WEB、FTP(服務器群集)CA證書配置詳解

Windows網(wǎng)絡服務搭建管理之3.《WEB/FTP（服務器群集）CA證書配置詳解》

實驗名稱：2.WEB/FTP（服務器群集/負載平衡）CA證書服務器的搭建和配置

實驗任務和目標：《總的目標》

v在企業(yè)網(wǎng)絡中實現(xiàn)IP地址的動態(tài)分配

v配置DNS服務器，完成域名解析

v利用IIS6.0配置企業(yè)Web網(wǎng)站

v配置和管理FTP服務器

v實現(xiàn)企業(yè)網(wǎng)絡的RAS（遠程訪問服務）

v利用證書服務實現(xiàn)安全性

v網(wǎng)絡負載平衡和服務器群集提高可靠性

v多域間的訪問

v操作主機維護

v活動目錄數(shù)據(jù)庫維護

v監(jiān)控服務器

有兩個域一個是是公司主域另一個是收購一家公司的域用信任關系使它們互相訪問

1、DHCP

a.兩個作用域

b.按80/20規(guī)則建立兩臺DHCP

c.授權

d.為DNS，WEB，F(xiàn)TP等站點保留IP地址

e.作用域選項

f.DHCP數(shù)據(jù)庫的備份

2、DNS

a.獨立建立兩臺DNS，作為域的DNS和其它域名解析

b.建立輔助DNS服務器

c.在每個DNS上建立轉發(fā)器，互相轉發(fā)解析請求

d.建立反向區(qū)域，為以后增加郵件做準備，并增加MX紀錄

e.設置區(qū)域復制要求，一個域中的DNS記錄只能被它的輔助DNS復制

f.假設公司馬上要下設兩個子公司，域名分別是和，

給sjd做子域，給wm做委派

3、web站點

a.做一個外部web站點，域名是

b.做一個內部站點，域名是

c.為sjd域建立一個站點，通過不同的端口訪問，可以達到簡單的隱蔽作用

d.在其它的計算機建立隱含共享，在web中建立虛擬目錄，來訪問其它計算機上的資源

本身站點匿名訪問，虛擬目錄要輸入用戶名和密碼來進行訪問，基本站點都可以訪問，虛擬目錄

只能本公司內的員工訪問

e.為虛擬目錄加上ca證書，來保證數(shù)據(jù)傳輸?shù)陌踩?/p>

f.使用負載均衡來保證WEB的安全

4、FTP站點

a.為sjdwm使用serv-u建立ftp，建立一個總目錄，目錄下是每部門的目錄，對于總目錄結構任何人不能

進行修改，也不能在總目錄下添加或刪除東西；每部門員工只能在自己部門下上傳東西，部門有一個

該部門的目錄管理人員，此人可以整理目錄內容；每人使用自己的賬號登錄FTP服務器，對主管的上傳

下載速度限制為40k，普通員工是20k，每個用戶只能打開一個FTP連接，空閑5分鐘就斷開連接

b.為sjd建立普通FTP，使用域來隔離用戶

c.使用一個服務器來對serv-u進行遠程管理

5、DC

a.建立域

b.為每部門建立OU

c.OU中委派管理權

d.每個部門建立一個全局組，將本部門的員工加入到全局-安全組中

e.建立全局的通訊組，將本部門員工加入到全局-通訊組中，為以后的exchange做準備

f.在中建立一個全局-安全組，名字是sjd，目的是為本公司支持域的人員建立組便于

限制這些人使用域中資源，在域中建立本地域組，把sjd加入到本組，并對某個資料文件夾

設置權限

e.建立額外DC，將基礎結構主機轉移到額外DC上

g.在DC上使用NTBACKUP建立計劃備份任務，周一進行常規(guī)，周二到周五進行差異，便于以后進行授權和

非授權的還原

域要信任域

6、建立一臺VPN服務器

a.為企業(yè)出差用戶訪問公司網(wǎng)絡提供服務，IP地址由DHCP提供

b.要求外部用戶只能在周一到周五的早8點到晚6點之間進行訪問，必須屬于一個vpn組

7、CA

a.建立一個企業(yè)CA，為web站點頒發(fā)證書

8、遠程管理及性能監(jiān)測

a.對所以上述服務器進行pcanywhere的遠程管理

b.在web上啟+用web應答和FTP的性能警報，啟用三大硬件的警報；

實驗環(huán)境描述：

2臺路由，3臺交換機，10臺服務器，3臺PC機

實驗拓撲及網(wǎng)絡規(guī)劃：總的拓撲圖

實驗操作過程及配置說明：

1、PKI系統(tǒng)中的數(shù)字證書簡稱證書

它把公鑰和擁有對應私鑰的主體的標識信息（如名稱、電子郵件、身證號等）捆綁在一起,證書的主體可以是用戶、計算機、服務等,證書可以用于很多方面,Web用戶身份驗證,Web服務器身份驗證,安全電子郵件

Internet協(xié)議安全（IPSec）;數(shù)字證書是由權威公正的第三方機構即CA簽發(fā)的

證書包含以下信息

§使用者的公鑰值

§使用者標識信息（如名稱和電子郵件地址）

§有效期（證書的有效時間）

§頒發(fā)者標識信息

§頒發(fā)者的數(shù)字簽名

CA的核心功能就是頒發(fā)和管理數(shù)字證書

具體描述如下

v處理證書申請

v鑒定申請者是否有資格接收證書

v證書的發(fā)放

v證書的更新

v接收最終用戶數(shù)字證書的查詢、撤銷

v產(chǎn)生和發(fā)布證書吊銷列表（CRL）

v數(shù)字證書的歸檔

v密鑰歸檔

v歷史數(shù)據(jù)歸檔

證書的發(fā)放過程

1）證書申請

§用戶根據(jù)個人信息填好申請證書的信息并提交證書申請信息

2）RA確認用戶

§在企業(yè)內部網(wǎng)中，一般使用手工驗證的方式，這樣更能保證用戶信息的安全性和真實性

3）證書策略處理

§如果驗證請求成功，那么，系統(tǒng)指定的策略就被運用到這個請求上，比如名稱的約束、密鑰長度的約束等

4）RA提交用戶申請信息到CA

§RA用自己私鑰對用戶申請信息簽名，保證用戶申請信息是RA提交給CA的

2.先安裝CA證書服務器（這在里要注意，安裝CA之前先要裝好IIS因為CA要IIS的支持）

1.單擊控制面板中的“添加或冊除程序”，在windows組件向導中勾選“證書服務”復選框，單擊“下一步”按鈕。

2.選擇CA類型為“企業(yè)根CA”,選中下面的“用自義設置生成密鑰對和CA證書”復選框，單擊中“下一步”按鈕。

3.在出現(xiàn)的“公鑰/私鑰對”中保持默認值，單擊“下一步”按鈕

4.證書服務安裝完成

5.生成證書申請《在這之前先把WEB服務器的IIS建起來》

在WEB/FTP服務器的IIS里添加證書

申請證書，是在WEB/FTP服務器上建好WEB服務后再申請（在域中證書服務器要設置密碼）

在第一臺WEB/FTP服務器上申請證書

C盤下的certreq.txt文件是申請證書時所填寫的個人信息，通過加密后自動存放在c盤在申請證書時要用到

在域環(huán)境中提交申請后CA服務器會自動頒發(fā)，所以就可以直接下載證書了

2、下載證書后在WEB服務器上安裝

證書安裝好了再在另一臺機子上訪問網(wǎng)頁看看

如果想要讓用戶只能通過安全通道看網(wǎng)頁就需要這樣設置

然后再訪問

這樣就能夠起到安全的做用了

3、配置WEB服務器，先安裝IIS服務

在windows組件中添加

建好的站點，建一個站點簡單，但主要的是做到安全，下面來說一下怎樣配置安全

使用證書可以讓站點提高安全（在上面證書中以經(jīng)說過怎樣添加證書）

還可以IP地址限制，下面是不讓訪問

結果顯示無權查看，同樣也可以設置只允許某些人訪問或某些人不能訪問

取消匿名訪問，這樣只有域中的用戶才可以訪問不是公司的用戶就不可以訪問

結果要輸入用戶名和密碼才可以訪問

在剛才新建的網(wǎng)站下創(chuàng)建虛擬目錄，虛擬目錄是解絕默認站點目錄空間不足時可以用站點以外的空間來存放文件，可以在同一臺主機或別的主機上

配置虛擬目錄

在一個服務器上配置多個站點，通過主機頭訪問（要有DNS支持）

主機頭的作用是在同一臺主機上放多個站點同一IP地址多個域名訪問不同的網(wǎng)頁

二、配置NLB群集網(wǎng)絡負載均衡、配置服務器群集雙機熱備ｗｉｎｄｏｗｓ群集技術能夠獨立使用或與其它產(chǎn)品聯(lián)合使用，提供可縮放的、可用性高的服務。ｗｉｎ２００３支持兩種類型群集：網(wǎng)絡負載均衡，服務器群集。做群集兩臺服務器都要兩塊網(wǎng)卡，一塊兩機互聯(lián)，一塊外網(wǎng)訪問在這里我把它單獨出來做了，方法是一樣的。ＮＬＢ群集最多可以３２臺服務器一個群集服務器群集最多可以８臺一個群集

實驗名稱：網(wǎng)絡負載均衡，服務器群集

實驗任務和目標：

配置NLB群集網(wǎng)絡負載均衡

配置服務器群集雙機熱備

1．實驗環(huán)境描述：三臺虛擬機，一臺做為IIS1和NLB1（兩塊網(wǎng)卡），另外一臺作為IIS2和NLB2（兩塊網(wǎng)卡），用一臺做DC和DNS，再把兩臺WEB機子加入域中，用真機做PC客戶端

2．實驗拓撲及網(wǎng)絡規(guī)劃：

實驗操作過程及配置說明：

網(wǎng)絡負載平衡（ＮＬＢ）群集增強了ｗｅｂ，ｆｔｐ，ｉｓａ，ｖｐｎ等服務的可靠性和可伸縮性。

1.建立DC和DNS服務器，在同一臺機器上建立

3．起兩臺虛擬機，一臺做為IIS1和NLB1，另外一臺作為IIS2和NLB2，首先把兩臺機子加入域中

4．在第一臺服務器上建立IIS1，在第二臺服務器上建立IIS2，并進行測試

第一臺主機上的網(wǎng)頁

第二臺主機上的網(wǎng)面

虛擬IP,也就是群集用的主IP，外網(wǎng)訪問就是訪問到這個IP地址，兩個IIS都用28

5．在第一臺服務器上建立群集，添加自己到群集中，再添加另外一臺機子到群集中

先建群集

虛擬IP,域名,選多播

刪除默認規(guī)則

先將自己加入群集（在域里先加自己再加別人，在工作組里先加別人再加自己）是兩臺服務器相連網(wǎng)卡的IP地址

添加主機的IP和優(yōu)先級

添加別的主機到此集里

要添加的主機IP

第二臺主機IP優(yōu)先級為2

一共添加了兩臺，虛擬IP為28

DNS上添加主機記錄，用域名訪問WEB

6．利用進行測試

在真機上設DNS25，用真機來測試

再用訪問

訪問到的是第每一個網(wǎng)頁

再把第一個主機網(wǎng)卡禁用再訪問它就會自動訪問第二臺主機上的網(wǎng)頁

也就說下雙機熱備吧，服務器群集（它最多可以８臺主機群集）而且只有兩個服務器版本可以做，一個是企業(yè)版一個是數(shù)據(jù)版（ＤａｔａｃｅｎｔｅｒＥｄｉｔｉｏｎ）

服務器群集是由獨立的計算機系統(tǒng)（稱為節(jié)點）構成的組，不同節(jié)點協(xié)同工作，就象單個系統(tǒng)一樣，從面確保關鍵的應用程序和資源始終可由客戶端使用。一般地，利用服務器群集技術可以實現(xiàn)ＤＨＣＰ、文件共享、后臺打印、ＭＳＳＱＬＳＥＲＶＥＲ、ＥｘｃｈａｎｇｅＳｅｒｖｅｒ等服務的可靠性。1．搭建DC和DNS，在同一臺機子上就可以

2．起兩臺虛擬機，第一臺做為節(jié)點1，第二臺作為節(jié)點2，把兩臺虛擬機加入到域中

3．在兩臺虛擬機都啟動起來后，都關閉，在第一臺虛擬機上添加一塊磁盤，并修改vmx文件，disk.locking=false加入在最后，啟動，利用磁盤管理工具進行分區(qū)（如果是用真機做有仲裁磁盤就不用這了，Vmware中不支持仲裁磁盤的所以才要修改下文件）

4．關閉第一臺虛擬機，在第二臺虛擬機上添加剛剛建立的那個虛擬磁盤，修改vmx文件，disk.locking=false加入上面那句話，修改完后啟動，給剛剛的磁盤添加一個盤符即可（兩臺主機用的是同一磁盤使用同一數(shù)據(jù)）

5．啟動第一臺虛擬機，在第一臺使用管理工具里的群集管理器來創(chuàng)建群集

6．在第二臺虛擬機上，使用群集管理器來連接到第5步的群集上，添加自己到群集里即可

添加完后就完成了，測試就留給喜歡這個技術的人了

4、配置FTP服務器

用serv-u做ｆｔｐ服務器ＩＩＳ中的ｆｔｐ服務可以滿足企業(yè)基本的需求，但如果ｆｔｐ站點要求對用戶的下載或上傳速度進行限制等功能，單純使用ＩＩＳ就無能為力了，本節(jié)介紹一種在ｗｉｎｄｏｗｓ平臺上經(jīng)常使用的一款ｆｔｐ服務的軟件ｓｅｒｖ－ｕ

實驗操作過程及配置說明：

1.ftp服務先說下（IIS）的安裝

第一步：配置默認站點

第二步：在客戶機上訪問ftp站點

第三步：配置隔離用戶的FTP站點