CA:Certificate Authority,证书权威机构,也称为证书颁发机构或认证中心)是PKI中受信任的第三方实体.负责证书颁发、吊销、更新和续订等证书管理任务和CRL发布和事件日志记录等几项重要的任务。首先,主体发出证书申请,通常情况下,主体将生成密钥对,有时也可能由CA完成这一功能,然后主体将包含其公钥的证书申请提交给CA,等待年批准。CA 在收到主体发来的证书申请后,必须核实申请者的身份,一旦核实,CA就可以接受该申请,对申请进行签名,生成一个有效的证书,最后,CA将分发证书,以便申请者可使用该证书。CRL:是被CA吊销的证书的列表。
基于WINDOWS的CA支持4种类型
企业根CA:它是证书层次结构中的最高级CA,企业根CA需要AD。企业根CA自行签发自己的CA证书,并使用组策略将该证书发布到域中的所有服务器和工作站的受信任的根证书颁发机构的存储区中,通常,企业CA不直为用户和计算机证书提供资源,但是它是证书层次结构的基础。
企业从属CA:企业从属CA必须从另一CA(父CA)获得它的CA证书,企业从属CA需要AD,当希望使用AD,证书模板和智能卡登录到运行WINDOWS XP和WIN2003的计算机时,应使用企业从属CA
独立根CA:独立根CA是证书层次结构中的最高级CA。独立根CA既可以是域的成员也可以不是,因此它不需要AD,但是,如果存在AD用于发布证书和证书吊销列表,则会使用AD,由于独立根CA不需要AD,因此可以很容易地将它众网络上断开并置于安全的区域,这在创建安全的离线根CA时非常有用。
独立从属CA:独立从属CA必须从另一CA(父CA)获得它的CA证书,独立从属CA可以是域的成员也可以不是,因此它不需要AD,但是,如果存在AD用于发布和证书吊销列表,则会使用AD。
下面来部署CA
一台是独立根CA,一台是独立从属CA
安装独立根CA
选中应用程序服务器和证书服务.
由于"证书服务WEB注册支持"需要依赖于IIS,所以要选中应用程序服务. 点详细看一看
点确定
这里选独立根CA并打上勾.
单击导入,可以使用现有的密钥对,就不用生成新的密钥.
密钥长度,根CA,默认长度为2048位,如果安装从属CA,默认密钥长度为1024位.
如果不选"允许此CSP与桌面交互"系统服务就无法与当前用户的桌面进行交互.
输入CA的公用名称,安装后就不能更改了.可修改默认的有效期限.
共享文件用于存储CA的相关信息以便用户查找,只有在安装独立的CA但不使用AD时才有用.
下面便开始安装了.
安装到一定的时候会出现下面对话框
默认安装IIS时并不启用ASP支持,因此在安装时会出现上面对话框.点击是.
下面来安装独立从属CA
同样选择应用程序服务器和证书服务
这里选择独立从属CA并勾上.
可以看到这里密钥长度默认是1024位
输入公用名称
有效期限取决于父CA
这里默认建立一个共享文件夹
如果父CA在线可用,则选中"将申请直接发送给网络上的CA".在文本框中输入父CA的计算机名,和父CA的名称.
如果父CA不在线可用,则选中"将申请保存到一个文件",并在申请文件文本框中输入将存储申请的文件的路径和文件名,然后使用此证书申请文件手工向父CA提交申请.
下面便开始安装了
安装时会出现上面对话框,确定便是了.
选是
点完成
下面来验证安装
可以看到根CA有上面这些文件便安装成功
也可以看服务
有图中的服务便安装成功
下面来看申请和颁发证书
现在来登录从属CA,打开"开始"-所有程序-INTERNET EXPLORER.打开IE
在地址栏中输入父CA的WEB支持页面的URL.然后单击申请一个证书
这里选高级证书申请
选下面那条
点浏览要插入的文件
这个是在建立从属CA时所创建的
然后点读取
最后点提交
这样便提交了一个证书申请然后在根CA上颁发证书
可以看到挂起刚才申请的证书.这里有两个,一个是管理员用户,一个是默认的计算机名.
实验二:安装和配置证书服务实验 实验目的: 1、安装一个独立存在的CA 2、从某个CA请求一个证书 3、发放证书 实验内容: 一、安装和设置证书服务 证书授权服务器是Windows 2000 Server的一个附件,它放在Windows 2000 Server的安装盘上。它可让你为建立和管理X509版本3的数字证书创建一个自定制的服务以作证书之用。你可以为Internet或者公司的内部网创建服务器证书,从而可让你的组织完全控制它自己的证书管理策略 它包含了一个向导来设置安装。要注意的是:你将需要在安装的时候提供精确的信息。在安装证书服务前先查看一下需要的信息。 要使用常用的设置选项来安装证书授权服务器附件,你可以使用以下的步骤: 1.将Windows 2000 Server CD-ROM放入光驱,然后选择Install Add-on Components 2.Windows组件向导将会提示你选择安装哪些组件。选择证书服务的选择框。你将会 马上看到一个对话框,提示你一旦安装证书服务,该计算机将不能重命名,也不能 加入或者由一个域中移走。 在选择YES来继续前,你应该考虑一下以下几点: 由于在安装证书服务后,除非你重新安装Windows 2000,否则你将不能修改计算机的名字,因此你需要确保你对当前的名字感到满意,或者在继续前先换一个名字。 在继续前你要确保计算机加入到适当的域中 3.接着,在Windows组件向导中选择证书授权类型,有四种类型: Enterprise root CA Enterprise subordinate CA Stand-alone root CA Stand-alone subordinate CA 4.一个网络上的第一个CA必须是一个root CA。要创建一个Enterprise CA,必须允 许Active Directory。一个Stand-alone CA 并不需要Active Directory。在你的局域网 中可选择Stand-alone CA 来实现证书服务。 证书授权服务不但定义证书服务功能如何在你的服务器上运作,还定义了你将需要如何来管理它。 5.在Windows组件向导中选择CA Identifying Information。输入适当的数据然后继续 安装。 6.在Windows组件向导中选择Data Storage Location。我建议使用默认的位置就可以 了。按Next继续。 7.如果你已经在你的计算机上安装并运行Internet Information Services,按Yes继续。 微软的证书服务将会提示你在继续安装前,必须停止Internet Information Services。 8.Windows组件向导将会设置组件,并且将文件拷贝到你的机器上。你可以通过安装 进度条来监视安装的过程。
CA(证书颁发机构)配置概述图解过程 一.CA(证书颁发机构)配置概述 由于现在安全问题日益严重,为了保证数据传输的性,交易者双方身份的确定性等问题,我们需要采用一种安全机制来实现这些功能,在这里我们来探讨以下PKI体系中的“证书”,也就是如何来构建一个CA的环境来保证安全性。 CA(证书颁发机构)主要负责证书的颁发、管理以及归档和吊销,我们可以把证书认为是我们开车需要使用的驾驶执照。证书包含了拥有证书者的、地址、电子、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能:加密、签名、身份验证。这里不在具体阐述加密相关知识,这里主要讨论如何来实现CA的环境。 CA的架构是一种层次结构的部署模式,分为“根CA”和“从属CA”:“根CA”位于此架构中的最上层,一般它是被用来发放证书给其他的CA(从属CA)。在windows系统中,我们可以构建4种CA:企业根CA和企业从属CA(这两种CA只能在域环境中);独立根CA 和独立从属CA。 安装CA:通过控制面板--添加删除程序--添加删除windows组件--证书服务,在安装过程中选择安装的CA类型,再这里我们选择独立根CA,输入CA名称以及设置有效期限,完成向导即可。(在这里注意:安装证书服务前先安装IIS)申请证书:CA服务装好以后就可以直接申请证书了,申请证书有两种方法:通过MMC控制台(此方法只适用于企业根CA和企业从属CA)和通过WEB浏览器。在这里我们只能选择WEB浏览器的方式,找到一台客户端计算机,在IE浏览器中输入[url]ca[/url]服务器的IP地址或者计算机名/certsrv 即可。然后选择申请新证书,选择证书的类型,输入正确的信息,即可获得证书。 使用证书:我们可以自己架设一个最简单的POP3服务器,来实现服务。现在假设lily 要向lucy发送一封加密和签名电子,在lily这边的outlook中选择工具----,选择lily的,再单击属性--安全,选择证书就可以了。在lucy处做同样的操作。 二.证书服务器图解过程试验拓扑:
服务器证书安装配置指南(Tomcat 6) 一、生成证书请求 1. 安装JDK 安装Tomcat需要JDK支持。如果您还没有JDK的安装,则可以参考Java SE Development Kit (JDK) 下载。下载地址: https://www.doczj.com/doc/f89730737.html,/javase/downloads/index.jsp 2. 生成keystore文件 生成密钥库文件keystore.jks需要使用JDK的keytool工具。命令行进入JDK下的bin目录,运行keytool命令。(示例中粗体部分为可自
定义部分,请根据实际配置情况作相应调整) keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore keystore.jks -storepass password 以上命令中,server为私钥别名(-alias),生成的keystore.jks文件默认放在命令行当前路径下。 3. 生成证书请求文件(CSR) Keytool -certreq -alias server -sigalg MD5withRSA -file certreq.csr -keystore keystore.jks -keypass password -storepass password
备份密钥库文件keystore.jks,并稍后提交证书请求文件certreq.csr,等待证书签发。 二、导入服务器证书 1. 获取服务器证书中级CA证书 为保障服务器证书在客户端的兼容性,服务器证书需要安装两张中级CA 证书(不同品牌证书,可能只有一张中级证书)。 从邮件中获取中级CA证书: 将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)分别粘贴到记事本等文本编辑器中,并修改文件扩展名,保存为intermediate1.cer和intermediate2.cer文件。 2. 获取服务器证书 您的keystore密码 将证书签发邮件中的从BEGIN到 END结束的服务器证书内容(包括
Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装安装准备:插入Windows Server 2003 系统安装光盘 添加IIS组件: 点击‘确定’,安装完毕后,查看IIS管理器,如下: 添加‘证书服务’组件:
如果您的机器没有安装活动目录,在勾选以上‘证书服务’时,将弹出如下窗口: 由于我们将要安装的是独立CA,所以不需要安装活动目录,点击‘是’,窗口跳向如下:
默认情况下,‘用自定义设置生成密钥对和CA证书’没有勾选,我们勾选之后点击‘下一步’可以进行密钥算法的选择:
Microsoft 证书服务的默认CSP为:Microsoft Strong Cryptographic Provider,默认散列算法:SHA-1,密钥长度:2048——您可以根据需要做相应的选择,这里我们使用默认。点击‘下一步’: 填写CA的公用名称(以AAAAA为例),其他信息(如邮件、单位、部门等)可在‘可分辨名称后缀’中添加,有效期限默认为5年(可根据需要作相应改动,此处默认)。 点击‘下一步’:
点击‘下一步’进入组件的安装,安装过程中可能弹出如下窗口: 单击‘是’,继续安装,可能再弹出如下窗口: 由于安装证书服务的时候系统会自动在IIS中(这也是为什么必须先安装IIS 的原因)添加证书申请服务,该服务系统用ASP写就,所以必须为IIS启用ASP 功能,点击‘是’继续安装:
‘完成’证书服务的安装。 开始》》》管理工具》》》证书颁发机构,打开如下窗口: 我们已经为服务器成功配置完公用名为AAAAA的独立根CA,Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。 此时该服务器(CA)的IIS下多出以下几项:
在IE地址栏中输入证书服务系统的地址,进入服务主页: 点击‘申请一个证书’进入申请页面: 如果证书用作客户端身份认证,则可点击‘Web浏览器证书’或‘高级证书申请’,一般用户申请‘Web浏览器证书’即可,‘高级证书申请’里有更多选项,也就有很多专业术语,高级用户也可点击进入进行申请。 这里我们以点击申请‘Web浏览器证书’为例: 申请‘Web浏览器证书’,‘姓名’是必填项,其他项目可不填,但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的,所以请尽量多填,并且填写真实信息,因为CA管理员会验证申请人的真实信息,然后进行颁发。 需注意的一点是,‘国家(地区)’需用国际代码填写,CN代表中国。 如果想查看更多选项,请点击‘更多选项’: 在‘更多选项’里,默认的CSP为Microsoft Enhanced Cryptographic Provider ,选择其他CSP不会对认证产生影响。 默认情况下‘启用强私钥保护’并没有勾选上,建议将它勾选上,点击提交后就会让申请人
设置证书的安全级别,如果不将安全级别设置为高级并用口令进行保护,则只要机器上装有该证书,任何人都可以用它作为认证,所以建议将证书设置为高级安全级别,用口令进行保护。以下将作相应操作,点击‘提交’: 单击‘是’: 单击‘设置安全级别’: 将安全级别设置为‘高’,单击‘下一步’后会弹出口令设置窗口: 输入口令,对证书进行加密,并记住密码,因为在以后调用该证书的时候,浏览器会弹出输入密码的窗口。 单击‘完成’: 单击‘确定’,浏览器页面跳向如下: 到这一步,申请人已经向CA服务器发送证书信息,并等待CA管理员对其进行核对,然后决定是否要颁发,如果CA管理员核对信息后决定颁发此证书,则申请人在其颁发之后再次访
C A服务器配置原理与图 解过程 SANY GROUP system office room 【SANYUA16H-
CA(证书颁发机构)配置概述图解过程 一.CA(证书颁发机构)配置概述 由于现在安全问题日益严重,为了保证数据传输的机密性,交易者双方身份的确定性等问题,我们需要采用一种安全机制来实现这些功能,在这里我们来探讨以下PKI体系中的“证书”,也就是如何来构建一个CA的环境来保证安全性。 CA(证书颁发机构)主要负责证书的颁发、管理以及归档和吊销,我们可以把证书认为是我们开车需要使用的驾驶执照。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能:加密、签名、身份验证。这里不在具体阐述加密相关知识,这里主要讨论如何来实现CA的环境。 CA的架构是一种层次结构的部署模式,分为“根CA”和“从属CA”:“根CA”位于此架构中的最上层,一般它是被用来发放证书给其他的CA(从属CA)。在windows系统中,我们可以构建4种CA:企业根CA和企业从属CA(这两种CA只能在域环境中);独立根CA和独立从属CA。 安装CA:通过控制面板--添加删除程序--添加删除windows组件--证书服务,在安装过程中选择安装的CA类型,再这里我们选择独立根CA,输入CA名称以及设置有效期限,完成向导即可。(在这里注意:安装证书服务前先安装IIS)申请证书:CA服务装好以后就可以直接申请证书了,申请证书有两种方法:通过MMC控制台(此方法只适用于企业根CA和企业从属CA)和通过WEB浏览器。在这里我们只能选择WEB浏览器的方式,找到一台客户端计算机,在IE浏览器中输入服务器的IP地址或者计算机名/certsrv即可。然后选择申请新证书,选择证书的类型,输入正确的信息,即可获得证书。 使用证书:我们可以自己架设一个最简单的POP3服务器,来实现邮件服务。现在假设lily要向lucy发送一封加密和签名电子邮件,在lily这边的outlook中选择工具--帐户--邮件,选择lily的帐户,再单击属性--安全,选择证书就可以了。在lucy处做同样的操作。 二.证书服务器图解过程试验拓扑: 试验内容以及拓扑说明:
Win2003证书服务配置/客户端(服务端)证书申请/IIS站点SSL设置 转载自“菩提树下的杨过” 一.CA证书服务器安装 1.安装证书服务之前要先安装IIS服务并且保证“WEB服务扩展”中的“Active Server Pages”为允许状态 2.在“控制面板”中运行“添加或删除程序”,切换到“添加/删除Windows组件”页
3.在“Windows组件向导”对话框中,选中“证书服务”选项,接下来选择CA类型,这里选择“独立根CA” 4.然后为该CA服务器起个名字(本例中的名字为CntvsServer),设置证书的有效期限,建议使用默认值“5年”即可,最后指定证书数据库和证书数据库日志的位置后,就完成了证书服务的安装。 5.安装完成后,系统会自动在IIS的默认站点,建几个虚拟目录CertSrc,CertControl,CertEnroll
二.客户端证书申请 1. 运行Internet Explorer浏览器,在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”。证书申请页面,输入相应的申请信息,然后点击[申请一个证书]。 接下来选择"Web浏览器证书"
填写相关信息
2. 系统将处理您提交的申请,此过程可能要等待10秒钟左右。建议最好记下申请ID(本例为4) 三。客户端证书的颁发
打开“管理工具”选择“证书颁发机构”,打开"挂起的申请",右击-->"颁发" 四。客户端证书的下载及安装 1.运行Internet Explorer浏览器,在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”,选择“查看挂起的证书申请状态” 2.找到自己申请的证书
Windows CA 证书服务器配置(二) ——申请数字证书在IE地址栏中输入证书服务系统的地址,进入服务主页: 点击‘申请一个证书’进入申请页面:
如果证书用作客户端身份认证,则可点击‘Web浏览器证书’或‘高级证书申请’,一般用户申请‘Web浏览器证书’即可,‘高级证书申请’里有更多选项,也就有很多专业术语,高级用户也可点击进入进行申请。 这里我们以点击申请‘Web浏览器证书’为例:
申请‘Web浏览器证书’,‘姓名’是必填项,其他项目可不填,但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的,所以请尽量多填,并且填写真实信息,因为CA管理员会验证申请人的真实信息,然后进行颁发。 需注意的一点是,‘国家(地区)’需用国际代码填写,CN代表中国。 如果想查看更多选项,请点击‘更多选项’:
在‘更多选项’里,默认的CSP为Microsoft Enhanced Cryptographic Provider ,选择其他CSP 不会对认证产生影响。 默认情况下‘启用强私钥保护’并没有勾选上,建议将它勾选上,点击提交后就会让申请人设置证书的安全级别,如果不将安全级别设置为高级并用口令进行保护,则只要机器上装有该证书,任何人都可以用它作为认证,所以建议将证书设置为高级安全级别,用口令进行保护。以下将作相应操作,点击‘提交’:
单击‘是’: 单击‘设置安全级别’: 将安全级别设置为‘高’,单击‘下一步’后会弹出口令设置窗口:
输入口令,对证书进行加密,并记住密码,因为在以后调用该证书的时候,浏览器会弹出输入密码的窗口。 单击‘完成’: 单击‘确定’,浏览器页面跳向如下:
Windows Server 2008上使用IIS搭建WEB服务器、客户端的数字证书应用(一)一、什么是数字证书及作用? 数字证书就是互联网通讯中标志(证明)通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA 机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。常用的密钥包括一个公开的密钥和一个私有的密钥即一组密钥对,当信息使用公钥加密并通过网络传输到目标主机后,目标主机必需使用对应的私钥才能解密使用。使用它主要是为了提高IT系统在敏感数据应用领域的安全性,为用户业务提供更高安全保障; 注:数字证书,下面均简称证书; 二、如何搭建证书服务器? 搭建证书服务器步骤如下: 1、登陆Windows Server 2008服务器; 2、打开【服务器管理器】; (图2) 3、点击【添加角色】,之后点击【下一步】;
(图3) 4、找到【Active Directory证书服务】勾选此选项,之后点击【下一步】;
(图4) 5、进入证书服务简介界面,点击【下一步】; (图5) 6、将证书颁发机构、证书颁发机构WEB注册勾选上,然后点击【下一步】;
(图6) 7、勾选【独立】选项,点击【下一步】;(由于不在域管理中创建,直接默认为:“独立”) (图7) 8、首次创建,勾选【根CA】,之后点击【下一步】;
一、相关内容说明 FTP是一个能够在本地文件系统和远程主机文件系统之间传送文件的应用程序,我们在局域网中可以很方便的利用FTP实现文件共享,而Web 服务是TCP/IP互联网中最重要的服务之一,因此FTP服务器和Web服务器的正确配置和管理能够保证信息的畅通和安全。配置和管理FTP服务器、Web服务器是网络管理员的基本任务。我们本次课的实验内容就是配置和管理FTP服务器、Web服务器。 目前运行在Windows操作系统上的IIS(Internet Information Services 的缩写),是一个World Wide Web server,Gopher server和FTP server全部包容在里面,因此是一款非常优秀的FTP、Web服务软件。IIS包括Web 服务器、FTP服务器、NNTP服务器和SMTP服务器。 其次,IIS是随Windows NT Server 4.0一起提供的文件和应用程序服务器,是在Windows NT Server上建立Internet服务器的基本组件。它与Windows NT Server完全集成,允许使用Windows NT Server内置的安全性以及NTFS文件系统建立强大灵活的Internet/Intranet站点。 二、本次实验内容 1.安装配置IIS 实验步骤如下: (1)IIS的添加 进入“控制面板”,依次选“添加/删除程序→添加/删除Windows组件”,将“Internet信息服务(IIS)”前的小钩去掉(如有),重新选中后按提示操作即可完成IIS组件的添加。用这种方法添加的IIS组件中将包括Web、FTP、NNTP和SMTP等全部四项服务。 (2)IIS的启动 如果IIS服务还没有启动(IIS中的默认Web站点、默认FTP站点等都显示停止),则使用下列方法启动。执行命令“开始→控制面板→管理工具→Internet服务管理器(Internet信息服务)”以打开IIS管理器,对于有“停
项目报告单 班级:网络141 姓名:台升宏学号:24 项目编号 1 项目名称WWW服务器配置实训对象计算机网络专业学生课程名称教材 目的WWW服务器配置 WWW服务器配置与管理实验报告 实验目的:正确理解WWW服务的运行机制,了解常用的wed服务器软件,掌握IIS服务器的安装和基本管理,创建wed 站点利用IIS在一台服务器上运行多个网站,掌握虚拟机主机和虚拟目录的创建删除。 实验步骤:(1)利用“配置您的服务器”向导安装IIS服务器。 在开始菜单中选择“管理工具”单击“配置您的服务器”根据向导选择应用程序服务器(IIS,ASP,NET)单击下一步,如下图所示: (2)利用添加删除程序配置IIS服务器,方法如下: 单击开始菜单,选择“控制面板”单击“添加删除程序”在窗口中选择“添加删除组件”出现组件对话框选择运用程序服务器”单击详细信息选择(IIS)单击确定,下一步。
配置完成后单击完成,出现管理界面,选择管理IIS服务器进入管理界面。在网站中右键选择新建网站,一次建立三个网站,如下图所示: 创建wed网站:
配置网站属性: 一、创建多IP站点及不同端口号: (1)站1的属性,在主目录选项卡中选择文件路径,文档添加wed文档,在网站选项卡里配置IP地址及端口号,注意要配置多IP创建多站点时要添加IP号在TCP/IP属性里单击高级添加不同的IP 号。用相同的方法依次配置完网站2、网站3的不同IP端口号。进行网站测试如下图所示。 (2)同端口号时,访问站点时要输入标准的URL来访问。
二、主机头名创建多网站: 首先要配置DNS服务器如下图:
Windows server 2008安装企业CA证书服务 CA(证书颁发机构) 为了保证网络上信息的传输安全,除了在通信中采用更强的加密算法等措施外,必须建立一种信任及信任验证机制,即通信各方必须有一个可以被验证的标识,这就需要使用数字证书,证书的主体可以是用户、计算机、服务等。证书可以用于多方面,例如Web用户身份验证、web服务器身份验证、安全电子邮件等。安装证书确保望上传递信息的机密性、完整性、以及通信双方身份的真实性,从而保障网络应用的安全性。 提示:CA分为两大类,企业CA和独立CA; 企业CA的主要特征如下: 1)企业CA安装时需要AD(活动目录服务支持),即计算机在活动目录中才可以。 2.当安装企业根时,对于域中的所用计算机,它都将会自动添加到受信任的根证书颁发机构的证书存储区域; 3.必须是域管理员或对AD有写权限的管理员,才能安装企业根CA; 独立CA主要以下特征: 1.CA安装时不需要AD(活动目录服务)。 2 .情况下,发送到独立CA的所有证书申请都 被设置为挂起状态,需要管理员受到颁发。 这完全出于安全性的考虑,因为证书申请者 的凭证还没有被独立CA验证; 在简单介绍完CA的分类后,我们现在AD (活动目录)环境下安装证书服务; 具体步骤如下: 1.域控制器上,在管理工具—服务器管理器—角色—打开添加角色向导—添加角色;AD安装服务; 2.点击—下一步,在选择角色服务中选择证书颁发机构和证书颁发机构Web注册;
3.在指定安装类型中选择”企业”,单击?下一步?; 4.在“CA类型中选择根CA”,单击下一步;
5.在设置私钥窗口中选择“新建私钥”,单击下一步; 6.在配置加密窗口,使用默认的加密服务程序、哈希算法和密钥长度,单击“下一步”;
Windows CA 证书服务器配置(一) ——Microsoft 证书服务安装 放入Windows Server 2003 系统安装光盘 添加IIS组件: 点击‘确定’,安装完毕后,查看IIS管理器,如下:
添加‘证书服务’组件: 如果您的机器没有安装活动目录,在勾选以上‘证书服务’时,将弹出如下窗口: 由于我们将要安装的是独立CA,所以不需要安装活动目录,点击‘是’,窗口跳向如下:
默认情况下,‘用自定义设置生成密钥对和CA证书’没有勾选,我们勾选之后点击‘下一步’可以进行密钥算法的选择: Microsoft 证书服务的默认CSP为:Microsoft Strong Cryptographic Provider,默认散列算法:SHA-1,密钥长度:2048——您可以根据需要做相应的选择,这里我们使用默认。点击‘下一步’:
填写CA的公用名称(以AAAAA为例),其他信息(如邮件、单位、部门等)可在‘可分辨名称后缀’中添加,有效期限默认为5年(可根据需要作相应改动,此处默认)。 点击‘下一步’:
点击‘下一步’进入组件的安装,安装过程中可能弹出如下窗口: 单击‘是’,继续安装,可能再弹出如下窗口: 由于安装证书服务的时候系统会自动在IIS中(这也是为什么必须先安装IIS的原因)添加证书申请服务,该服务系统用ASP写就,所以必须为IIS启用ASP功能,点击‘是’继续安装:
‘完成’证书服务的安装。 开始——管理工具——证书颁发机构,打开如下窗口: 我们已经为服务器成功配置完公用名为AAAAA的独立根CA,Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。 此时该服务器(CA)的IIS下多出以下几项:
WindowsCA证书服务器配置(二)——申请数字证书 在IE地址栏中输入证书服务系统的地址,进入服务主页:点击‘申请一个证书’进入申请页面:
如果证书用作客户端身份认证,则可点击‘浏览器W证e书b’或‘高级证书申请’,一般用户申请‘We浏b览器证书’即可,‘高级证书申请’里有更多选项,也就有很多专业术语,高级用户也可点击进入进行申请。 这里我们以点击申请‘浏W览eb器证书’为例:
申请‘Web浏览器证书’,‘姓名’是必填项,其他项目可不填,但由于CA服务器的管 理员是根据申请人的详细信息决定是否颁发的,所以请尽量多填,并且填写真实信息,因为CA管理员会验证申请人的真实信息,然后进行颁发。 需注意的一点是,‘国家(地区)’需用国际代码填写,CN代表中国。 如果想查看更多选项,请点击‘更多选项’:
在‘更多选项’里,默认的CSP为MicrosoftEnhancedCryptographicProviderv1.0, 选择其他CSP不会对认证产生影响。 默认情况下‘启用强私钥保护’并没有勾选上,建议将它勾选上,点击提交后就会让申请人设置证书的安全级别,如果不将安全级别设置为高级并用口令进行保护,则只要机器上装有
该证书,任何人都可以用它作为认证,所以建议将证书设置为高级安全级别,用口令进行保护。以下将作相应操作,点击‘提交’: 单击‘是’: 单击‘设置安全级别’:
将安全级别设置为‘高’,单击‘下一步’后会弹出口令设置窗口: 输入口令,对证书进行加密,并记住密码,因为在以后调用该证书的时候,浏览器会弹出输入密码的窗口。
滁州学院 课程设计报告 课程名称:计算机网络 设计题目:应用服务器配置与管理 系别:计算机科学与技术 专业:计算机科学与技术 组别:第三组 起止日期: 2010年12月27日~ 2011年 1月7 日指导教师:王汇彬 计算机科学与技术系二○一○年制 课程设计任务书
目录 1.引言 (1) 2.需求分析 (1) 2.1实验环境 (1) 2.1.1 实验设备 (1) 2.1.2 实验环境搭建 (1) 2.2设计思路 (1) 2.3设计要求 (2) 3. 概要设计 (2) 3.1设计的流程图 (2) 3.2服务器工作原理与功能 (2) 3.2.1 服务器工作原理 (2) 3.2.2 服务器的功能 (3) 4. 详细设计 (4) 4.1DHCP服务器的配置 (4) 4.2DNS服务器的配置 (4) 4.3WEB服务器的配置 (5) 4.4FTP服务器的配置 (5) 5. 调试与操作说明 (5) 5.1DHCP服务器测试与操作 (5) 5.2DNS服务器测试与操作 (6) 5.3WEB服务器测试与操作 (7) 5.4FTP服务器测试与操作 (9) 6. 课程设计总结与体会 (10) 致谢 (11) 参考文献 (11)
1.引言 当今世界,各种先进的科学技术飞速发展,给人们的生活带来了深远的影响,它极大的改善我们的生活方式。在以计算机技术为代表的信息科技的发展更是日新月异,从各个方面影响和改变着我们的生活,而其中的计算机网络技术的发展更为迅速,已经渗透到了我们生活的各个方面,人们已经离不开计算机网络,并且随着因特网的迅速普及,给我们的学习与生活条件带来更大的方便,我们与外部世界的联系将更加的紧密和快速。 随着人们对于信息资源共享以及信息交流的迫切需求,促使网络技术的产生和快速发展,计算机网络的产生和使用为人类信息文明的发展带来了革命性的变化。自1995年中国教育教研(CERNET)建成后,校园网的建设已经进入到一个蓬勃发展的阶段。校园网的建成和使用,对于提高教学和科研的质量、改善教学和科研条件、加快学校的信息化进程,开展多媒体教学与研究以及使教学多出人才、科研多出成果有着十分重要而深远的意义。校园网的建设需要服务器的配置,其主要包括为校园网络中心设计和建立服务器群,能够提供DNS,DHCP,WEB,FTP服务器。网络中的普通用户使用动态IP地址,在WEB服务器上设置两个不同的站点,使用户可用不同的名字访问不同的站点,而且用户可以使用网内的FTP服务器进行内部网络的上传、下载。FTP、Web服务器能够使用域名访问。通过这次应用服务器配置与管理设计,综合运用本专业所学课程的理论知识应用到实际实践中从而提高学生独立工作能力,巩固与扩充了应用服务器配置与管理设计课程所学的内容,掌握应用服务器配置与管理设计的方法和步骤,掌握应用服务器配置与管理设计的基本的技能。 2.需求分析 2.1 实验环境 2.1.1 实验设备 5台计算机,交换机,双绞线。 2.1.2 实验环境搭建 计算机A作为DHCP服务器、DNS服务器、WEB服务器、FTP服务器,安装windows server 2003操作系统。计算机B作为DHCP客户端,动态获取IP地址;计算机C作为DNS客户端,实现域名解析;计算机C作为WEB客户端,实现一机多站;计算机D作为FTP客户端,实现内部网络的上传、下载。 2.2 设计思路
Server 2016 + Win10 搭建CA证书登录环境 手记。 1.启动服务器管理器,添加角色和功能。 2.选择AD证书服务。 3.选择证书颁发机构Web注册。 4.IIS一般默认,或者再勾上.Net/CGI相应部分,WCF则需要在添加功能时选择http 激活。 5.安装等好。 6.CA配置: 7.选择证书颁发服务器; 8.右键属性,选择扩展选项卡; 9.CRL添加:其他删掉,留下http部分,参照http项添加一个,替换掉
18.关键:现在打开网页申请证书,密钥用法只有交换,申请格式只能PKCS10,需要 修改asp代码; 19.搜索certrqma.asp,检索if (0 == nSupportedKeyUsages),在前面插入一行代码 nSupportedKeyUsages = 3;,注意修改权限,将该asp文件所有者改为管理员,再将管理员的所有操作权限赋上; 20.CMC打开是在certsgcl.inc,检索isClientAbleToCreateCMC,将 sUserAgent.indexOf("Windows NT 10.0")!=-1也返回true; 21.此处申请格式必须为PKCS10; 22.在网页中申请客户端验证证书,服务器颁发,将SSL设置为必需。 23.打开IE测试。
公司文件服务器的搭建与管理
————————————————————————————————作者:————————————————————————————————日期:
北京****公司网络改造工程 一、需求分析 客户需求: 公司原来使用中所有数据是通过U盘交换,由于这样导致此工作十分不便,现需要改变这种状况。总经理说“这次网络更改希望能够加强企业信息的安全,只有自已能够修改和读取全公司文档,各部门经理可以阅读本部门所有文件,公司员工只能读取和修改自已的文档,一定要注意不宜公开的文件安全性。”市场部文件允许读取和修改,禁止删除。 完成数据备份,并模拟数据丢失进行还原。完成数据备份,并模拟数据丢失进行还原。 分析 用window sever2008建立一个公司的文件服务器,Windows sever 易操作,易管理。配合使用NTFS文件系统实现文件袋的访问限制,能解决公司的数据交换问题并增强数据的交换安全,文件访问限制。 建立公司的局域网络,用网络能交换数据的特性来代替以前U盘拷贝传输数据的方式。二、规划 根据客户提供的信息,总经理下属有财务部、人事部、市场部和技术部四个部门,各部门设有经理并有下属员工共计24人。 需要配有24台PC 机,文件服务器1台,交换机4台。 1、建立用户和组 (1、各部门名单,如下: 总经理:巫江 财务部:张静李媛(部门经理) 人事部:吴建忠陈奇法(部门经理) 市场部:冯爱军齐彬陆明陆明张辉贾继蛇刘立徐春廖国才尹强沈洪张巍 (部门经理) 技术部:刘京陈奕张萌金淮刘万军宋敏华朱悦明杨秀仁(部门经理)
为了实现公司每个员工使用独立的用户名和密码登录服务器,需要为每个员工创建独立的账户和登录密码。 (2、目录结构 张媛(部门经理) 李静 张巍(部门经理) 冯爱军齐彬 陆明张辉刘立 贾继蛇徐春 廖国才尹强沈洪 陈奇法(部门经理) 吴建忠 杨秀仁(部门经理) 刘京陈奕张萌 金淮刘万军 宋敏华朱悦明 总经理 人事部技术部 财务部市场部 (3、网络配置 本网络在192.168.0.X网段工作,网关地址为192.168.16.1 255.255.255.0。 内网地址规划如下: 财务部:192.168.16.3-----192.168.16.4 人事部:192.168.16.5-----192.168.16.6 市场部:192.168.16.7-----192.168.16.17 技术部:192.168.16.0-----192.168.16.23 总经理:192.168.16.2 文件服务器:192.168.16.1 (4、人员权限设置 文件夹用户和组NTFS权限共享权限备注 一级文件夹 北京荣新Administrator 默认权限Everyone 完全控制该级目录需要取消继承后设置-“复制” 巫江二级文件夹
课程设计报告 课程名称:网络设备配置与管理 课程设计名称:应用服务器配置与管理 系部名称:中印计算机软件学院 学生姓名: 班级:2014级计算机科学与技术 学号: 成绩: 指导教师: 开课时间:2016-2017学年第2学期期末考试
目录 摘要 (1) 关键词 (1) 1.引言 (2) 2.需求分析 (2) 2.1 实验环境 (2) 2.1.1 实验设备 (2) 2.1.2 实验环境搭建 (2) 2.2 设计思路 (3) 2.3 设计要求 (3) 3. 概要设计 (3) 3.1设计的流程图 (3) 3.2 服务器工作原理与功能 (4) 3.2.1 服务器工作原理 (4) 3.2.2 服务器的功能 (4) 4. 详细设计 (5) 4.1 VMware的搭建 (5) 4.2 DHCP服务器的配置 (6) 4.3 DNS服务器的配置 (7) 4.4 WEB服务器的配置 (7) 4.5 FTP服务器的配置 (8) 5. 调试与操作说明 (8) 5.1 DHCP测试与操作 (8) 5.2 DNS服务器测试与操作 (9) 5.3 WEB测试与操作 (10) 5.4 FTP测试与操作 (11) 6.总结 (14) 参考文献 (14)
摘要 VMware(中文名威睿”,纽约证券交易所“代码:VMW)虚拟机软件,是全球桌面到数据中心虚拟化解决方案的领导厂商。全球不同规模的客户依靠VMware来降低成本和运营费用、确保业务持续性、加强安全性并走向绿色。2008年,VMware年收入达到19亿美元,拥有逾150,000的用户和接近22,000多家合作伙伴,是增长最快的上市软件公司之一。VMware 总部设在加利福尼亚州的帕罗奥多市(Palo Alto)。 DHCP(dynamic host configuration protocol)动态主机配置协议,它是基于客户机-服务器模式的协议,dhcp服务器能从dhcp地址池中把ip地址分配给请求的dhcp客户机,同时也能够为其提供其它网络配置参数,如缺省网关、dns服务器、缺省路由和网络范围内主机映像文件的位置等。 DNS(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP 数串。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。 WEB的本意是蜘蛛网和网的意思,在网页设计中我们称为网页的意思。现广泛译作网络、互联网等技术领域。表现为三种形式,即超文本(hypertext)、超媒体(hypermedia)、超文本传输协议(HTTP)等。 FTP 是File Transfer Protocol(文件传输协议)的英文简称,而中文简称为“文传协议”。用于Internet上的控制文件的双向传输。同时,它也是一个应用程序(Application)。基于不同的操作系统有不同的FTP应用程序,而所有这些应用程序都遵守同一种协议以传输文件。在FTP的使用当中,用户经常遇到两个概念:"下载"(Download)和"上传"(Upload)。"下载"文件就是从远程主机拷贝文件至自己的计算机上;"上传"文件就是将文件从自己的计算机中拷贝至远程主机上。用Internet语言来说,用户可通过客户机程序向(从)远程主机上传(下载)文件。 关键词:虚拟机;DHCP;NDS ;WEB;FTP;文传协议;下载;上载
《Windows服务器配置与管理》期末考试试题 一、考试环境: 说明:在完成考试题目的时候,不需要同时开所有虚拟机系统。根据题目要求开启相应的虚拟机,并按照题目说明修改虚拟机参数(参考上课时的实验环境),为了避免前面的操作对后面产生影响,请记得先为虚拟机创建快照。 为了方便识别,请在所有虚拟机名称后面加上自己姓名拼音大写字母和学号,假设1号的同学名叫刘卓华,就要设置成“局域网服务器(LZH01)”、“双网卡服务器(LZH01)”。截图的时候,截取VMWARE 的界面,要能看到完整的实验环境。如下图所示: 二、考试工作场景描述: LZH01公司的网络是一家典型的中等规模的企业网络环境,公司已经完成了网络架构的设计和施工工作,现在需要完成企业网络服务的设计、架设和实施工作。通过对公司企业网络服务功能的设计及实施,要求在公司网络实现DNS、DHCP、WEB、FTP、MAIL、MEDIA、PRINT、AD、CA、安全的WEB服务等系统服务,在局域网出口的双网卡服务器上架设NAT 和VPN服务,并对局域网服务器的系统进行相应管理。网络环境如上面考试环境图所示。 三、考试题目:(下面凡是出现https://www.doczj.com/doc/f89730737.html,、lzh的地方,都要参考这种格式改成自己的姓名学号信息) 1、在局域网服务器(2008)搭建DHCP服务。 1)创建作用域:192.168.1.1-192.168.1.254 2)设置作用域选项:路由器192.168.1.1、DNS服务器192.168.1.2 3)设置保留地址:为XP客户机创建保留地址192.168.1.10。 4)设置排除地址:192.168.1.1-192.168.1.2 5)设置服务器选项:DNS服务器202.96.128.68。
3、在win2003系统_2上设置客户证书映射 3.1.Web服务器上导入客户端证书 在IIS中要映射客户端的证书到windows账户,必须在IIS所在的服务器上用这个客户端的cer证书。 在win2003系统_1机器上证书颁发机构中导出客户端申请后已经颁发的ClientCert2003证书,导出为ClientCert2003.cer 在win2003系统_2机器上导入这个证书到当前用户存储区的个人目录下。 3.2.导入客户端证书的根证书 Web服务端有了客户证书,还需要这个客户端证书的根证书,只有在服务器信任这个客户端证书的根证书时客户端证书才能正常访问web服务器。 在证书管理中双击ClientCert2003证书查看此证书:
可以看到,ClientCert2003的根证书TestCA在此服务器上不被信任,需要把TestCA证书安装到此服务器的受信任的根证书颁发机构存储里。 查看此根证书: 点击“安装证书”按钮,出现证书导入向导,选择“将所有的证书放入下列存储”,然后点击“浏览”按钮选择证书安装的存储区: 选择把证书保存到“受信任的根证书颁发机构”-“本地计算机”。
TestCA证书导入成功,到证书管理中查看,发现TestCA证书其实被安装到两个地方,分别是: ●证书当前用户存储区的“受信任的根证书颁发机构” ●证书本地计算机存储区的“受信任的根证书颁发机构” 3.3.设置IIS中网站的客户端证书映射 在win2003系统_2机器上IIS中,查看web网站的属性,导航到“目录安全性”,首先把所有的身份验证方法都清除: 然后在安全通讯区域内,点击“编辑”按钮: