Windows 2003 CA 证书服务器配置

实验 5-1 CA证书的安装、申请及在Web中的应用1、实验目的通过观察和动手实验，使学生更深入理解PKI公钥基础设施中数字证书的作用，以win2003 server CA中心为例，学会客户端如何从独立CA中心申请数字证书，CA中心如何签发证书。

2、实验原理2.1 PKI基础PKI (Pubic Key Infrastructure)是一个用公钥密码学技术来实施和提供安全服务的安全基础设施，它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。

PKI基于数字证书基础之上，使用户在虚拟的网络环境下能够验证相互之间的身份，并提供敏感信息传输的机密性、完整性和不可否认性，为电子商务交易的安全提供了基本保障。

一个典型的PKI系统应包括如下组件：（1）安全策略安全策略建立和定义了组织或企业信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。

（2）证书操作阐述CPS（Certificate Practice Statement）一些PKI系统往往由商业证书发放机构(CCA)或者可信的第三方来对外提供服务，所以需要提供CPS给其使用者参考，以供其了解详细的运作机理。

CPS是一些操作过程的详细文档，一般包括CA是如何建立和运作的，证书是如何发行、接收和废除的，密钥是如何产生、注册和认证的等内容。

（3）证书认证机构CA（Certificate Authority）CA系统是PKI的核心部分，因为它管理公钥的整个生命周期。

CA的作用主要包括如下几个方面：发放证书，用数字签名绑定用户或系统的识别号和公钥。

规定证书的有效期。

通过发布证书废除列表（CRL）确保必要时可以废除证书。

（4）注册机构RA（Registration Authority）RA是CA的组成部分，是用户向CA申请服务的注册机构，它负责接收用户的证书申请，审核用户的身份，并为用户向CA提出证书请求，最后将申请的证书发放给用户。

远程桌面SSL设置说明————服务器与客户端均有证书首先要将服务器升级到最新版本windows2003，然后还需要通过windows update或网站将service packet 1补丁包安装。

因为只有安装了SP1的Windows2003才具备通过SSL 加密的远程桌面功能。

以下所有操作都是对服务器而言的，只有服务器经过设置容许支持SSL加密认证，客户端才可以通过远程桌面访问程序正常连接。

1.安装证书服务：第一步：默认情况下windows2003没有安装证书服务，我们通过控制面板的添加/删除windows组件来安装“证书服务”。

（如图8）图8 点击看大图第二步：在CA证书类型中选择“独立根CA”，然后点“下一步”继续。

（如图9）图9 点击看大图第三步：在CA识别信息窗口中为安装的CA起一个公用名称——softer，可分辨名称后缀处空白不填写，有效期限保持默认5年即可。

（如图10）图10 点击看大图第四步：在证书数据库设置窗口我们保持默认即可，因为只有保证默认目录（windows\system32\certlog）系统才会根据证书类型自动分类和调用。

点“下一步”后继续。

（如图11）图11 点击看大图第五步：配置好安装证书所需要的参数后系统就开始安装该组件，当然在安装过程中会提示要求插入WINDOWS2003系统光盘。

（如图12）图12 点击看大图第六步：插入光盘找到系统文件后继续安装，在安装服务的最后系统会提示“要容许证书服务需要启用IIS的ASP功能”，我们选择“是”来启用ASP。

（如图13）图13 点击看大图第七步：完成CA证书服务的windows组件安装工作。

（如图14）图14 点击看大图小提示：如果windows2003没有安装IIS组件的话还需要按照上面介绍的方法将IIS 组件也安装。

2.设置证书服务参数：默认情况下证书类型不是我们本次操作所需要的，所以还需要对其进行修改设置。

第一步：通过任务栏的“开始->程序->管理工具->证书颁发机构”来打开证书设置窗口。

数字证书证书安装使用说明1、使用环境要求：A）使用Windows操作系统，包括winXP,win2003等；B）浏览器使用IE7.0以上版本。

2、安装数字证书系统用户发放的都是无驱的USB-Key数字证书，这里讲解主要以无驱USB-Key安装为主。

第一步：把USB-Key插入电脑USB接口处，系统会自动运行安装驱动程序，安装完毕后在电脑右下方任务栏里会出现样式的图标。

提示：1）、如果在插入USB-Key后不能自动运行安装驱动程序，需要点击“我的电脑”中产生的虚拟光驱图标，打开后双击文件即可。

2）双击安装文件后若电脑右下方任务栏里没有出现样式的图标，点击“开始”-“程序”-“海泰方圆”-“用户工具”，驱动就会加载成功。

3）、安装过程中，如果有杀毒软件（如瑞星）、360安全卫士、3721等软件出现阻止安装的提示，全部允许，或点击信任，或者将其添加信任为白名单。

如360安全卫士所示。

第二步：修改PIN密码重要提示：首次使用证书，请先修改PIN码。

每个证书都具有PIN码（硬件保护密码），初始设置为“111111”，为保证安全，可以通过如下方法修改PIN码：在操作系统能正常识别USB-Key后，双击电脑右下方任务栏里图标，打开后在PIN码管理处，输入初始的PIN码（111111），两次输入新的PIN码并确认，PIN码修改完成，如下图。

提示：请牢记该PIN码，如果PIN码多次输入错误，为保证证书安全，USB-Key 将自动锁定，锁定后将无法进行正常操作。

这时请您拨打陕西省数字证书认证中心客服电话400-0506-369进行解锁申请。

第三步：查看数字证书信息点击用户工具上的“证书管理”，可以看到USB-Key里面的证书，点击一个点击右下角“查看”按钮，就可以看到证书的一些信息，如下图。

提示：这里看到两个证书，这是根据国家的标准规定，我国发放的数字证书都是双证书类型，包括一个签名证书和一个加密证书。

两个证书主体名称相同，但用途不一样，签名证书只能用于对数据进行数字签名，并代表用户的真实身份；加密证书则只能用于对数据进行加密或解密，不能用于数字签名，用户在应用时应用程序会调用合适证书。

1、Windows server 2003的安装（1）实验目的：通过本实例的学习，让我们学会为服务器选择合适的操作系统并进行安装。

（2）实验环境：windows server 2003 +VMware workstation（3）实验步骤：1）打开虚拟机，安装windows server 2003，单击“下一步”；2）选好系统镜像所在位置，单击“下一步”；3)输入密钥，单击“下一步”；4）选择系统所安装磁盘大小，单击“下一步”；5）等待系统的安装6）安装好了的界面。

再此虚拟机上需要安装两个相同的windows server 2003系统，一个当作服务器，另一个作客户机。

6）配置服务器和主机的IP：网络基础配置，右键单击“网上邻居”，从菜单中选择“属性”命令。

打开网络连接。

在“此连接使用下列项目”列表框中选择“internet协议”组件。

单击“属性”按钮，打开对话框，设置服务器的IP，子网掩码是自动生成的；同理在设置客户机的IP要与主机的IP不一样；（4）遇到的问题及解决方法：网络号的作用，是划分子网。

（5）实验总结：本次在虚拟机上安装windows server 2003系统，使我第一次接触到windows server 2003这个系统，更加深入的了解了windows server 2003系统中的构造，觉得它与windows XP很相似，就是视觉上没有XP漂亮；学会了如何配置IP，如何通过DOS来查看IP地址。

2、FTP服务器搭建与配置（1）实验目的：利用IIS创建FTP站点，管理FTP站点。

（2）实验环境：windows server 2003 +VMware workstation+IIS（3）实验步骤：1)安装FTP在“控制面板”上找到“添加或删除程序”选中“应用程序服务器”，单击“详细信息”再选中“Internet 信息服务（IIS）”，单击“详细信息”，把“文件传输协议（FTP）服务”选上，单击“确定”至此成功安装了FTP组件；2）配置FTP服务器右键单击“我的电脑”图标，弹出的快捷菜单中选择“管理”命令。

Windows 2003 终端服务器设置详解进入开始菜单——控制面板的，选择进入添加/删除组件界面组件的第一个不要选，如果打了√，要把√去掉选择下面的两个组件点击下一步，进行添加下一步选择宽松安全模式，下一步选择“使用自动搜索的许可证服务器”，下一步选择“每设备授权模式”下一步然后选择windows2003的i386文件夹路径进行安装完成重启电脑重启完之后进入开始菜单——所有程序——管理工具——终端服务器授权选择服务器，右键选激活服务器下一步选择电话激活，下一步选择地区——中国，下一步记住上面得到的产品ID，等会要用到/*****************************************************************************/ 这时候打开IE浏览器输入https:///打开网页语言那里选择Chinese（Simplified），然后点击啊旁边的图标，把语言换成中文点击下一步产品ID那里填入刚才得到的ID，姓、名、公司随便填，国家当然选中国啦，下一步下一步选“是”许可证程序那里选“Enterprise Agreement”，下一步产品类型选"Windows 2003终端服务“每设备”客户端访问许可证" 数量填100协议号码填4954438下一步下一步到此界面时，就得到了我们要的两组ID不要点结束，先记下这两组ID，回到刚刚“终端服务器授权”的界面，输入上面两组ID中下面的那组ID下一步下一步下一步填入两组ID中上面的那组ID，下一步点击完成。

激活完成进入开始菜单——运行，输入gpedit.msc，确定选择计算机配置——管理模板——windows组件——终端服务在“终端服务”的右边窗口选择“限制终端服务用户到一个远程会话”双击“限制终端服务用户到一个远程会话”，进入属性设置选择“已禁用”，点确定所有设置完成，关闭窗口。

HTTPS Web配置举例关键词：HTTPS、SSL、PKI、CA、RA摘要：HTTPS是支持SSL的HTTP协议。

用户可以通过HTTPS协议安全地登录设备，通过Web页面实现对设备的控制。

本文介绍了HTTPS的配置过程。

缩略语：缩略语英文全名中文解释Authority 证书机构CA CertificateHTTPS Hypertext Transfer Protocol Secure 安全超文本传输协议IIS Internet Information Service Internet信息服务MAC Message Authentication Code 消息验证码PKI Public Key Infrastructure 公钥基础设施RA RegistrationAuthority 注册机构SCEP Simple Certificate Enrollment Protocol 简单证书注册协议SSL Secure Sockets Layer 安全套接层目录1 特性简介 (3)2 应用场合 (3)3 配置举例 (3)3.1 组网需求 (3)3.2 配置思路 (4)3.2.1 CA服务器配置思路 (4)3.2.2 HTTPS服务器配置思路 (5)3.3 配置步骤 (5)3.3.1 配置CA服务器 (5)3.3.2 配置HTTPS服务器 (17)3.4 验证结果 (22)1 特性简介对于支持Web管理功能的设备，开启HTTP服务后，设备可以作为Web服务器，允许用户通过HTTP协议登录，并利用Web页面实现对设备的访问和控制。

但是HTTP协议本身不能对Web 服务器的身份进行验证，也不能保证数据传输的私密性，无法提供安全性保证。

为此，设备提供了HTTPS功能，将HTTP和SSL结合，通过SSL对服务器进行验证，对传输的数据进行加密，从而实现了对设备的安全管理。

HTTPS通过SSL协议，从以下几方面提高了安全性：z客户端通过数字证书对服务器进行身份验证，保证客户端访问正确的服务器。

Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装2008-09-2410:03安装准备：插入Windows Server 2003 系统安装光盘添加IIS组件：点击‘确定'，安装完毕后，查看IIS管理器，如下：添加”证书服务“组件如果您的机器没有安装活动目录，在勾选以上‘证书服务'时，将弹出如下窗口：由于我们将要安装的是独立CA，所以不需要安装活动目录，点击‘是'，窗口跳向如下：默认情况下，‘用自定义设置生成密钥对和CA证书'没有勾选，我们勾选之后点击‘下一步'可以进行密钥算法的选择：Microsoft 证书服务的默认CSP为：Microsoft Strong CryptographicProvider，默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。

点击‘下一步'：填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀'中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。

点击‘下一步'点击‘下一步'进入组件的安装，安装过程中可能弹出如下窗口：单击‘是'，继续安装，可能再弹出如下窗口：由于安装证书服务的时候系统会自动在IIS中（这也是为什么必须先安装IIS的原因）添加证书申请服务，该服务系统用ASP写就，所以必须为IIS启用ASP功能，点击‘是'继续安装：‘完成'证书服务的安装。

开始 --》管理工具 --》证书颁发机构，打开如下窗口：我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。

此时该服务器（CA）的IIS下多出以下几项：我们可以通过在浏览器中输入以下网址进行数字证书的申请：http://hostname/certsrv或http://hostip/certsrv申请界面如下：。

关于域控制器和证书服务器分离的部署策略配置过程如下：一．域控制器的配置1．安装DNS服务器。

首先，在服务器上安装WIN 2003 企业版（如果不是企业版，则V2模板有些不能使用）。

安装好WIN 2003系统以后，点击“配置你的服务器向导”，选择“自定义配置”，点中“DNS服务器”，安装DNS服务器，根据提示可以很容易的自行安装。

在此不再赘述。

2．配置AD。

安装好DNS后，再点击“配置你的服务器向导”，选择“自定义配置“，点中“域控制器”，点击“下一步“，等一下，会出现如下界面：选择“新域的域控制器“，点击”下一步”，出现如下界面：选择“在新林中的域”，点击“下一步”，出现如下界面输入新域的域名（例如“”，特别提示，一定要有后缀”.com”且不能和计算机重名）。

然后点击“下一步”，其他页面选择默认或自行更改，出现输入还原密码页面，如下：输入还原模式密码，。

点击“下一步”，剩下的就是等win 自动安装完成就可以了。

然后安装KEY的CSP程序小结：域控制服务器的配制顺序：先安装DNS，然后配置AD。

二．证书服务器的配制1．把另外一台服务器安装WIN2003 企业版，然后加入到按上述方法配制成的域中，即中。

2．安装IIS。

点击“配置你的服务器向导”，安装IIS 服务器。

以上两步皆为常规配制，在此不再赘述。

3．安装域控制器，点击“配置你的服务器向导”，点中“域控制服务器”，当出现下图时，选择“现有域的额外域控制器“，点击”下一步“，出现如下界面：输入用户名（例如，administrator，该用户必须是Domain admins组的成员），密码，域名，点击“下一步“，出现下图：输入还原模式密码，点击“下一步“，对配置文档的存放位置，可以是默认位置，或自行更改位置。

然后一路默认设置，就可以了，WIN 会自动安装完成域控制器4．添加证书服务。

点击“控制面板”－》“添加/删除程序”－》“添加/删除windows 组件”，点中“证书服务”，使其前面的方框中被打上勾，会出现如下一个对话框：选择“是”，点击“下一步”，出现如下：选择“企业根CA”，点击“下一步”，如下图：输入ca的公用名称，和有效年限，点击“下一步“。

5.1 数字证书的概念
数字证书也称为数字标识（Digital Certificate，或Digital ID）。它提供了一种在Internet等公共网络 中进行身份验证的方式，是用来标识和证明网络通信双方身份的数字信息文件。数字证书由一个权 威的证书认证机构（Certificate Authority，CA）发行，在网络中可以通过从CA中获得的数字证书来 识别对方的身份。通俗地讲，数字证书就是个人或单位在Internet等公共网络上的身份证。 比较专业的数字证书定义是：数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息 以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般 情况下，证书中还包括密钥的有效时间，发证机关（证书授权中心）的名称，该证书的序列号等信 息，证书的格式遵循相关国际标准。
5.2.1 PKI的概念
PKI（Public Key Infrastructure，公钥基础设施）为网上信息的传输提供了 加密（Encryption）和验证（Authentication）功能，在信息发送前对其进 行加密处理，当对方接收到信息后，能够验证该信息是否确实是由发送方发 送的信息，同时还可以确定信息的完整性（Integrity），即信息在发送过程中 未被他人非法篡改。数字证书是PKI中最基本的元素，所有安全操作都主要通 过证书来实现。PKI的组成除数字证书之外，还包括签署这些证书的认证、数 字证书库、密钥备份及恢复系统、证书作废系统、应用程序接口（API）等基 本构成部分。
通过数字证书就可以使信息传输的保密性、数据交换的完整性、发送信息的不可否认性交易者身份 的确定性这四大网络安全要素得到保障。
5.2 PKI的概念和组成
目前，计算机网络中的安全体系分为PKI体系和非PKI安全体系两大类。其中， 非PK3;密码”的 形式就属于非PKI体系。由于非PKI体系的安全性相对较弱，所以近年来PKI 安全体系得到了越来越广泛的关注和应用

Win2003证书服务配置/客户端(服务端)证书申请/IIS站点SSL设置转载自“菩提树下的杨过”一．CA证书服务器安装1．安装证书服务之前要先安装IIS服务并且保证“WEB服务扩展”中的“Active Server Pages”为允许状态2．在“控制面板”中运行“添加或删除程序”，切换到“添加/删除Windows组件”页3．在“Windows组件向导”对话框中，选中“证书服务”选项，接下来选择CA类型，这里选择“独立根CA”4．然后为该CA服务器起个名字(本例中的名字为CntvsServer)，设置证书的有效期限，建议使用默认值“5年”即可，最后指定证书数据库和证书数据库日志的位置后，就完成了证书服务的安装。

5.安装完成后，系统会自动在IIS的默认站点，建几个虚拟目录CertSrc,CertControl,CertEnroll二．客户端证书申请1. 运行Internet Explorer浏览器，在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”。

证书申请页面，输入相应的申请信息，然后点击［申请一个证书］。

接下来选择"Web浏览器证书"填写相关信息2. 系统将处理您提交的申请，此过程可能要等待10秒钟左右。

建议最好记下申请ID（本例为4）三。

客户端证书的颁发打开“管理工具”选择“证书颁发机构”，打开"挂起的申请",右击-->"颁发"四。

客户端证书的下载及安装1.运行Internet Explorer浏览器，在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”,选择“查看挂起的证书申请状态”2.找到自己申请的证书3.安装证书安装完成后，可到IE里查看刚刚安装好的证书五.服务器证书的申请1.以IIS的默认站为例，先右击站点，打开网站属性-->目录安全性-->服务器证书2.按IIS证书向导一步步提交服务器证书申请六。

⼀、选择题 (每⼩题1分，共40分)下列各题A)、B)、C)、D)四个选项中，只有⼀个选项是正确的，请将正确选项涂写在答题卡相应位置上，答在试卷上不得分。

1:按照ITU标准，传输速率为155.520Mbps的标准是A:OC 3B:OC 12C:OC 48D:OC 192参考答案：A参考解析：基本SONET信号运⾏在51.840Mbps的速率，且被指定为STS-1，STS-1数据帧是SONET中传送的基本单元，整个STS-1帧是810字节，在实践中STS-1和OC-1是可以互换的，3个OC-1信号通过分时复⽤的⽅式复⽤成SONET层次的下⼀个级别OC-3，速率为155.520Mbps，即选项A正确。

2:下列关于RPR技术的描述中，错误的是A:RPR能够在50ms内隔离出现故障的节点和光纤段B:RPR环中每⼀个节点都执⾏SRP公平算法C:两个RPR节点之间的*光纤长度为100公⾥D:RPR⽤频分复⽤的⽅法传输IP分组参考答案：D参考解析：RPR的内环和外环都采⽤统计复⽤的⽅法传输IP分组。

3:以下关于IEEE802.16协议的描述中，错误的是A:802.16主要⽤于解决城市地区范围内的宽带⽆线接⼊问题B:802.16a⽤于移动结点接⼊C:802.16d⽤于固定结点接⼊D:802.16e⽤于固定或移动结点接⼊参考答案：B参考解析：802.11标准的重点在于解决局域范围的移动结点通信问题，802.16标准的重点是解决建筑物之间的数据通信问题，802.16a增加了⾮视距和对⽆线格结构的⽀持，⽤于固定结点接⼊。

4:下列关于xDSL技术的描述中，错误的是A:xDSL技术按上⾏与下⾏速率分为速率对称与⾮对称两类B:ADSL技术在现有⽤户电话线上同时⽀持电话业务和数字业务C:ADSL上⾏传输速率可以达到8MbpsD:HDSL上⾏传输速率为1.544Mbps参考答案：C参考解析：ADSL技术为速率⾮对称型，上⾏速率为64kbps~640kbps。

（5）验证本地计算机证书是否已经安装 单击“开始/运行”，输入mmc，单击“确定” 按钮，弹出的“控制台1”窗口，单击“文件”菜 单下的“添加/删除管理单元”，在弹出的“添加/ 删除管理单元”对话框，单击“添加”按钮，在弹 出的“可用的独立管理单元”对话框，选择“证书” 项，单击“添加”按钮，在“证书管理单元”对话 框，选择“计算机账户”单选钮，单击“下一步” 按钮，在“选择计算机”对话框，接受默认的“本 地计算机”项，单击“完成”按钮，单击“关闭” 按钮，再单击“确定”按钮，此时，管理本地计算 机证书的管理控制台就设置好了。你可以将它保存 起来，以便以后使用。
第5章 Windows中的证书 服务及应用 5.1 PKI和CA概述
公钥基础设施PKI（Public Key Infrastructure， 以后简称PKI）是硬件产品、软件产品、策略和过程 的综合体，为电子商务交易的安全提供了基本保障。
PKI在基于数字证书基础之上，使用户在虚拟 的网络环境下能够验证相互之间的身份，并提供敏 感信息传输的机密性、完整性和不可否认性。
5.1.3 CA的作用 Windows Server 2003操作系统中提供了完整 的PKI解决方案，在此基础上，企业和组织可以开 发和配置适合本企业的安全应用和安全策略，充分 利用共享密钥安全机制和公钥安全机制。 Windows Server 2003中的PKI，其核心为微 软证书服务系统，证书机构CA系统是PKI的信任基 础，它管理着公钥的整个生命周期。 CA的作用包括如下几个方面： （1）发放证书，用数字签名绑定用户或系统 的识别号和公钥。 （2）规定证书的有效期。 （3）通过发布证书废除列表（CRL）确保必 要时可以废除证书。
（3）单击“安装此CA证书链”链接，弹出一 个证书指纹安全警告对话框，显示了证书指纹。 （4）单击“是”按钮，安装好证书链之后， 系统提示“CA证书链已tsrv/default.asp”的证书服务欢迎页面。

Windows Server 2003 服务器功能概述Windows Server 2003 是一个多任务操作系统，它能够按照您的需要，以集中或分布的方式处理各种服务器角色。

其中的一些服务器角色包括：■文件和打印服务器。

■Web 服务器和 Web 应用程序服务器。

■邮件服务器。

■终端服务器。

■远程访问/虚拟专用网络 (VPN) 服务器。

■目录服务器、域名系统 (DNS)、动态主机配置协议 (DHCP) 服务器和 Windows Internet 命名服务(WINS)。

■流媒体服务器。

我们在安装Windows server 2003后首先要做就是配置服务器角色，若要决定哪个服务器角色适合于您，请查看下列关于可在 Windows Server 2003 家族产品中使用的服务器角色的信息：1.文件服务器角色概述文件服务器提供和管理文件访问权限。

如果计划使用本计算机上的磁盘空间存储、管理和共享诸如文件和网络访问的应用程序的信息，请将该计算机配置为文件服务器。

在配置文件服务器角色之后，可以执行如下操作：■使用由 NTFS 文件系统格式化的卷上的磁盘限额，监视和限制各个用户可用的磁盘空间量。

另外，还可以指定是否在用户超过指定的磁盘空间限制时或用户超过指定的磁盘空间警告级别时（即，用户接近其配额限制）记录事件。

■使用索引服务在本地或网络上快速、安全地搜索信息。

■通过“开始”菜单上的“搜索”命令或通过在浏览器中查看的 HTML 页搜索不同格式和语言的文件。

2.打印服务器提供和管理打印机访问权限。

如果您计划远程管理打印机，使用 Windows Management Instrumentation (WMI) 管理打印机，或者使用URL 从服务器或客户端计算机打印到打印服务器，请将该计算机配置为打印服务器。

在配置打印服务器角色之后，可以执行如下操作：■使用浏览器管理打印机。

可以暂停、继续、删除打印作业，查看打印机和打印作业的状态。

Cisco 3645 802.1X+AD+CA+IAS进行802.1x身份验证（有线网）on GNS3By guofs(guofs@)目录项目需求 (2)网络拓朴 (2)验证方式 (2)配置环境 (2)需求 (2)RADIUS服务端 (3)安装 (3)安装AD (3)安装IIS (3)安装证书服务CA (3)安装IAS (4)配置 (5)配置DHCP和DNS (5)配置AD帐户 (5)配置AD用户访问时的证书颁发 (6)配置IAS (8)RADIUS代理端安装(网络设备端) (15)配置VLAN (15)配置全局的802.1x认证 (16)配置接口的802.1x (16)全部的配置命令 (16)RADIUS客户端安装 (17)启动802.1x验证服务 (18)配置网接采用802.1x认证 (18)项目需求网络拓朴验证方式PEAP验证：使用证书＋AD用户集成认证配置环境提示：采用gns3与vmware来搭建实验环境Operation System: Windows 2003 enterprise editionRadius Server: windows IAS(Internet 验证服务，windows组件中安装) CA Server: Windows CA证书服务(windows组件中安装)Radius Client: Windows自带。

需求1.当用户通过验证时,动态进入相应部门级的vlan2.当用户验证失败时,进入vlan-913.当用户没有验证时,进入vlan-90RADIUS服务端安装提示:要严格按照如下安装次序来安装，不乱的。

安装AD提示：在安装前要先给计算机启好名称，如ADsr等第一步：安装dhcp提示：Dhcp可以与AD不在同一台服务器。

第二步：安装DNS提示：DNS可以与AD不在同一台服务器。

第三步：安装AD在“开始”—〉“运行”—〉命令框中输入命令“dcpromo”。

AD域采用安装IIS过程：“控制面板—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows组件向导”—〉“应用服务器”如下：b.Internet信息服务(IIS)c.启动网络COM+访问安装证书服务CA过程：“控制面板—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows组件向导”—〉“证书服务”安装过程需要配置CA的根，如上图所示。

在Windows server 2003 Enterprise Edition安装CA证书服务，具体步骤如下：1、首先将Windows server 2003升级为DC2、安装IIS服务a、打开系统的“控制面板”点击“添加或删除程序”b、点击“添加/删除Windows组件”c、钩选“应用程序服务器”后点击下面“详细信息”d、钩选“Internet信息服务”及“启用网络COM+访问”并点击确定3、安装CA服务a、同样进入“添加/删除Windows组件”下选择“证书服务”点击“下一步”4、在DC上运行MMC，添加证书模板的管理单元。

5、选择“证书颁发机构”选择“本地计算机”并点击“添加”6、同时选择“证书模板”并点击“添加”及“确定”7、点击“证书模板”找到“计算机”模板，右击选择“复制模板”8、在“常规”中设置名称，这里为“123”，点击“使用者名称”并钩选“在请求中提供”9、点击“证书颁发机构”选择“证书模板”点击“新建”点击“要颁发的证书模板”10、选中“123”并点击“确定”11、选择“证书颁发机构”点击“停止服务”按钮后，再点击“启动”按钮12、在“命令提示符”下运行“iisreset”服务器重新启动后就可以在客户端申请证书。

13、客户端申请证书打开客户端IE浏览器输入CA服务器的IP地址：htt://11.147.16.199/certsrv（根据实况输入）,选择“申请一个证书”15、点击“高级证书申请”15、点击“高级证书申请”16、点击“创建并向此CA提交一个申请”17、选择刚才颁发的“123”证书并填写详细的信息点击“提交”18、点击“安装此证书”到此CA服务器已经搭建完毕。

1. 使用Windows Server 2003建立了一台CA服务器，通过WEB申请证书时打开IE浏览器在地址栏处键入（）（选择1项）A.http://CA服务器的IP地址B.http://CA服务器的IP地址/certC.http://CA服务器的IP地址/certsrvD.http://CA服务器的IP地址/certserver标准答案：C2. 下面关于CA的功能描述不正确的是（）（选择一项）A.处理证书申请，向申请者把法或拒绝办法数字证书。

B.证书的更新，接收、处理最终用户的数字证书更新请求。

C.产生和发布证书吊销列表D.帮助客户端生成密钥对，将密钥对封装到证书里。

标准答案：D3. 以下哪些不是DHCP的消息类型（）。

（选择一项）A.DHCPREQEUSTB.DHCPOFFERC.DHCPDISCOVERD.DHCPRENEW标准答案：D4. 客户机想要手动更新租约可以使用（）。

（选择一项）A.ipconfig/renewB.ipconfig/flushdnsC.ipconfig/releaseD.ipconfig/all标准答案：A5. 你是某公司网络管理员，公司有计算机200多台，由于网络规划不合理，经常出现地址冲突，导致计算机无法访问网络，现要解决该问题，应使用（）。

（选择一项）A.webB.dhcpC.dnsD.ftp标准答案：B6. 如果想查看IP地址租约信息，如租约时间，租约过期时间等，应该使用的命令是（） (选一项）A.ipconfig/allB.ipconfig/releaseC.ifconfig/allD.ipconfig /renew7. 当安装了一台DHCP服务器后，使用DHCP管理工具配置服务时发现，服务器上出现了一个红色向下的箭头，请问该情况由什么引起（）.（选择一项）A.该用户没有管理权限B.没有激活作用域C.服务器故障D.服务器未授权标准答案：D8. DHCP服务器可以安装在windows 2008操作系统的所有服务器版本上，提供DHCP服务需要满足以下哪些要求？（选择一项）A.服务器的IP地址也可以是自己给自己分配的B.在工作组模式下也需要给DHCP服务器做域的授权，不授权是无法给客户机提供IP地址的，这样可以避免因为有多台DHCP服务器引起的IP地址分配混乱问题C.安装好DHCP服务器的组件后，DHCP服务器就直接能给客户机分配需要的IP地址D.授权是一种安全措施，可以防止未经授权的DHCP服务器在网络中分配IP地址标准答案：D9. 以下哪些不是DHCP的消息类型（）。

配置之前需要知道的：1 CA 分为enterprise CA 和 standalone CAEnterprise CA 和 scep 是不能安装同一台机器上面的。

2 配置域环境时，机器需要把dns改为AD的ip，这样dns才能工作3 在域机器部署scep服务时，请使用domain admin登录，保证足够的权限4 CA工作有两种方式，管理员分配和自动分配。

选择自动分配会简化工作。

5 SCEP 服务器在windows 2003 和 windows 2008改变很大，甚至windows 2003 r2 和 windows 2003也不一样。

同时32bit 和 64bit mscp文件目录也不同，需要注意。

WINDOWS2008配置微软CA服务器+SCEP选择 active directory certificate services，里面的scep安装就好，如果集成ad环境的，需要分出一台单独机器安装好ad 和 enterprise ca。

访问如下地址为正确。

WINDOWS2003 配置微软CA服务器+SCEP1.配置微软CA服务器2.CA安装使用注意事项:3.操作系统必须是windows2000 server或windows 20034.安装前，系统系统必须先安装IIS服务。

–进入控制面板，进入添加或删除程序，点“添加/删除Windows组件”，弹出组件向导界面，双击“应用程序服务”，进入应用服务程序界面，勾选“Internet 信息服务”点击确定，放入windows2003/windows2000server安装盘，按提示完成IIS 安装。

5.安装前先把计算机加入域中。

6.在IIS中启用Active Server Pages (ASP)。

安装CA证书服务：在安装CA证书服务之后,主机名称是不能更改的。

所以在安装CA证书服务的时候注意一定要将名字确定下来。

CA服务安装完成后。

然后就安装 SCEP，便于申请证书。