Windows系统下制作公钥私钥ssl证书
1.安装软件Win32OpenSSL_Light-1_1_0i.exe
2.进入C:\OpenSSL-Win32\bin目录下,双击openssl.exe,打开cmd窗口。(以下的命令均在openssl.exe窗口中执行)
3.使用version命令,查openssl版本
4.请求方(作为客户的我们)的操作
生成服务端(即网站)的私钥(key文件)及csr 文件(证书签名请求)
①生成网站私钥文件(后缀为.key)
genrsa -des3 -out server.key 2048
说明:生成rsa私钥,des3算法,2048位强度,server.key是秘钥文件名。注意:生成私钥,需要提供一个至少4位的密码。
②去除私钥密码(创建私钥的过程中,由于必须要指定一个密码。而这个密码会带来一个副作用,那就是在每次Apache启动Web服务器时,都会要求输入密码,这显然非常不方便。要删除私钥中的密码)。(实践中用ksweb时必须去除私钥密码,不然提示错误。所以在合并为pem文件时你必须去除私钥密码。)
rsa -in server.key -out server.key
此时需要输入创建私钥时输入的密码
生成无密码的私钥文件server.key,原私钥文件会被覆盖,需要注意。
③从私钥文件生成证书请求(签名请求)文件(后缀为.csr)
req -new -key server.key -out server.csr
(请求方的详细信息)
Country Name (2 letter code) [GB]: #所在国家代码(只支持两位字符)State or Province Name (full name) [Berkshire]: #州或省名
Locality Name (eg, city) [Newbury]: #所在城市的名字
Organization Name (eg, company) [My Company Ltd]: #组织或公司的名字
Organizational Unit Name (eg, section) []: #公司所在部门
Common Name (eg, your name or your server's hostname) []: #服务器名字或个人名字申请证书的域名(建议和httpd.conf中serverName必须一致否则有可能导致apache不能启动)
Email Address []: #邮箱地址
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: #加密证书请求的密码
An optional company name []:
注意:填写资料时除Common Name(常用名)一项必填外,其他都可以空
Common Name 这里填127.0.0.1或localhost
完成以后在bin文件夹下有了
server.key(网站服务器私钥)
server.csr(网站证书请求文件)
以上工作完成后,我们将server.csr文件(网站证书请求文件)发给CA。等待CA服务商审核通过后给我们发证书。
5.CA服务商做的工作
创建CA的证书:CA要想给别人发证首先自己得有证
生成(CA服务器的)私钥和X509格式的CA自签名证书,这是一步生成两个文件的命令,
req -new -x509 -keyout ca.key -out ca.crt
(CA服务商的详细信息)
Country Name (2 letter code) [GB]: #所在国家
State or Province Name (full name) [Berkshire]: #州或省名
Locality Name (eg, city) [Newbury]: #所在城市的名字
Organization Name (eg, company) [My Company Ltd]: #组织或公司的名字
Organizational Unit Name (eg, section) []: #公司所在部门
Common Name (eg, your name or your server's hostname) []: #服务器名字或个人名字
Email Address []: #Email地址
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: #加密证书请求的密码
An optional company name []: #
注意:
①生成私钥,需要提供一个至少4位的密码。
②输入证书信息时除Common Name(常用名,即最后显示的颁发者)一项必填外,其他都可以空(有一次啥也没填居然也行)
如果是服务器证书,common Name时输入域名。
如果生成个人证书,如用来加密签名电子邮件,commonName输入姓名,emailAddress是电子邮件地址
命令完成后,会在bin文件夹下生成两个文件
ca.key(CA服务器私钥。有去除私钥密码命令但不必这样)
ca.crt(根证书,也就是CA的自签名证书,说白了就是他自己的私钥签名的文件。梦溪博客说CA根证书(公钥),这从非对称加密的原理上讲是对的)
6.完成以上工作后,真正的签名,颁发证书开始了
CA服务商用生成的CA的证书为刚才生成的server.csr文件(即客户发来的证书请求文件)签名(我觉得是用CA的私钥签名,也许这个根证书有什么特殊地方。但基本原理不会变(这里不做深入研究)。一定是CA的私钥签名这个根本不会变)
x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 36500
如果CA私钥有密码则输入密码。完成后在bin文件夹下会生成文件server.crt(网站服务器证书)
7.使用证书:
有了CA服务商签名的server.crt这个SSL证书文件,我们就可以把自己的网站做成https能访问的了.(这也是我们买证书的目的)具体参考“phpstudy环境Apache配置下实现https访问和301重定向.doc”文档。
SSL证书验证过程解读及申请使用注意事项 SSL证书和我们日常用的身份证类似,是一个支持HTTPS网站的身份证明,由受信任的数字证书颁发机构CA(如沃通CA)验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。SSL证书里面包含了网站的域名,证书有效期,证书的颁发机构以及用于加密传输密码的公钥等信息,由于公钥加密的密码只能被在申请证书时生成的私钥解密,因此浏览器在生成密码之前需要先核对当前访问的域名与证书上绑定的域名是否一致,同时还要对证书的颁发机构进行验证,如果验证失败浏览器会给出证书错误的提示。 本文将对SSL证书的验证过程以及个人用户在访问HTTPS网站时,对SSL证书的使用需要注意哪些安全方面的问题进行描述。 一、数字证书的类型 实际上,我们使用的数字证书分很多种类型,SSL证书只是其中的一种。证书的格式是由X.509标准定义。SSL证书负责传输公钥,是一种PKI(Public Key Infrastructure,公钥基础结构)证书。 我们常见的数字证书根据用途不同大致有以下几种: 1、SSL证书:用于加密HTTP协议,也就是HTTPS。 2、代码签名证书:用于签名二进制文件,比如Windows内核驱动,Firefox插件,Java 代码签名等等。 3、客户端证书:用于加密邮件。 4、双因素证书,网银专业版使用的USB Key里面用的就是这种类型的证书。 这些证书都是由受认证的证书颁发机构CA(Certificate Authority)来颁发,针对企业与个人的不同,可申请的证书的类型也不同,价格也不同。CA机构颁发的证书都是受信任的证书,对于SSL证书来说,如果访问的网站与证书绑定的网站一致就可以通过浏览器的验证而不会提示错误。 二、SSL证书申请与规则 SSL证书可以向CA机构通过付费的方式申请,也有CA机构提供免费SSL证书如沃通CA。 CA机构颁发的证书有效期一般只有一年到三年不等,过期之后还要再次申请,在ssl 证书应用中企业网站应用较多。但是随着个人网站的增多,以及免费SSL证书的推出,个人网站ssl证书应用数量也在飞速增加。在百度开放收录https网站后,预计https网站将迎来井喷。 在申请SSL证书时需要向CA机构提供网站域名,营业执照,以及申请人的身份信息等。网站的域名非常重要,申请人必须证明自己对域名有所有权。此外,一个证书一般只绑定一个域名,比如你要申请域名时绑定的域名是https://www.doczj.com/doc/c117465520.html,,那么只有在浏览器地址是
《Windows系统管理》单科结业试题 考试说明:考试形式为选择题、实验题。其中选择题有一个或多个答案,全部选对才得分,错选、多选和少选均不得分,共15道题,每题3分,共计45分;实验题1道,计 55分。整张试卷满分100分,为闭卷考试,考试时间为90分钟。请将选择题的答案写在 答题纸上,实验题以电子形式提交实验报告。 一、选择题,单选或多选(共15题,每题3分,共45分) 1)以下对Windows 2008企业版硬件要求的描述中,错误的是()。(选择1项) a)CPU速度最低1GHz(x86)和(x64),推荐大于2GHz b)内存最低512MB,推荐不少于2GB c)硬盘可用空间不少于4GB,推荐40GB以上 d)硬盘可用空间不少于10GB,推荐40GB以上 2)在Windows 2008中,添加或删除服务器“功能”(例如telnet)的工具是()。(选 择1项) a)功能与程序 b)管理您的服务器 c)服务器管理器 d)添加或删除程序 3)在一台安装了Windows 2008操作系统的计算机上,如果想让用户具有创建共享文件 夹的权限,可以把该用户加入()。(选择1项) a)Administrators b)Power Users c)Backup Operators d)Print Operators 4)在Windows Server 2008中,可以通过二种方式来共享文件:通过公用文件夹共享文 件和通过任何文件夹共享文件。对于通过公用文件夹共享文件的说法错误的是()。 (选择1项) a)无法控制某个用户对于公用文件夹的访问权限 b)如果关闭共享,登录这台计算机的用户也不能访问公用文件夹 c)启用公用文件夹共享,则能访问网络的任何人都可以打开公用文件夹中文件 d)启用公用文件夹共享,默认Administrators组成员通过网络可以删除公用文件 夹中的文件 5)一台系统为Windows Server 2008的域控制器,()能将其活动目录数据库备份到本 地磁盘E盘。(选择2项) a)通过Windows Server Backup备份系统状态到E盘 b)在命令行模式下输入命令:wbadmin start systemstatebackup –backuptarget: e: c)复制C:\Windows文件夹到E盘 d)利用NTbackup备份系统状态到E盘 6)在Windows 2008中,对备份有了一定的改变。关于Windows 2008的备份叙述正确
如何通过SSL证书开启服务器443端口 前阵子遇到个问题,因为我们的网站是外贸网站,需要通过Paypal付款,但是,客户通过PP付款之后居然不能生成订单号,后来发现服务器的443端口是关闭状态,好了,问题来了:如何开启服务器的443端口呢? 深圳国际快递https://www.doczj.com/doc/c117465520.html,在这里分享一下开启443端口的经验: 第一:当然是配置硬件,把防火墙令443端口放行!具体办法朋友可以去百度一下哈,其实落伍里面也有! 第二,创建SSL证书,我个人觉得这个比较重要,下面把具体的方法分享给一下。 #LoadModule ssl_module modules/mod_ssl.so 的#去掉,开启SSL功能。 然后我们要新建一个SSL虚拟目录,监听443端口 一般情况下我使用centos的虚拟列表都会放到/etc/httpd/conf.d/目录下 依旧是在这个目录下新建一个ssl.conf,并且在你的网站列表新建一个ssl文件夹,我的习惯是/var/www/vhosts/ssl 将你的server.crt和ca-server.crt文件以及你原来生成的server.key文件一起上传到ssl文件夹内。 进入/etc/httpd/conf.d/ 输入 vi ssl.conf 使用vi编辑器编辑ssl.conf内容如下
Linux下利用openssl 生成SSL证书步骤 1、概念 首先要有一个CA根证书,然后用CA根证书来签发用户证书。 用户进行证书申请:一般先生成一个私钥,然后用私钥生成证书请求(证书请求里应含有公钥信息),再利用证书服务器的CA根证书来签发证书。 2、后缀详解 .key格式:私有的密钥 .csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request 的缩写 .crt格式:证书文件,certificate的缩写 .crl格式:证书吊销列表,Certificate Revocation List的缩写 .pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式 3、添加 index.txt 和 serial 文件 cd /etc/pki/CA/ touch /etc/pki/CA/index.txt touch /etc/pki/CA/serial echo 01 > /etc/pki/CA/serial 4、CA根证书的生成 4.1 生成CA私钥(.key) openssl genrsa -out ca.key 2048 [root@CA]# openssl genrsa -out ca.key 2048 Generating RSA private key, 2048 bit long modulus .............+++ .....+++ e is 65537 (0x10001) 4.2 生成CA证书请求(.csr) openssl req -new -key ca.key -out ca.csr [root@CA]# openssl req -new -key ca.key -out ca.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value,
“Windows网络操作系统管理”试题(2008年1月考) 一、填空题(每空2分,共20分) 1.一台基于Windows Server 2003的远程访问服务器主要支持两种远程访问连接类型,即: 拨号连接和VPN连接。 2.在一个Windows域森林中,森林根域的名字又被作为的名字。 3.DNS服务器支持两种查询类型:查询和反向查询。 4.在一个域中,计算机的角色主要有:域控制器、和工作站。 5.在网络中工作、使用网络资源的人被称为。 6.在一个Windows域中,组帐户的类型有两种:组和通讯组。 7.在一个TCP/IP网络中,为主机分配IP地址的方法有:手工分配和分配。 8.在一个Windows域中,从组的使用范围看,安全组又分为三种:组、本地 域组和通用组。 9.在一个Windows域树中,父域和子域之间自动被双向的、可传递的关系联 系在一起,使得两个域中的用户帐户均具有访问对方域中资源的能力。 10.为了实现完全合格域名(FQDN)解析的容错功能,可以在另一台DNS服务器上建立 某个主要区域的只读副本,这个副本被称为区域,它里面的资源记录内容与主要区域中的资源记录内容完全相同。 二、单项选择题(每小题2分,共20分) 1.将DNS客户机请求的完全合格域名解析为对应的IP地址的过程被称为()查询。 A.递归B.迭代C.正向D.反向 2.在安装DHCP服务器之前,必须保证这台计算机具有静态的()。 A.远程访问服务器的IP地址B.DNS服务器的IP地址 C.IP地址D.WINS服务器的IP地址 3.如果用户的计算机在查询本地解析程序缓存没有解析成功时希望由DNS服务器为其进 行完全合格域名的解析,那么需要把这些用户的计算机配置为()客户机。 A.WINS B.DHCP C.远程访问D.DNS 4.在一个Windows域树中,第一个域被称为()。 A.信任域B.树根域 C.子域D.被信任域 5.如果一台计算机采用()节点,那么当它需要解析目标计算机的NetBIOS名称时, 首先检查自己的NetBIOS 名称缓存,如果查询不到,则通过WINS服务器继续进行查询。如果WINS服务器也查询不到,再通过本地广播继续进行查询。 A.B节点B.P节点 C.M节点D.H节点
目录 一、活动目录配置基本知识.................................................... 1、活动目录的重要概念……………………………………… 2、活动目录安装前准备……………………………………… 3、活动目录安装……………………………………………… 二、windows2000/2003活动目录配置………………………… 1、windows2000活动目录配置……………………………… 2、windows2003活动目录配置………………………………
一、活动目录配置基本知识 1、活动目录的重要概念 (1)目录服务是一个什么东西 一个目录就是一个用于储存用户感兴趣对象信息的信息源。如一个电话号码目录储存了有关电话用户的信息。在一个文件系统中,目录就储存了有关文件的信息。 在一个分布式计算系统中或是一个公共计算机网络(如Internet)中,就有许多用户感兴趣的对象,如打印机、传真服务器、应用程序、数据库以及其他用户。用户想找到和使用这些对象,而管理人员则想管理对这些对象的使用。 在此文档中,术语目录和目录服务指在公共和私人网络中的目录。目录服务与目录的不同在于,它既是目录的信息源,而它的服务又可以使用户得到和利用信息。 (2)什么是活动目录 活动目录是Windows 2000 Server的目录服务。它扩展了以前基于Windows的目录服务,还加入了一些全新的特点。活动目录是安全的、分布式的、可分区的及可复制的。它设计成为可以在任何规模安装下良好工作,从带有几百个对象的单一服务器到成千个服务器和上百万个对象。活动目录加入了很多新的特性,使得在大规模信息的管理及在其中漫游变得很简单,为管理者和终端用户都节省了时间。 (3)为什么需要目录服务 目录服务是扩展的计算机系统的最重要组成元素之一。使用者及管理者经常不知道他们感兴趣对象的精确名字。他们可能知道对象的一个或更多属性,而且可以查询目录来得到符合属性的对象列表,例如:"查找在26楼中的所有双工打印机。"目录服务允许用户按指定属性查找任何对象。 目录服务可以: ?提高管理者定义的安全性来保证信息不受侵入者的损害。 ?将目录分布在一个网络中的多台计算机上。 ?复制目录使得更多用户获得它并且减少错误。 ?分配一个目录于多个存储介质中使得可以存储规模非常大的对象。 目录服务既是管理工具又是终端用户工具。当网络中对象的数目增加时,目录服务变得很重要。目录服务是一个大的分布系统的转换中心。 ①重要概念 用来描述活动目录的概念和术语中有些是新的,而另外一些则不是。不幸的是,一些已经采用一段时间的术语被用来表明不止一个特定事物。在继续前进之前,理解下面这些概念和术语在活动目录背景中如何定义是重要的。 ②范围
1.确定配置好java的环境变量 2.生成密钥库 新建一个密钥临时目录/home/genkey,并cd到/home/genkey 参数alias的为密钥标识第2、3、4步的命令中的alias必须完全一致 输入以下命令: keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 3650 -keypass changeit -storepass changeit -keystore server.keystore -validity 3600 按照提示输入信息,第一个名字与姓氏必须为localhost,其他可以随意填写。 执行成功后/home/genkey下生成了一个server.keystore文件。 Tomcat: 3.导出证书 keytool -export -trustcacerts -alias tomcat -file server.cer -keystore server.keystore -storepass changeit 执行成功后/home/genkey下生成了一个server.cer文件。
4.导入到java信任库中 keytool -import -trustcacerts -alias tomcat -file server.cer -keystore /opt/Java/jdk1.6.0_35/jre/lib/security/cacerts -storepass changeit /opt/Java/jdk1.6.0_35修改为服务器java安装目录再执行 5.修改tomcat配置 打开tomcat目录下conf/server.xml,修改keystoreFile及keystorePass
Windows系统管理员 一、配置Windows XP 培训目标:安装、管理和配置Windows XP Professional所需的知识和技能 1 安装Windows XP Professional 2 Windows XP Professional 自动化安装 3 在运行Windows XP Professional的计算机上配硬件 4 磁盘管理 5 配置和管理文件系统 6 引导过程和其他系统问题解决 7 桌面环境配置管理 8 配置TCP/IP寻址和命名解析 9 在Microsoft网络中配置Microsoft Windows XP Professional 10 远程桌面支持远程用户 11 为移动计算配置Windows Professional 12 性能和维护工具改善性能 13 配置应用程序兼容性 二、服务器环境管理: 目标:帮助您建立和管理Windows2003服务器 1 管理用户、计算机与组 2 管理文件与文件夹访问 3 实现与管理打印 4 Active Directory对象与委派控制 5 实现组策略 6 管理用户环境 7 Windows Server 2003安全设置 8 管理服务器 9 监视服务器性能 10 维护设备驱动程序 11 磁盘管理
12 文件存储管理 13 服务器灾难修复 14 管理软件更新服务 三、网络结构规划与管理: 培训目标:帮助您建立和管理一个真正的Win2003网络环境 1 TCP/IP协议组:OSI参考模型、TCP/IP协议组和网络监视器的使用 2 IP地址的分配:IP地址的基本知识、子网划分、使用IP路表和优化IP地址分配 3 IP地址配置:TCP/IP配置项目、TCP/IP配置方法、配置静态IP地址、配置动态IP地址、使用备用配置 4 名称解析:ARP地址解析、NetBIOS名称、静态名称解析、动态名称解析及名称解析过程 5 网络连续故障排除:确定产生网络连接故障的原因,如何使用Windows Server 2003提供的工具排除网络连接故障 6 企业中的路由规划; 7 使用DHCP为企业中的主机自动分配IP地址; 8 满足企业名称解析需求,使用DNS来实现主机名解析,使用WINS来实现NetBIOS名称解析; 9 使用IPSec来设计实现安全的网络通信过程;用证书服务来实现企业的安全身份验证过程; 10 企业对远程访问方案的需求,详细讲解了远程访问方案的设计实现,包括使用拨号访问、无线连接、VPN等多种方式进行远程访问,并设计实现远程访问的集中身份验证 四、网络架构计划维护 培训目标:帮助您掌握Windows2003网络环境规划和故障排错的技巧;帮助学员在分析具体案例的过程掌握对一个大型网络的分析和部署技巧 1 介绍Windows Server 2003 网络结构规划,工具,和文档 2 规划和优化TCP/IP物理和逻辑网络 3 路由的规划和排错 4 规划DHCP策略 5 DHCP排错 6 规划DNS策略 7 DNS 优化和排错
天威诚信SSL证书工具使用说明 天威诚信SSL证书工具专业版,集CSR生成、CSR校验、证书格式转换和证书配置检测于一体,在客户端上即可完成CSR 在线自动生成并能快速校验CSR信息,实现不同证书间的格式互转,快速有效的检测出证书的安装状态,操作简单,易于上手,是SSL证书安装使用过程中不可或缺的得力干将。 一,CSR生成 按照工具提示的信息填写您申请证书的真实信息,点击生成CSR文件。下图为填写示例:
*注:目前主流密钥算法为RSA,长度为2048位,签名算法为SHA256。 通过点击保存私钥文件和CSR文件,保存文件到本地。私钥文件您需要在本地备份并妥善保管,CSR申请文件需要提交给商务人员。 二,CSR校验 字符串校验:您可以打开制作的CSR文件,并把字符串复制到空白框中并点击“验证CSR 文件”。
文件校验:通过添加本地CSR文件并进行验证。 二,证书格式转换 1,PEM转JKS 1,首先准备好server.pem证书文件和server.key私钥文件。 2,将证书签发邮件中的包含服务器证书代码的文本复制出来(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘贴到记事本等文本编辑器中。在服务器证书代码文本结尾,回车换行不留空行,并粘贴中级CA证书代码(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”,每串证书代码之间均需要使用回车换行不留空行),修改文件扩展名,保存包含多段证书代码的文本文件为server.pem文件。 3,在源证书文件中录入server.pem,源私钥文件中录入server.key文件。(如果您的.key 私钥文件没有设置密码,源私钥密码处可以为空) 4,在“目标证书别名”选择中这是JKS文件密钥别名,并在“目标证书密码”中设置JKS 文件密码。
使用活动目录服务的好处是什么? 完全集成到Windows 2000 服务器版中的活动目录为网络管理员、开发者和用户提供了访问目录服务的能力,这样可以: ●简化管理任务 ●加强网络安全性 ●通过互操作使用现存网络 简化管理 分布式系统常常导致时间的消耗和管理的冗余。当公司在他们的基础结构上添加应用程序并雇用新的职员时,他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。通过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置,活动目录可以显著降低公司的管理费用。例如,活动目录在同一个位置管理Windows 2000用户和Microsoft Exchange邮箱信息。基于下列原因,活动目录可以从以下方面帮助公司简化管理: ●消除冗余管理任务提供对Windows用户账号、客户、服务器和应 用程序以及现存目录同步能力进行单一点管理。 ●降低桌面系统的行程针对用户在公司中所担当的角色自动向其分 发软件,以减少或消除系统管理员为软件安装和配置而安排的多次行程。 ●更好的实现IT资源的最大化安全地将管理功能分派到组织机构的 所有层次上。 ●降低总体拥有成本(TCO)通过使网络资源容易被定位、配置和 使用来简化对文件和打印服务的管理和使用。 活动目录如何简化管理 以层次化组织用户和网络资源,活动目录使管理员拥有对用户账号、客户、服务器和应用程序进行管理的单一点。这就减少了冗余的管理任务,同时,通过让管理员管理对象组或容器而非每个独立的对象来增加管理的准确性。 图4:活动目录简化了网络资源的管理 活动目录允许管理员分派特定的管理权限和任务给单独的用户和组,以便更好地使用系统管理资源。如上图所示,特定的管理任务,例如重新设置用户密码,可以被分派给市场机构的办公室管理员。更多的特权功能,如"创建用户",可以为IT管理员保留。 活动目录也允许组织机构针对用户在公司中所担当的角色自动地将软件分 发给他们。例如,一个公司可以指定职员容器中的所有用户(无论是从哪里登录到网络上的)均可使用人力资源管理应用程序。活动目录集中存储这些信息,同时,应用智能镜像管理技术自动安装所分配的应用程序,并给予用户访问其桌面系统的能力而无论用户正在使用网络中的哪个工作站。
产品名称:BENET 3.0 科目:Windows系统管理 单科结业——问卷 1.有一台Windows server2008服务器,管理员需要在服务器上创建一个共享文件夹,并且在其它计算机上无法通过“网络”浏览到该共享文件夹,可以使用(c )作为共享名。(选择一项) a) data b) Sdata c) data$ d) data* 2.在安装Windows server 2008的过程中显示器突然蓝屏,最可能是以下(d )原因导致的。选择一项) a)硬盘空间不足 b) 版本差异 c) 用户权限不够 d)硬件兼容性 3.你是一台Windows Server2008计算机的系统管理员,你正为—个NTFS分区上的文件夹aptech设置NTFS权限。用户帐号steven同时属于sales组和supports组,sales组对文件夹aptech有“读取和运行、列出文件夹目录、读取”权限,supports组对文件夹apte ch的权限为对应权限的拒绝权限。则当用户“even从本地访问文仵夹aptech时的权限是(d )。(选择一项) a) 读取 b) 读取和运行 c) 列出文件夹日录 d) 拒绝访问 d) 配置用户访问规则 4.公司网络采用Windows单域结构,域用户账户usera的登录时间属性如下图所示,以下说法正确的是(b )。 (选择二项)
a)作为域用户usera可以在任意时间登录域 b) usera如果在星期日(sunday)登录域会被拒绝 c)usera如果在星期六(Saturday)登录域会被拒绝 d) usera如果在星期四(Thursday)登录域会被允许 5.在Windows sever 2008系统中,卸载活动目录的命令是(c )。(选择一项) a) dcpromote b) promote c) dcpromo d) undcpromo 6.有一台处于工作组中的Windows server2008服务器,要配置该服务器上的本地用户帐户密码的长度不能小于8位,可以通过(d )工具进行配置。 (选择一项) a)计算机管理 b)域安全策略 c)域控制器安全策略 d)本地安全策略 7.在Windowsserver 2008支持的动态磁盘卷中,以下(c )的磁盘读写性能最高。(选择一项) a)跨区卷 b) 简单卷 c) 带区卷 d) 镜像卷 8.在WindowsServer 2008域中,在“销售部”OU上委派了普通域用户Iiqiang“重设用户密码并强制在下次登录时更改密码”的任务,关于此情况以下说法正确的是( d)。(选择一项) a)用户liqiang具有了更改所有域用户帐户密码的权限
Windows Server 2008 R2之活动目录服务部署 测试环境: 服务器:计算机名Win2008R2CNDC,已安装Windows Server 2008 R2。 IPV4:192.168.1.13,255.255.255.0,网关地址192.168.1.1 管理员:Bill.XU 实验要求:安装第一个企业根据域控制器域名为https://www.doczj.com/doc/c117465520.html,。 部署过程: 以下操作都是以管理员Bill.XU登录完成 方法一:手动部署 1、使用事件查看器(EventVWR.MSC),查看日志情况。并要所查看情况,进行系统诊断,确保安装前系统的状态正常 2、打开网络连接,设置网卡的IP4地址为一静态地址,同时将DNS服务器地址设置为127.0.0.1 3、运行DCPROMO,出现设置向导。设置过程如下图 检测系统是否安装AD域服务二进制文件,如果没有,系统会自动安装(也可以在运行命令之前,通过服务器管理器,添加活动目录域服务角色来安装) 出现活动目录域服务安装向导,选择高级模式(如果不选择此项,安装过程中将无法对有些设置进行更改,如域Netbios名的更改等)
由于这是森林中的第一台服务器,所以选择在新林中新建域。
功能级别,所提供的功能不同。如要使用R2新增的活动目录回收站功能,必须将功能级别提升到2008 R2功能级别。要使用棵粒化密码策略,须将功能级别提升到2008。R2新增了一种功能级别即2008 R2级别。注意功能级别的操作是单向,即当提升到一个高功能级别后,它不能再降为低功能级别。除非得新安装AD域服务 具体见: Appendix of Functional Level Features
制作和使用SSL证书 在Linux环境下,一般都安装有OPENSSL。下面的内容就是用OPENSSL快速制作root 证书以及客户端证书的步骤和方法。 1、初始准备工作 1)创建一个我们制作证书的工作目录 # mkdir CA # cd CA # mkdir newcerts private 2)制作一个我们创建证书时需要的配置文件,内容可以参考见 # cd CA # vi 3)创建我们自己的证书库的索引 # echo '01' >serial # touch 2、制作一个root证书 执行下面的命令 # openssl req -new -x509 -extensions v3_ca -keyout private/ \ -out -days 3650 -config ./ 在屏幕上会出现如下的交互内容,按照提示相应的信息。注意,一定要记住PEM,这个在以后生成客户端证书时都需要。 Using configuration from ./ Generating a 1024 bit RSA private key .......++++++ ..........................++++++ writing new private key to 'private/' Enter PEM pass phrase:demo Verifying password - Enter PEM pass phrase:demo ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value,
连云港职业技术学院 信息工程学院 《Windows服务器配置与管理》 大作业文档 题目:活动目录与用户管理 组别:无 姓名:张昭辉 学号: 12号 专业:计算机网络 091 导师:孙前 连云港职业技术学院信息工程学院 2010 年 12 月
摘要 本文档摘要: Active Directory又称为Windows2000server和Windows Server2003系统中非常重要的目录服务。Active Directory用于存储网络上各种对象的有关信息,包括用户账户、组、打印机、共享文件等,并把这些数据存储在目录服务数据库中,便于管理员和用户查询及使用。活动目录具有安全性、可扩展性、可伸缩性的特点,与DNS集成在一起,可基于策略进行管理。本文档主要是介绍活动目录的设置及通过活动目录进行用户管理的方法。 [关键词] 活动目录的概念、 活动目录与域、 域控制器(即Active Directory)的配置、 管理域用户和组、 新建组织单元、 管理组织单元、
目录 摘要 (2) 第一章引言 (4) 第二章域控制器(即Active Directory)的配置 (5) 2.1 活动目录配置前的准备工作 (5) 2.2 配置DNS服务器 (7) 2.3 配置域控制器(即Active Directory) (20) 第三章新建域用户和组 (30) 3.1 新建域用户 (30) 3.2 新建域组 (34) 第四章新建并管理组织单元 (38) 4.1 新建组织单元(OU) (38) 4.2 管理组织单元(OU) (39) 第五章总结 (44) 第六章参考资料与文献 (45)
信阳职业技术学院2017-2018学年第1学期 《Windows 系统安全管理》试卷 一、单项选择题(共30题,每小题2分,共60分) 1、以下对Windows 2012 R2企业版硬件要求的描述中,错误的是()。 A.最小CPU速率1.4GHz B.推荐CPU速率2GHz或更高 C.最低RAM容量512MB D.显示器分辨率必须1024*768 2、NTFS文件系统有哪些功能()。 A.访问控制列B.文件加密系统 C.压缩D.磁盘配额 3、在用光盘引导下安装Windows Server 2012 R2系统时首先需要设定BIOS启动项中哪项为第一启动项()。 A.Network boot from Intel B.Hard Drive C.Removable Devices D.CD-ROM drive 4、哪个命令可以修改系统配置信息、服务信息和启动信息()。 A.msconfig B.ipconfig C.ping D.cmd 5、NTFS文件操作权限有()。 A.列出文件夹B.读取数据 C.写入数据D.删除 6、Windows Server 2012 R2系统内置有哪两个账户()。 A.admin和Guest B.administrator和Guest C.Guest和root D.administrator和root lease 7、下面哪个命令用于查询当前用户账户的安全标识符()。 A.whoami /logonid B.msconfig C.ipconfig /all D.ping 8、对一个文件,()可以直接更改其访问控制权限。 A.Administrator B.文件所有者 C.拥有更改权限的用户 D.任何用户 9、创建新用户zzz,密码为y@123abc的命令是()。 A.net user zzz y@123abc B.net user zzz y@123abc /add C.net localgroup zzz y@123abc D.net localgroup zzz y@123abc /add 10、以下关于权限继承的描述中,()是错误的。 A.新建文件夹会继承上级的权限 B.子文件夹可以禁用继承的权限 C.上级文件夹可以强制子文件夹继承其权限 D.如果用户对子文件夹没有任何权限,也能够强制其继承上级文件夹的权限 11、NTFS的英文全称是()。 A.New Type File System B.New Technology Full Sys C.New Technology File System D.New Tech File Sys 12、E盘的文件系统为FAT,将FAT文件系统转换为NTFS文件系统的命令式()。 A.convert e: /fs:ntfs B.format e: /fs:ntfs C.convert /ntfs D.format e: 13、如USER账户属于A(读权限)、B (写权限)两个组,那么USER账户具有什么权限()。 A.读权限B.读写权限 C.写权限D.完全访问权限 14、在同一NTFS分区移动文件或文件夹时,权限()。 A.消失B.变为完全访问 C.不变D.变为只读 15、类别“读取”包括()权限。 A.列出文件夹/读取数据 B.读取属性 C.读取扩展属性 D.读取 16、对磁盘进行分区时,最多可以建几个主分区()。 A.1 B.2 C.4 D.8 17、动态磁盘中,具有容错功能的是哪个()。 A.简单卷B.跨区卷 C.带区卷D.RAID-5卷 18、以下()程序可以搭建FTP服务器。 A.IIS B.Serv-U C.FileZilla Client D.ftp命令行工具 19、Windows Server 2012 R2系统的Windows Server Backup功能,支持哪两种备份方式()。 A、完整服务器备份和自定义备份 B、完整服务器备份和部分备份 C、系统盘备份和非系统盘备份 D、系统盘备份和部分备份 《Windows 系统安全管理》试卷A
实验一Windows控制台命令(系统管理) 1.实验目的 (1)掌握命令行窗口的显示设置。 (2)学会系统的基本配置。 (3)显示系统的基本信息。 (4)掌握系统配置管理。 (5)任务管理。 2.实验工具 一台装有Windows XP或Windows 2003的机器。 3.预备知识 Help 有许多命令 cmd 启动Windows命令行窗口。 chcp 活动控制台代码页。 prompt 显示更改Windows命令提示符。 color 设置命令行窗口颜色。 title 命令行窗口标题。 date 显示或设置日期。 w32tm 时间服务。 doskey 创建宏。 systeminfo 显示系统信息。 mem 显示内存分配。 tasklist 显示任务进程。 taskkill 结束任务进程。 4.实验内容 (1)进入Windows 命令行窗口 (2)设置活动代码页 (3)显示更改windows命令提示符 (4)改变Windows命令行窗口的前景色和背景色 (5)改变命令行窗口标题 (6)显示或设置系统日期 (7)显示或设置系统时间 (8)显示当前时区设置 (9)创建宏 (10)显示系统信息 (11)显示内存分配 (12)命令tasklist:显示任务进程 (13)taskkill:结束任务进程 (14)宏命令的使用 (15)批处理文的建立和使用 垃圾清除: @echo off
echo 正在清除系统垃圾文件,请稍等…… del/f/s/q %systemdrive%\*.tmp del/f/s/q %systemdrive%\*._mp del/f/s/q %systemdrive%\*.log del/f/s/q %systemdrive%\*.gid del/f/s/q %systemdrive%\*.chk del/f/s/q %systemdrive%\*.old del/f/s/q %windir%\*.bak del/f/q %systemdrive%\recycled\*.* del/f/q %windir%\prefetch\*.* rd/s/q %windir%\temp & md % windir%\temp rd/s/q %temp% & md %temp% del/f/q %userprofile%\cookies\*.* del/f/q %userprofile%\recent\*.* rd/s/q"%userprofile%\Local Settings\Temporary Internet Files" cls & echo 清除系统垃圾完成! echo. & pause
SSL双向认证证书制作流程 ——含单向SSL 一、证书制作: 1、生成服务器密钥(库): keytool -genkey -alias server -keyalg RSA -keysize 2048 -validity 3650 -dname "CN=localhost,OU=DTY,O=BMC,L=Beijing,ST=Beijing,C=CN" -keypass 123456 -keystore server.jks -storepass 123456 CN:要签名的[域名]或[IP](说明:此处为要配置SSL服务器IP 或域名) OU:组织单位名称,如:[公司注册简称] O:组织名称,如:[公司英文全称] L:城市或地区名称,如:[Beijing] ST:州或省份名称,如:[Beijing] C:单位的两字母国家代码,如:[CN] 2、验证生成的服务器密钥(库): keytool -list -v -keystore server.jks -storepass 123456
3、为步骤1生成的服务器密钥(库)创建自签名的证书: keytool -selfcert -alias server -keystore server.jks -storepass 123456 4、验证生成的服务器密钥(库): keytool -list -v -keystore server.jks -storepass 123456
5、导出自签名证书: keytool -export -alias server -keystore server.jks -file server.cer -storepass 123456 说明:此证书为后续要导入到浏览器中的受信任的根证书颁发机构。 6、生成客户端密钥(库): 说明:keytool –genkey命令默认生成的是keystore文件,但为了能顺利导入到IE或其他浏览器中,文件格式应为PKCS12。 稍后,此P12文件将导入到IE或其他浏览器中。 keytool -genkey -alias client -keyalg RSA -keysize 2048 -validity 3650 -dname
活动目录服务的基本安装和配置 Active Directory 是用于Windows 2000 Server 的目录服务。它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。Active Directory 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。 Active Directory 是用于Windows 2000 Server 的目录服务。它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。Active Directory 目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。Active Directory 的优点:信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS 集成、与其他目录服务的互操作性、灵活的查询。 本章主要内容: 1、活动目录的基本概念及其作用 2、在安装活动目录前的目录规划 3、活动目录工具 6.1 活动目录的概念 6.1.1 域 域提供了多项优点: §组织对象。 §发布有关域对象的资源和信息。 §将组策略对象应用到域可加强资源和安全性管理。 §委派授权使用户不再需要大量的具有广泛管理权利的管理员。 要创建域,用户必须将一个或更多的运行Windows 2000 Server 的计算机升级为域控制器。域控制器为网络用户和计算机提供Active Directory 目录服务、存储目录数据并管理用户和域之间的交互作用,包括用户登录过程、验证和目录搜索。每个域至少必须包含一个域控制器。 域树和域林 活动目录中的每个域利用DNS 域名加以标识,并且需要一个或多个域控制器。如果用户的网络需要一个以上的域,则用户可以创建多个域。共享相同的公用架构和全局目录的一个或多个域称为域林。如图6.1 中所示,如果树林中的多个域有连续的DNS 域名,则该结构称为域树。