseSubordinateCA）獨(dú)立根CA（StandaloneRootCA）獨(dú)立從屬CA（StandaloneSubordinateCA）10.3.1規(guī)劃部署CA服務(wù)器實(shí)現(xiàn)網(wǎng)站SSL連接訪問，部署CA服務(wù)器的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖10.6所示。1．項(xiàng)目規(guī)劃在部署CA服務(wù)器之前需完成如下配置。在服務(wù)器server-01上部署域環(huán)境，域名為。設(shè)置CA服務(wù)器的TCP/IP屬性，如設(shè)置其IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器的IP地址等相關(guān)信息。設(shè)置CA客戶端的TCP/IP屬性，如設(shè)置其IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器的IP地址等相關(guān)信息。10.3.1規(guī)劃部署CA服務(wù)器2．環(huán)境部署CA服務(wù)器的主機(jī)名為server-01，該主機(jī)既是域控制器、DNS服務(wù)器、Web服務(wù)器，又是CA服務(wù)器，連接外部網(wǎng)絡(luò)網(wǎng)卡的IP地址為00/24，默認(rèn)網(wǎng)關(guān)為。CA客戶端（Web客戶端）win10-user01的IP地址為0/24，網(wǎng)關(guān)為。10.3.2安裝證書服務(wù)并部署獨(dú)立根CA1．安裝證書服務(wù)以管理員賬戶登錄域控制器server-01，打開“服務(wù)器管理器”窗口，選擇“管理”→“添加角色和功能”命令，打開“添加角色和功能向?qū)А贝翱?，持續(xù)單擊“下一步”按鈕，直到進(jìn)入“選擇服務(wù)器角色”界面，如圖10.7所示，勾選“ActiveDirectory證書服務(wù)”復(fù)選框，在彈出的“添加角色和功能”對(duì)話框中單擊“添加功能”按鈕10.3.2安裝證書服務(wù)并部署獨(dú)立根CA持續(xù)單擊“下一步”按鈕，直到進(jìn)入“選擇角色服務(wù)”界面，在“角色服務(wù)”列表框中，勾選“證書頒發(fā)機(jī)構(gòu)”“證書頒發(fā)機(jī)構(gòu)Web注冊(cè)”“證書注冊(cè)Web服務(wù)”“證書注冊(cè)策略Web服務(wù)”復(fù)選框，如圖10.8所示，在隨后彈出的對(duì)話框中單擊“添加功能”按鈕，持續(xù)單擊“下一步”按鈕，直到進(jìn)入確認(rèn)安裝所選內(nèi)容界面，單擊“安裝”按鈕。安裝完成后，單擊“關(guān)閉”按鈕，重新啟動(dòng)計(jì)算機(jī)。10.3.2安裝證書服務(wù)并部署獨(dú)立根CA2．部署獨(dú)立根CA打開“服務(wù)器管理器”窗口，在“儀表板”右側(cè)單擊黃色正三角形圖標(biāo)，彈出“部署后配置”對(duì)話框，如圖10.9所示單擊“配置目標(biāo)服務(wù)器上的ActiveDirectory證書服務(wù)”鏈接，打開“ADCS配置”窗口，如圖10.10所示10.3.2安裝證書服務(wù)并部署獨(dú)立根CA單擊“下一步”按鈕，進(jìn)入“角色服務(wù)”界面，如圖10.11所示，勾選“證書頒發(fā)機(jī)構(gòu)”“證書頒發(fā)機(jī)構(gòu)Web注冊(cè)”“證書注冊(cè)策略Web服務(wù)”復(fù)選框單擊“下一步”按鈕，進(jìn)入“設(shè)置類型”界面，如圖10.12所示。10.3.2安裝證書服務(wù)并部署獨(dú)立根CA單擊“獨(dú)立CA”單選按鈕，單擊“下一步”按鈕，進(jìn)入“CA類型”界面，如圖10.13所示單擊“根CA”單選按鈕，單擊“下一步”按鈕，進(jìn)入“私鑰”界面，如圖10.14所示。10.3.2安裝證書服務(wù)并部署獨(dú)立根CA單擊“創(chuàng)建新的私鑰”單選按鈕，單擊“下一步”按鈕，進(jìn)入“CA的加密”界面，如圖10.15所示單擊“下一步”按鈕，進(jìn)入“CA名稱”界面，如圖10.16所示10.3.2安裝證書服務(wù)并部署獨(dú)立根CA指定CA名稱，單擊“下一步”按鈕，進(jìn)入“有效期”界面，如圖10.17所示，指定有效期，CA的有效期默認(rèn)為5年單擊“下一步”按鈕，進(jìn)入“CA數(shù)據(jù)庫”界面，如圖10.18所示10.3.2安裝證書服務(wù)并部署獨(dú)立根CA指定數(shù)據(jù)庫的位置，單擊“下一步”按鈕，進(jìn)入“CEP的身份驗(yàn)證類型”界面，如圖10.19所示，單擊“Windows集成身份驗(yàn)證”單選按鈕單擊“下一步”按鈕，進(jìn)入“服務(wù)器證書”界面，如圖10.20所示10.3.2安裝證書服務(wù)并部署獨(dú)立根CA單擊“為SSL加密選擇現(xiàn)有證書（推薦）”單選按鈕，指定服務(wù)器身份驗(yàn)證證書，單擊“下一步”按鈕，進(jìn)入“確認(rèn)”界面，如圖10.21所示單擊“配置”按鈕，顯示進(jìn)度安裝過程，最后進(jìn)入“結(jié)果”界面，如圖10.22所示，單擊“關(guān)閉”按鈕，完成獨(dú)立根CA的配置。10.3.2安裝證書服務(wù)并部署獨(dú)立根CA打開“服務(wù)器管理器”窗口，選擇“工具”→“證書頒發(fā)機(jī)構(gòu)”命令，打開“certsrv-[證書頒發(fā)機(jī)構(gòu)（本地）]”窗口，如圖10.23所示。10.3.2安裝證書服務(wù)并部署獨(dú)立根CA3．DNS服務(wù)器配置與測試網(wǎng)站準(zhǔn)備在域控制器server-01上配置DNS服務(wù)器，相應(yīng)操作如圖10.24所示。新建網(wǎng)站SSL-test-01，相應(yīng)操作如圖10.25所示。10.3.2安裝證書服務(wù)并部署獨(dú)立根CA為了測試SSL-test-01網(wǎng)站是否正常，在網(wǎng)站主目錄（D:\web）下創(chuàng)建index.html首頁文件，文件內(nèi)容為“welcometohere!”，在Web客戶端上進(jìn)行訪問測試，如圖10.26所示。10.3.3配置客戶端計(jì)算機(jī)瀏覽器信任CA以管理員賬戶登錄域控制器server-01，正確配置DNS服務(wù)器與Web網(wǎng)站，開啟默認(rèn)Web站點(diǎn)（DefaultWebSite）。在客戶端計(jì)算機(jī)（win10-user01）上打開IE瀏覽器，并在其地址欄中輸入U(xiǎn)RL“00/certsrv”，按“Enter”鍵，打開“MicrosoftActiveDirectory證書服務(wù)”窗口，如圖10.27所示。單擊“下載CA證書、證書鏈或CRL”鏈接，進(jìn)入“下載CA證書、證書鏈或CRL”頁面，單擊“下載CA證書”鏈接，在彈出的提示對(duì)話框中單擊“保存”按鈕右側(cè)的下拉按鈕，在下拉列表中選擇“另存為”選項(xiàng)，如圖10.28所示，將證書下載到本地C:\cert文件夾中，其默認(rèn)文件名為certnew.cer。10.3.3配置客戶端計(jì)算機(jī)瀏覽器信任CA按“Win+R”組合鍵，彈出“運(yùn)行”對(duì)話框，輸入mmc命令，單擊“確定”按鈕，打開“控制臺(tái)1-[控制臺(tái)根節(jié)點(diǎn)]”窗口，選擇“文件”→“添加/刪除管理單元”命令，如圖10.29所示彈出“添加或刪除管理單元”對(duì)話框，如圖10.30所示。10.3.3配置客戶端計(jì)算機(jī)瀏覽器信任CA在“可用的管理單元”列表框中選擇“證書”選項(xiàng)，單擊“添加”按鈕，彈出“證書管理單元”對(duì)話框，如圖10.31所示，單擊“計(jì)算機(jī)賬戶”單選按鈕，單擊“下一步”按鈕彈出“選擇計(jì)算機(jī)”對(duì)話框,單擊“本地計(jì)算機(jī)（運(yùn)行此控制臺(tái)的計(jì)算機(jī)）”單選按鈕，如圖10.32所示，單擊“完成”按鈕，返回“控制臺(tái)1-[控制臺(tái)根節(jié)點(diǎn)]”窗口。10.3.3配置客戶端計(jì)算機(jī)瀏覽器信任CA在“控制臺(tái)1-[控制臺(tái)根節(jié)點(diǎn)]”窗口中，選擇“控制臺(tái)根節(jié)點(diǎn)”→“證書（本地計(jì)算機(jī)）”→“受信任的根證書頒發(fā)機(jī)構(gòu)”→“證書”選項(xiàng)并單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“所有任務(wù)”→“導(dǎo)入”命令，如圖10.33所示，彈出“證書導(dǎo)入向?qū)А睂?duì)話框，如圖10.34所示。10.3.3配置客戶端計(jì)算機(jī)瀏覽器信任CA單擊“下一步”按鈕，進(jìn)入“要導(dǎo)入的文件”界面，如圖10.35所示選擇要導(dǎo)入文件的路徑，單擊“下一步”按鈕，進(jìn)入“證書存儲(chǔ)”界面，如圖10.36所示。10.3.3配置客戶端計(jì)算機(jī)瀏覽器信任CA單擊“將所有的證書都放入下列存儲(chǔ)”單選按鈕，單擊“下一步”按鈕，進(jìn)入“正在完成證書導(dǎo)入向?qū)А苯缑?，如圖10.37所示單擊“完成”按鈕，彈出“導(dǎo)入成功”提示對(duì)話框，如圖10.38所示。10.3.3配置客戶端計(jì)算機(jī)瀏覽器信任CA單擊“確定”按鈕，返回“控制臺(tái)1-[控制臺(tái)根節(jié)點(diǎn)]”窗口，選擇“控制臺(tái)根節(jié)點(diǎn)”→“證書（本地計(jì)算機(jī)）”→“受信任的根證書頒發(fā)機(jī)構(gòu)”→“證書”選項(xiàng)，在右側(cè)窗格中可以查看剛剛導(dǎo)入的證書abc-SERVER-01-CA，如圖10.39所示。10.3.4在Web服務(wù)器上配置證書服務(wù)1．在網(wǎng)站上創(chuàng)建證書申請(qǐng)文件以管理員賬戶登錄域控制器server-01，打開“服務(wù)器管理器”窗口，選擇“工具”→“InternetInformationServices（IIS）管理器”命令，打開“InternetInformationServices（IIS）管理器”窗口，選擇“SERVER-01（ABC\Administrator）”選項(xiàng)，在右側(cè)窗格中選擇“服務(wù)器證書”選項(xiàng)，如圖10.40所示，雙擊“服務(wù)器證書”選項(xiàng)，進(jìn)入“服務(wù)器證書”界面，如圖10.41所示。10.3.4在Web服務(wù)器上配置證書服務(wù)在“操作”選項(xiàng)組中單擊“創(chuàng)建證書申請(qǐng)”鏈接，彈出“申請(qǐng)證書”對(duì)話框，指定證書的必需信息（注：此處的通用名稱一定要與需要保護(hù)的Web網(wǎng)站的名稱一致，即“DNS1.”），如圖10.42所示，單擊“下一步”按鈕，進(jìn)入“加密服務(wù)提供程序?qū)傩浴苯缑?，如圖10.43所示。單擊“下一步”按鈕，進(jìn)入“文件名”界面，為證書申請(qǐng)指定文件名與存儲(chǔ)位置，如圖10.44所示，單擊“完成”按鈕，完成證書申請(qǐng)。10.3.4在Web服務(wù)器上配置證書服務(wù)2．申請(qǐng)證書與下載證書以管理員賬戶登錄域控制器server-01，打開“服務(wù)器管理器”窗口，選擇“本地服務(wù)器”選項(xiàng)，在右側(cè)窗格中，選擇“IE增強(qiáng)的安全配置”選項(xiàng)，單擊“啟動(dòng)”按鈕，彈出“InternetExplorer增強(qiáng)的安全配置”對(duì)話框，在“管理員”選項(xiàng)組中單擊“關(guān)閉”單選按鈕，如圖10.45所示。10.3.4在Web服務(wù)器上配置證書服務(wù)打開IE瀏覽器，并在其地址欄中輸入U(xiǎn)RL“00/certsrv”，按“Enter”鍵，打開“MicrosoftActiveDirectory證書服務(wù)”窗口，單擊“申請(qǐng)證書”→“高級(jí)證書申請(qǐng)”鏈接，進(jìn)入“高級(jí)證書申請(qǐng)”界面，如圖10.46所示。在開始下一個(gè)步驟之前，先利用記事本打開前面的證書申請(qǐng)文件“D:\cert\web-cert.txt”，再復(fù)制整個(gè)文件的內(nèi)容，如圖10.47所示。10.3.4在Web服務(wù)器上配置證書服務(wù)在“高級(jí)證書申請(qǐng)”界面中，單擊“使用base64編碼的CMC……”鏈接，進(jìn)入“提交一個(gè)證書申請(qǐng)或續(xù)訂申請(qǐng)”界面，將復(fù)制的證書申請(qǐng)文件內(nèi)容粘貼到“保存的申請(qǐng)”列表框中，如圖10.48所示單擊“提交”按鈕，進(jìn)入“證書正在掛起”界面，如圖10.49所示。10.3.4在Web服務(wù)器上配置證書服務(wù)開“服務(wù)器管理器”窗口，選擇“工具”→“證書頒發(fā)機(jī)構(gòu)”命令，選擇“證書頒發(fā)機(jī)構(gòu)（本地）”→“abc-SERVER-01-CA”→“掛起的申請(qǐng)”選項(xiàng)，在右側(cè)窗格中選擇證書請(qǐng)求并單擊鼠標(biāo)右鍵，在彈出的快捷菜單中選擇“所有任務(wù)”→“頒發(fā)”命令，如圖10.50所示。該證書由“掛起的申請(qǐng)”文件夾移動(dòng)到“頒發(fā)的證書”文件夾中，選擇“頒發(fā)的證書”選項(xiàng)，查看頒發(fā)的證書，如圖10.51所示。因?yàn)楠?dú)立根CA默認(rèn)不會(huì)自動(dòng)頒發(fā)證書，所以需要等待CA系統(tǒng)管理員發(fā)放此證書后，再連接CA下載證書，該證書ID為2。10.3.4在Web服務(wù)器上配置證書服務(wù)回到域控制器server-01上，打開IE瀏覽器，并在其地址欄中輸入U(xiǎn)RL“00/certsrv”，按“Enter”鍵，打開“MicrosoftActiveDirectory證書服務(wù)”窗口，單擊“查看掛起的證書申請(qǐng)的狀態(tài)”鏈接，進(jìn)入“查看掛起的證書申請(qǐng)的狀態(tài)”界面，如圖10.52所示單擊“保存的申請(qǐng)證書……”鏈接，進(jìn)入“證書已頒發(fā)”界面，單擊“Base64編碼”單選按鈕，單擊“下載證書”鏈接，在彈出的提示對(duì)話框中單擊“保存”按鈕，如圖10.53所示，將證書保存到本地，其默認(rèn)文件名為certnew.cer。10.3.4在Web服務(wù)器上配置證書服務(wù)3．安裝證書打開“服務(wù)器管理器”窗口，選擇“工具”→“InternetInformationServices（IIS）管理器”命令，打開“InternetInformationServices（IIS）管理器”窗口，選擇“SERVER-01（ABC\Administrator）”選項(xiàng)，在右側(cè)窗格中雙擊“服務(wù)器證書”選項(xiàng)，進(jìn)入“服務(wù)器證書”界面，如圖10.54所示，在“操作”選項(xiàng)組中單擊“完成證書申請(qǐng)”鏈接，彈出“完成證書申請(qǐng)”對(duì)話框，如圖10.55所示。10.3.4在Web服務(wù)器上配置證書服務(wù)設(shè)置包含證書頒發(fā)機(jī)構(gòu)響應(yīng)的文