Windows2003 证书服务器配置

WIN2003服务器安全和配置完整教程一、硬盘分区与操作系统的安装∙硬盘分区总的来讲在硬盘分区上面没什么值得深入剖析的地方，无非就是一个在分区前做好规划知道要去放些什么东西，如果实在不知道。

那就只一个硬盘只分一个区，分区要一次性完成，不要先分成FAT32再转成NTFS。

一次性分成NTFS格式，以我个人习惯，系统盘一般给12G。

建议使用光盘启动完成分区过程，不要加载硬盘软件。

∙系统安装以下内容均以2003为例安装过程也没什么多讲的，安装系统是一个以个人性格为参数的活动，我建议在安装路径上保持默认路径，好多文章上写什么安装路径要改成什么呀什么的，这是没必要的。

路径保存在注册表里，怎么改都没用。

在安装过程中就要选定你需要的服务，如一些DN S、DHCP没特别需要也就不要装了。

在安装过程中网卡属性中可以只保留TCP/IP 这一项，同时禁用NETBOIS。

安装完成后如果带宽条件允许可用系统自带在线升级。

二、系统权限与安全配置前面讲的都是屁话，润润笔而已。

（俺也文人一次）话锋一转就到了系统权限设置与安全配置的实际操作阶段系统设置网上有一句话是"最小的权限+最少的服务=最大的安全"。

此句基本上是个人都看过，但我好像没有看到过一篇讲的比较详细稍具全面的文章，下面就以我个人经验作一次教学尝试！2.1 最小的权限如何实现？NTFS系统权限设置在使用之前将每个硬盘根加上Administrators 用户为全部权限(可选加入SYSTEM用户) 删除其它用户，进入系统盘:权限如下∙C:\WINDOWS Administrators SYSTEM用户全部权限Users 用户默认权限不作修改∙其它目录删除Everyone用户，切记C:\Documents and Settings下All Users\Def ault User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Every one用户权限C:\WINDOWS 目录下面的权限也得注意,如C:\WINDOWS\PCHealth、C:\windows\Inst aller也是保留了Everyone权限.∙删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.print ers的扩展名，可溢出攻击∙默认IIS错误页面已基本上没多少人使用了。

独立CA可向Windows2003网络外部的用户颁发证书，并且不需要活动目录的支持。

选择CA模式在建立认证服务之前，选择一种适应需要的认证模式是非常关键的，安装认证服务时可选择4种CA模式，每种模式都有各自的性能和特性。

企业根CA企业根CA是认证体系中最高级别的证书颁发机构。

它通过活动目录来识别申请者，并确定该申请者是否对特定证书有访问权限，。

如果只对组织中的用户和计算机颁发证书，则需建立一个企业的根CA。

一般来讲，企业的根CA只对其下级的CA颁发证书，而下级CA再颁发证书给组织中的用户和计算机。

安装企业根CA需要如下支持：1．活动目录证书服务的企业策略信息存放在活动目录中。

2．DNS名称解析服务在Windows2003中活动目录与DNS紧密集成。

3．对DNS活动目录和CA服务器的管理权限。

企业下级CA企业下级CA是组织直接向用户和计算机颁发证书的CA。

企业下级CA在组织中不是最受信任的CA，它还要有上一级CA来确定自己的身份。

独立根CA独立根CA是认证体系中最高级别的证书颁发机构，独立CA不需活动目录，因此即使是域中的成员也可不加入到域中。

独立根CA可从网络中断开放置到安全的地方。

独立根CA可用于向组织外部的实体颁发证书，同企业根CA一样，独立根CA通常只向其下一级的独立CA颁发证书。

独立CA独立CA将直接组织外部的实体颁发证书。

建立独立CA需要以下支持：1．上一级CA：比如组织外部的第三方商业性的认证机构。

2．因为独立CA不需要加入到域中，因此要有对本机操作的管理员权限。

安装证书服务认证服务不是Windows2003的默认服务，需要在Windows2003安装完毕后手工添加。

要在一台服务器上安装企业根CA，需要以下操作步骤。

1．从“控制面板”，双击“添加/删除程序”，单击“添加/删除Windows组件”，选中“证书服务”，单击“下一步”。

如图5－3所示。

图6－3 添加证书服务2．选中“企业根CA”，并选中“高级选项”，单击“下一步”。

Win2003操作系统服务器安全配置步骤如是老系统重做系统，做好以下工作：1、IIS资料备份如安装有RmHost被控端，运行备份/恢复工具，备份IIS数据；如没有，打开Internet信息服务管理器，在“网站”或“应用程序池”上点右键，将配置保存到一个文件；2、Serv-U资料备份将Serv-U所在目录下ServUDaemon.ini文件复制到备份文件夹；3、IMail资料备份如服务器安装了IMail，运行regedit.exe，在注册表中找到IMail所在路径，右键导出备份到备份文件夹；如Imail 安装在C盘，则需同时转移Imail下所有文件；4、MySQL资料备份以root用户进入PHPMyAdmin或MySQL命令行，备份mysql数据库内的user和db表，导出为sql脚本；5、MsSQL资料备份在安全性-登录中导出帐号列表；如MsSQL数据在C盘下，需要将SQLData下所有文件备份到其他盘6、PHP备份可根据情况备份C:\Windows\PHP.ini文件如是新服务器初次安装，做好以下工作：1、组建磁盘阵列如果磁盘支持Raid5，并决定配置磁盘阵列，则应该首先在CMOS中设置好阵列模式，并在启动后进入Raid配置界面配置Raid5模式；安装Win2003时，按F6加载Raid驱动程序；2、配置NCQ支持如果不打算配置Raid5或不支持磁盘阵列，但支持NCQ，同样需要首先在CMOS中设置好AHCI模式，并在安装Win2003时，按F6加载AHCI驱动程序；3、划分磁盘分区●双硬盘通常按照下列模式划分：第一硬盘：C:\ System 10G 安装系统文件D:\ Webroot 视磁盘大小存放站点文件、数据库等在D:\建立Webroot、PHP、PHP\Tmp、MySQL、FTPRoot、Temp等文件夹；F:\ Log 10G 存放站点日志、FTP日志、临时文件和系统缓存在E:\建立IISLog、FTPLog、Temp等文件夹；第二硬盘：E:\ Data 总容量15%以上存放MsSQL数据库在E:\建立SQLData文件夹G:\ BAK 视磁盘大小存放各种备份文件在F:\建立MySQLBAK、MsSQLBAK、WebBAK、SysBAK等目录H:\ Soft 6G 存放各类常用软件及系统备份、驱动在G:\建立I386、Drivers、Soft、常用组件、常用工具等目录●单硬盘通常按照下列模式划分：C:\ System 10G 安装系统文件D:\ Webroot 总容量50%以上存放站点文件、数据库等在D:\建立Webroot、PHP、PHP\Tmp、MySQL、FTPRoot、SQLData、Temp等文件夹；E:\ Log 10G 存放站点日志、FTP日志、临时文件和系统缓存在E:\建立IISLog、FTPLog、Temp等文件夹；F:\ BAK 视磁盘大小存放各种备份文件在F:\建立MySQLBAK、MsSQLBAK、WebBAK、SysBAK等目录G:\ Soft 6G 存放各类常用软件及系统备份、驱动在G:\建立I386、Drivers、Soft、常用组件、常用工具等目录一、系统安装工作1、格式化C盘用CD启动，格式化C盘。

windows2003服务---证书服务在访问Web站点时，如果没有较强的安全措施，用户访问的数据是可以使用网络工具捕获并分析出来的。

在Web站点的身份验证中，有一种基本身份验证，要求用户访问输入用户名和密码时，是以明文形式发送密码的，蓄意破坏安全性的人可以使用协议分析程序破译出用户名和密码。

那我们该如果避免呢？可利用SSL通信协议，在Web服务器上启用安全通道以实现高安全性。

试验拓扑在安装证书服务之前，我已经在服务器上建了WEB站点，并配置了DNS服务器。

一：安装证书服务·打开“控制面板”---“添加/删除windows组件”。

勾选“证书服务”复选框·企业根CA：需要AD服务，即计算机在活动目录中才可以。

企业从属CA：域中的另一台证书服务器上独立根CA：服务器可以在AD中，也可以不在AD中。

·在此CA的公用名称中输入CA的名称，一般是域名称。

·设置证书数据库以及日志的路径。

（如果要卸载证书服务，必须删除证书数据库，否则无法再次安装证书服务）·安装完成后，会在IIS管理器“默认站点”中添加一虚拟目录。

并在浏览器中输入http:// /certsrv时出现microsoft证书服务页面二：生成证书申请·打开“IIS管理器”右击“默认网站”选择“属性”，在“目录安全性”选项卡下单击“服务器证书”按钮，开始证书的申请。

注：如果可以直接联系到网络中的CA（一般是企业CA），则可以选择“立即将证书请求发送到联机证书颁发机构”，此后就不需要生成证书申请这步了·输入单位信息、部门，单击下一步·公用名称中输入Web站点的域名·填写国家、地区等详细资料·输入“证书请求的文件名”三：申请、下载证书·上一步已经生成了证书的申请，此时我们需要申请证书（如果在生成证书申请中选择“立即将证书请求发送到联机证书颁发机构”，不需要这一步。

7.6 在进入右键菜单的属性条目时，也可以进行共享和权限等管理，但是只有在点击的对象是磁盘分区的时候才能应用配额功能，因为配额功能是针对磁盘卷来执行的，而且该卷必须是NTFS格式的最后，注意NTFS文件夹安全权限和共享权限的区别：安全权限对所有访问该文件夹的用户都起作用；共享权限只对从网络访问的用户起作用；安全权限 and 共享权限
3. 创建额外域控制器
目 的：为配置额外域控制器，同步AD
要 点：DNS，额外域控制器(额外域控制器，也有人叫辅助域，或者备份域)
--------------------------------------------------------------------------------------------------
4.6 出来一个界面，让填域名，上面是父域的名字（），中间填入son,下面自动完成，显示全名为
4.7 完成其他选项
4.8 完成后，在server3的 ad user and computer中的domain controller ou中可以找到server3的计算机帐号
5.4 在位置集区，新增排除范围192.168.10.100-192.168.10.200供保留区使用
5.5 保留区，为要指定Ip的电脑配置保留地址，如，mac地址为0c12312300，IP地址为192.168.10.101
5.6 在领域选项，路由器选项可以指定网关，DNS服务器指定DNS，名称服务器制定Wins服务器
4.9 在dns的这个zone中可以找到关于server3的srv记录
5. 安装DHCP服务
目 的： 在server1上安装DHCP服务
要 点： DHCP、领域、地址保留、AD授权、地址分配

Windows Server 2003下如何安装及配置FTP服务器一、安装FTP服务器组件：写在这里的一点:安装及配置FTP服务器之前,必须先手工配置服务器本身的IP地址(因为服务器本身的IP地址一定要是静态的).本文分步介绍了如何在独立服务器上配置一台基于Windows Server 2003 的文件传输协议(FTP) 服务器，以便为网络上的客户端计算机提供资源的传输和访问。

FTP服务组件是2003系统中的IIS 6.0集成的网络服务组件之一，默认情况下没有被安装。

在2003系统中安装FTP服务组件的步骤如下：开始→控制面版→添加删除程序→添加删除windows组件→双击‘应用程序服务器’(或单击‘应用程序服务器’并选择详细信息)。

里边就有一个”Internet信息服务（IIS）”打上勾点，再双击打开“Internet信息服务（IIS）”对话框，在子组件列表中选中“文件传输协议（FTP）服务”复选框，连续单击“确定”按钮，并单击“下一步”按钮，Windows组件向导”开始安装FTP服务组件。

当然你必须在光驱里放张2003的光盘，如果不放直接进行安装，当装到一定程度的时候就会跳出一个窗口说寻找I386源文件，你点浏览，找到你的源文件确定就可以了。

最后单击“完成”按钮关闭“Windows组件向导”对话框。

二、配置FTP服务器：1. 在Windows Server 2003系统中配置FTP服务器在Windows Server 2003系统中安装FTP服务器组件以后，用户只需进行简单的设置即可配置一台常规的FTP服务器，操作如下：第1步，在开始菜单中依次单击“管理工具”→“Internet信息服务（IIS）管理器”菜单项，打开“Internet信息服务（IIS）管理器”窗口。

在左窗格中展开“FTP站点”目录，右键单击“默认FTP站点”选项，并选择“属性”命令，如图所示:第2步，打开“默认FTP站点属性”对话框，在“FTP站点”选项卡中可以设置关于FTP站点的参数。

更多教程
administrators 全部（该文件夹，子文件夹及文件） Power Users （该文件夹，子文件夹及文件） 读取和运行 列出文件夹目录 读取 SYSTEM 全部（该文件夹，子文件夹及文件） C:\Program Files administrators 全部（该文件夹，子文件夹及文件） CREATOR OWNER 全部（只有子文件来及文件） IIS_WPG （该文件夹，子文件夹及文件） 读取和运行 列出文件夹目录 读取 Power Users（该文件夹，子文件夹及文件） 修改权限 SYSTEM 全部（该文件夹，子文件夹及文件） TERMINAL SERVER USER （该文件夹，子文件夹及文件） 修改权限 2.网站及虚拟机权限设置（比如网站在 E 盘） 说明：我们假设网站全部在 E 盘 wwwsite 目录下，并且为每一个虚拟机创建了一 个 guest 用户，用户名为 vhost1...vhostn 并且创建了一个 webuser 组，把所有 的 vhost 用户全部加入这个 webuser 组里面方便管理。 E:\ Administrators 全部（该文件夹，子文件夹及文件） E:\wwwsite Administrators 全部（该文件夹，子文件夹及文件） system 全部（该文件夹，子文件夹及文件） service 全部（该文件夹，子文件夹及文件） E:\wwwsite\vhost1 Administrators 全部（该文件夹，子文件夹及文件） system 全部（该文件夹，子文件夹及文件） vhost1 全部（该文件夹，子文件夹及文件） 3.数据备份盘 数据备份盘最好只指定一个特定的用户对它有完全操作的权限。比如 F 盘为数据 备份盘，我们只指定一个管理员对它有完全操作的权限。 4.其它地方的权限设置 请找到 c 盘的这些文件，把安全性设置只有特定的管理员有完全操作权限。 下列这些文件只允许 administrators 访问 net.exe net1.exet cmd.exe tftp.exe netstat.exe regedit.exe

Windows2003中CA服务器的安装与配置CA是认证中心的意思：如果你要访问这个网站，你必须通过认证之后，才有资格访问这个网站，平常是不能访问这个网站的，这个网站的安全性能提高很多。

第一部分：安装步骤一、安装证书服装器用一个证书的服务器来颁发证书，然后再使用这个证书。

CA的公用名称：windows2003A二、要在配置的网站上申请证书(草稿）找到我们配置的网站的名称：myweb,右击“属性”-“目录安全性”-“服务器证书”，去申请一个证书。

“新建一个证书”，在国家时“必须选CN中国“，下面省市：江苏省，邳州市，最后要生成一个申请的文件，一般文件名叫：certreg.txt这样一个文件。

相当于一个申请书。

三、正式向证书机构去申请一个证书（正式申请）在网页地址栏中输入：http://localhost/certsrv这样一个地址local本地host是主机：localhost本地主机/certsrv这个cert这证书server srv服务器certsrv:证书服务器。

1、申请一个证书2高级证书申请3、选择一个bAse64这个证书4、把刚才生成的申请书文件：certrreg.txt文件中的内容全部复制到网页中保存的申请框中。

5。

提交之后才正式申请开始，等着颁发证书。

四、颁发证书到“证书颁发机构”-选择"挂起的申请“，找到这个申请之后，右击”任务“颁发”这就相当于颁发一个正常的证书了。

五、要把这个已经颁发过的证书下载下来。

方法就是：1、http://localhost/certsrv2、查看挂起的证书申请的状态，如果有一个，就下载这个证书：用BASE64这个类型的证书，把这个证书保存起C：\certnew.cer这样一个新证书。

六、使用这个证书来完成CA服务器的配置。

右击“这个网站的名字myweb",选“属性”“目录安全性”中“服务器证书”“处理一个新的证书”，把刚才下载到C：\certnew.cer这样一个证书用上就可以了。

实验四 Windows2003服务器配置一、实验内容学习使用Windows2003服务器版操作系统，安装配置实现DHCP、DNS和WEB服务器的功能。

二、实验目的通过实验，掌握windows2003服务器的基本配置。

DHCP 服务器对TCP/IP 子网和IP 地址进行集中管理，即子网中的所有IP 地址有其相关配置参数都存储在DHCP 服务器的数据库中。

DHCP 服务器对TCP/IP 子网的地址进行动态分配和配置；DNS是一个在TCP/IP网络上用来将计算机名称转换成IP地址的服务系统，无论在INTRANET或INTERNET上都可以使用DNS来解析计算机名称以及找出计算机的所在位置。

使用计算机名称除了比较容易记忆之外，也不怕有IP地址更动的问题。

DNS根据一套层次式的命名策略替代用IP地址来记忆主机地址。

这一套层次式的命名策略称之为DOMAIN NAME SPACE，是由根域、最高阶域、次阶域、子域、主机名称所群组成；IIS 是Internet 信息服务（Internet Infomation Server ）的缩写。

主要包括WWW 服务器、FTP 服务器等。

它使得在Intranet （局域网）或Internet （因特网）上发布信息成了一件很容易的事。

三、实验内容（一）DHCP服务器（选做）安装前要注意，DHCP 服务器本身必须采用固定的IP 地址和规划DHCP 服务器的可用IP地址。

在这里我们做实验可以自己定义一个虚拟的静态的IP地址。

1、安装DHCP 服务：①选用“开始”中的“控制面板”里边的“添加／删除程序”，选择“添加／删除Windows 组件”。

②选择“网络服务”，单击“详细信息”按钮。

③选择“动态主机配置协议（DHCP ）”后，单击“确定”按钮。

④回到前一个画面时，单击“下一步”按钮。

2、DHCP 的设置：(1)打开DHCP管理器。

选“开始菜单→程序→管理工具→DHCP ”，默认的，里面已经有了你的服务器的FQDN（Fully Qualified Domain Name ，完全合格域名），比如“ ”。

(1)开启两台windows server 2003，windows server 2003（1）作为CA证书服务器，windows server 2003（2）作为客户端①Windows server 2003（1）的IP地址为192.168.1.1 子网掩码为255.255.255.0 DNS为192.168.1.1，同为Vmnet3网段。

②Windows server 2003（2）的IP地址为192.168.1.2 子网掩码为255.255.255.0 DNS为192.168.1.1，同为Vmnet3网段。

③测试两台PC的连通性(2)在windows server 2003(1)配置Web服务①安装web服务，开始----控制面板----添加与删除程序----添加/删除windows组件②在E盘下建立一个ok文件夹，在此文件夹下建立一个index.htm的网页文档，里面内容为“很高兴为您服务”③配置web服务，开始----管理工具----Internet信息服务（IIS）管理器④右键“默认网站”----属性----主目录，将网页文档的存放位置添加上去⑤在客户端的IE浏览器输入服务器的IP地址，即http://192.168.1.1，看是否正常浏览(3)在windows server 2003（1）配置CA证书服务①安装CA证书服务，开始----控制面板----添加与删除程序----添加/删除windows组件②开始----管理工具----Internet信息服务（IIS）管理器，在默认网站下看是否成功建立CertSrv 的站点，出现则安装成功。

③右键“默认网站”----属性----目录安全性④申请一个证书，在CA证书服务器上的IE浏览器上输入http://192.168.1.1/certsrv⑤将挂起的证书颁发，开始----管理工具----证书颁发机构⑥下载证书，在CA证书服务器的IE浏览器输入http://192.168.1.1/certsrv⑦在windows server 2003（1）安装证书，开始----管理工具----Internet信息服务(IIS)管理器----右键“默认网站”----属性----目录安全性⑧启用安全通道SSL，开始----管理工具----Internet信息服务(IIS)管理器----右键“默认网站”----属性----目录安全性⑼在windows server 2003（2）IE浏览器输入https://192.168.1.1。

终级Win2003服务器安全配置篇今天演示一下服务器权限的设置，实现目标是系统盘任何一个目录asp网马不可以浏览,事件查看器完全无错,所有程序正常运行.这个不同于之前做的两个演示，此演示基本上保留系统默认的那些权限组不变，保留原味,以免取消不当造成莫名其妙的错误.看过这个演示，之前的超详细web服务器权限设置,精确到每个文件夹和超详细web服务器权限设置,事件查看器完全无报错就不用再看了.这个比原来做的有所改进.操作系统用的是雨林木风的ghost镜像,补丁是打上截止11.2号最新的Power Users组是否取消无所谓具体操作看演示windows下根目录的权限设置：C:\WINDOWS\Application Compatibility Scripts 不用做任何修改，包括其下所有子目录C:\WINDOWS\AppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限C:\WINDOWS\Connection Wizard 取消users组权限C:\WINDOWS\Debug users组的默认不改C:\WINDOWS\Debug\UserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限，看演示C:\WINDOWS\Debug\WPD不取消Authenticated Users组权限可以写入文件，创建目录.C:\WINDOWS\Driver Cache取消users组权限,给i386文件夹下所有文件加上users组权限C:\WINDOWS\Help取消users组权限C:\WINDOWS\Help\iisHelp\common取消users组权限C:\WINDOWS\IIS Temporary Compressed Files默认不修改C:\WINDOWS\ime不用做任何修改，包括其下所有子目录C:\WINDOWS\inf不用做任何修改，包括其下所有子目录C:\WINDOWS\Installer 删除everyone组权限，给目录下的文件加上everyone组读取和运行的权限C:\WINDOWS\java 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\MAGICSET 默认不变C:\WINDOWS\Media 默认不变C:\WINDOWS\不用做任何修改，包括其下所有子目录C:\WINDOWS\msagent 取消users组权限，给子目录下的所有文件加上users组权限C:\WINDOWS\msapps 不用做任何修改，包括其下所有子目录C:\WINDOWS\mui取消users组权限C:\WINDOWS\PCHEALTH 默认不改C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone组的权限C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone组的权限C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限C:\WINDOWS\PCHealth\HelpCtr 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了，不须添加users组权限就行)C:\WINDOWS\PIF 默认不改C:\WINDOWS\PolicyBackup默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Prefetch 默认不改C:\WINDOWS\provisioning 默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\pss默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\RegisteredPackages默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Registration\CRMLog默认不改会有写入的权限，取消users组的权限C:\WINDOWS\Registration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,C:\WINDOWS\repair取消users组权限C:\WINDOWS\Resources取消users组权限C:\WINDOWS\security users组的默认不改，其下Database和logs目录默认不改.取消templates目录users 组权限,给文件加上users组C:\WINDOWS\ServicePackFiles 不用做任何修改，包括其下所有子目录C:\WINDOWS\SoftwareDistribution不用做任何修改，包括其下所有子目录C:\WINDOWS\srchasst 不用做任何修改，包括其下所有子目录C:\WINDOWS\system 保持默认C:\WINDOWS\TAPI取消users组权限，其下那个tsec.ini 权限不要改C:\WINDOWS\twain_32取消users组权限，给目录下的文件加users组权限C:\WINDOWS\vnDrvBas 不用做任何修改，包括其下所有子目录C:\WINDOWS\Web取消users组权限给其下的所有文件加上users组权限C:\WINDOWS\WinSxS 取消users组权限，搜索*.tlb，*.policy，*.cat，*.manifest,*.dll，给这些文件加上everyone组和users权限给目录加NETWORK SERVICE完全控制的权限C:\WINDOWS\system32\wbem 这个目录有重要作用。

Win2003证书效劳配置/客户端(效劳端)证书申请/IIS站点SSL设置一．CA证书效劳器安装1．安装证书效劳之前要先安装IIS效劳而且包管“WEB效劳扩展〞中的“Active Server Pages〞为允许状态2．在“控制面板〞中运行“添加或删除程序〞，切换到“添加/删除Windows组件〞页3．在“Windows组件向导〞对话框中，选中“证书效劳〞选项，接下来选择CA 类型，这里选择“独立根CA〞4．然后为该CA效劳器起个名字(本例中的名字为CntvsServer)，设置证书的有效期限，建议使用默认值“5年〞即可，最后指定证书数据库和证书数据库日志的位置后，就完成了证书效劳的安装。

5.安装完成后，系统会自动在IIS的默认站点，建几个虚拟目录CertSrc,CertControl,CertEnroll二．客户端证书申请1. 运行Internet Explorer浏览器，在地址栏中输入“ ://证书效劳器IP/CertSrv/default.asp〞。

证书申请页面，输入相应的申请信息，然后点击［申请一个证书］。

接下来选择"Web浏览器证书"填写相关信息2. 系统将处置您提交的申请，此过程可能要等待10秒钟摆布。

建议最好记下申请ID三。

客户端证书的颁布翻开“办理东西〞选择“证书颁布机构〞，翻开"挂起的申请",右击-->"颁布"四。

客户端证书的下载及安装1.运行Internet Explorer浏览器，在地址栏中输入“ ://证书效劳器IP/CertSrv/default.asp〞,选择“查看挂起的证书申请状态〞2.找到本身申请的证书3.安装证书安装完成后，可到IE里查看刚刚安装好的证书1.以IIS的默认站为例，先右击站点，翻开网站属性-->目录安然性-->效劳器证书2.按IIS证书向导一步步提交效劳器证书申请六。

效劳器证书的颁布1.先翻开"证书颁布机构"，提交刚刚的申请按提示一步步完成2.颁布证书在挂起的申请里，可以看到刚刚的申请(本例ID为5)，右击-->颁布3.导出证书在颁布的证书里，可以看到多了个证书，在新颁布的效劳器证书上右击-->翻开切换到"详细信息"，单击"复制到文件"，将该证书导出为cer文件七。

配置证书服务一、条件Windows server 2003 （域环境）Windows server 2003 （工作组环境）Windows XP （客户机）二、过程在Windows server 2003 （域环境）设置1、配置静态IP：192.168.0.12、安装组件控制面板→添加或删除程序→添加或删除组件→应用程序服务程序→IIS添加或删除组件→证书服务→选则“是”→企业CA→名称***→下一步→完成3、管理工具→IIS管理器→右击“默认网站”→属性→目录安全性→安全通信-服务器证书→新建证书→立即将证书请求发送到政府颁发机构→默认下一步→完成编辑→把“要求安全通信（SSL）”“√”4、建立用户开始→运行→dsa.msc→user→新建用户zhangqing密码！！！111qqq三、验证在Windows XP （客户机）设置1、配置静态IP：192.168.0.32、开始-运行→https://192.168.0.1/certsrv用户名：zhangqing密码：！！！111qqq3、申请一个证书→用户证书→提交“是”→安装此证书“是”4、导出证书右击IE浏览器→属性→内容→证书→选中证书-“导出”→是，导出私钥→下一步→密码000→文件名“C:\pki.pfx”→下一步-完成5、导入证书进入C盘找到文件名pki的证书文件双击→默认下一步→密码000→下一步-完成在Windows server 2003 （工作组环境）安装web服务器证书1、IIS管理器→默认网站属性→目录安全性→服务器证书→新建证书→默认下一步-完成2、打开certreq.exe文件复制所有内容3、在开始运行中输入http://192.168.0.2/certsrv 申请一个证书→高级证书申请→选择第二项→在第一个文本框中粘贴内容→提交4、管理工具→证书颁发机构→挂起的证书→颁发证书5、在开始运行中输入http://192.168.0.2/certsrv →查看挂起的证书申请的状态→保存证书→64编码→下载证书6、IIS管理器→默认网站属性→目录安全性→服务器证书I→处理挂起的请求并安装证书→输入下载证书的路径和文件名→默认下一步-完成。

Win-2003-Com+服务器配置Win-2003-Com+服务器配置在企业信息化建设的过程中，服务器的配置是至关重要的一环。

而Win-2003-Com+服务器作为一种成熟的服务器系统，其配置对于企业的运营效率和信息安全具有重要的影响。

本文将详细介绍Win-2003-Com+服务器的配置过程，并提供一些优化建议，以帮助企业充分利用该服务器系统的功能与优势。

一、硬件准备在进行服务器配置之前，首先要进行适当的硬件准备。

以下是Win-2003-Com+服务器的一些基本硬件要求：1.服务器硬件要求- CPU：至少2个物理处理器- 内存：建议最低为2GB，但实际应根据企业需求进行调整- 存储：至少2个物理磁盘，并配置RAID 1或RAID 5，以提高数据安全性和可靠性- 网卡：至少1个以太网卡，建议支持千兆以太网- 光驱：配备DVD-ROM或CD-ROM光驱2.其他硬件设备除了服务器硬件要求外，还需要准备以下设备：- 键盘、鼠标、显示器：用于服务器的控制与管理- UPS电源：用于保护服务器在电力故障时的安全关机- 网络交换机：用于连接服务器和其他设备二、操作系统安装成功配置Win-2003-Com+服务器的第一步是安装操作系统。

以下是安装过程的具体步骤：1.准备安装镜像文件获取Win-2003-Com+服务器操作系统的光盘或镜像文件，并将其存储在适当的位置。

2.设置启动顺序进入服务器的BIOS设置界面，将启动顺序设置为从光驱启动。

保存设置并重新启动服务器。

3.安装操作系统按照系统提示，选择合适的安装选项，指定安装目标磁盘并进行分区。

然后，系统将自动进行操作系统的安装。

4.安装驱动程序完成操作系统的安装后，安装相应的硬件驱动程序，以确保服务器的正常工作。

三、网络配置成功安装操作系统后，接下来需要进行网络配置，以确保服务器能够与其他设备正常通信。

以下是网络配置的基本步骤：1.设置IP地址访问服务器的网络设置界面，指定服务器的IP地址、子网掩码、默认网关和DNS服务器。

在Windows server 2003 Enterprise Edition安装CA证书服务，具体步骤如下：1、首先将Windows server 2003升级为DC2、安装IIS服务a、打开系统的“控制面板”点击“添加或删除程序”b、点击“添加/删除Windows组件”c、钩选“应用程序服务器”后点击下面“详细信息”d、钩选“Internet信息服务”及“启用网络COM+访问”并点击确定3、安装CA服务a、同样进入“添加/删除Windows组件”下选择“证书服务”点击“下一步”4、在DC上运行MMC，添加证书模板的管理单元。

5、选择“证书颁发机构”选择“本地计算机”并点击“添加”6、同时选择“证书模板”并点击“添加”及“确定”7、点击“证书模板”找到“计算机”模板，右击选择“复制模板”8、在“常规”中设置名称，这里为“123”，点击“使用者名称”并钩选“在请求中提供”9、点击“证书颁发机构”选择“证书模板”点击“新建”点击“要颁发的证书模板”10、选中“123”并点击“确定”11、选择“证书颁发机构”点击“停止服务”按钮后，再点击“启动”按钮12、在“命令提示符”下运行“iisreset”服务器重新启动后就可以在客户端申请证书。

13、客户端申请证书打开客户端IE浏览器输入CA服务器的IP地址：htt://11.147.16.199/certsrv（根据实况输入）,选择“申请一个证书”15、点击“高级证书申请”15、点击“高级证书申请”16、点击“创建并向此CA提交一个申请”17、选择刚才颁发的“123”证书并填写详细的信息点击“提交”18、点击“安装此证书”到此CA服务器已经搭建完毕。

注册证书 自动注册证书

设置用于自动注册的证书模板
9.2 证书服务器的组建和管理
注册证书 自动注册证书

设置用于自动注册证书的Active Directory组策略
9.2 证书服务器的组建和管理
注册证书 使用证书申请向导申请证书

只有客户端计算机作为域成员才能使用这种方式

使用证书管理单元直接从企业CA获取证书
第9章 证书服务器与网络安全应用
本章学习导航
上一章： BBS论坛 即时通信 网 络 安 全 需 求
公钥基础结构 （PKI）
证书服务器 （证书颁发机构）
PKI网络安全应用
下一章： 流媒体服务器
公 钥 加 密 技 术
数 字 证 书
证 书 颁 发 机 构
部 署 证 书 服 务 器
管 理 证 书 颁 发 机 构
息，要承担相应的责任

的第三方篡改或伪造
9.1 公钥基础结构概述
公钥加密技术
对称加密模式
明文 发送方 加密 密钥K 密文 解密 密钥K 明文
非对称加密模式
明文 发送方 加密 接收方公钥Kb1 发送方私钥Ka2 密文 解密 接收方私钥Kb2 发送方公钥Ka1 明文 接收方
9.1 公钥基础结构概述
管理证书颁发机构 设置获取证书吊销列表和证书的位置
9.2 证书服务器的组建和管理
管理证书颁发机构 备份和还原证书颁发机构

证书颁发机构控制台提供了备份向导和还原向导

备份和还原操作的目的是保护证书颁发机构及其可操作数据
续订CA证书

CA永远不会颁发超出自己证书到期时间的证书 当CA自身的证书达到其有效期时，它颁发的所有证书也将到期

Windows server 2003 SSL 配置SSL(Security Socket Layer,安全套接层)是一种在两台主机之间提供安全通道的协议,其目的是通过加密保护传输的数据并对通信双方进行身份验证,保证两台主机之间的通信安全.S SL最早由网景公司开发的,在目前应用中,广泛采用标准SSLv3.下面先来部署HTTPS有关具体的部署可看之前的文章IIS.这里是针对部署的411网站,点其属性.点服务器证书,开始为网站申请证书.下一步点新建证书.下一步.输入证书名称.设置网站的公用名称设置网站所在的地理位置信息指定证书请求的文件名称点下一步证书请求文件创建完成然后按照之前CA部署的文章进行使用生成证书请求文件向CA提供证书申请,然后在C A上颁发证书.下面来看获取和安装网站证书获取的步骤也参看CA部署文章这个是获得的网站证书.然后打开网站属性对话框"目录安全性"选项卡,单击服务器证书.现在来处理挂起的请求并安装证书在此对话框中指定从CA获得的网站证书的文件名称.在此对话框中指定HTTPS的端口,标准端口为443显示了即将安装的网站证书的基本信息.点完成这样早请的网站证书安装就完成了.点查看证书这里有关证书的详细信息下面来看通过HTTPS访问网站登录WEB客户端,并从CA获取CA证书并点击安装下一步这里默认便可以点完成然后单击开始--运行确定在证书管理控制台能够看到安装的CA证书.单击开始--控制面板--INTERNET选项,打开INTERNET属性对话框,单击内容标签.单击证书也能够看到安装的CA证书下面来配置网站只接受HTTPS访问在WEB服务器上点安全通信中的编辑,选中"要求安全通道"并忽略客户端证书.然后在客户端打开浏览器访问WEB服务器.可以看到要用HTTPS为通信协议的URL才能成功访问. 配置HTTPS的加密强度并勾选要求128位加密访问成功配置HTTPS执行双向认证默认情况下,HTTPS单向认证的模式工作,即客户端通过网站证书来验证网站的身份,但网站并不验证客户端的身份,如果需要通过证书验证客户端身份,则可以要求试图访问网站的客户端必须提供证书才能进行访问,执行双向认证时,网站将只接受HTTPS访问选择要求客户端证书然后要向CA申请WEB浏览器证书.点WEB浏览器证书中间的过程就省略了,之前文章已介绍过然后点安装此证书点是在HTTPS执行双向认证的过程中,默认情况下,网站收到客户端提供的证书后会检查C RL以验证该证书是否被吊销,如果未能联系到CA或未能检查到CRL,因而无法确认客户端证书的吊销状态,则将拒绝该证书,可以配置指定网站在收到客户端证书后不检查CRL.certchechmode的默认值为0,即网站需检查CRL,将其值设置为1,则网站不再检查CR L.通过证书对访问网站的用户进行身份验证通过将客户端证书映射到WEB服务器上的WINDOWS用户帐户,可以建立证书与用户账户关联,基于这种关系,网站通过验证证书即可验证该证书使用者的用户身份,当用户使用客户端证书登录时,WEB服务器就会自动将用户与相应的WINDOWS用户账户关联起来启用客户端证书映射单击编辑点添加确定配置HTTPS启用证书信任列表点新建下一步选择要添加的CA证书下一步输入名称点完成完成.。