《网络应用服务管理》形考任务-实训5:配置数字证书服务

  • 格式:docx
  • 大小:6.51 MB
  • 文档页数:10

实训5:配置数字证书服务
实训环境

1.一台Windows Server 2016 DC,主机名为DC。

2.一台Windows Server 2016服务器并加入域,主机名为Server1。

3.一台Windows 10客户端并加入域,主机名为Win10。

实训操作
假设你是一家公司的网站管理员,需要你完成以下工作:

1.在DC上部署企业根CA。
打开“服务器管理器”,单击“添加角色和功能”,打开“添加角色和功能向导”窗口。

逐步单击“下一步”,在 “服务器角色”界面中,勾选“Active Directory证书服务”复选框,
然后单击“下一步”。

在 “AD CS角色服务”界面中,勾选“证书颁发机构”和“证书颁发机构Web注册”复选
框, 然后单击“下一步”。其中“证书颁发机构Web注册”角色,可以实现通过浏览器向
CA进行证书申请的网站功能。
4.最后在 “确认”界面中,单击“安装”,开始安装证书服务。
完成安装后,单击 “配置目标服务器上的Active Directory证书服务”。
在“AD CS配置”向导中的“角色服务”界面,勾选“证书颁发机构”和“证书颁发机构
Web注册”。
在“AD CS配置”向导中的“设置类型”界面,选择“企业CA”。
在“AD CS配置”向导中的“CA类型”界面,选择“根CA”。
全部保持默认设置并单击“下一步”,最后单击“配置”按钮,完成证书服务的配置
“证书服务”安装完成后,可以在“服务器管理器”的“工具”菜单中,打开“证书颁发
机构”管理工具进行查看。

当域内的用户向企业根CA申请证书时,企业根CA会通过Active Directory得知用户的相关
信息,并自动核准、发放用户所要求的证书。
企业根CA默认的证书种类很多,而且是根据 “证书模板”来发放证书的。例如,图中右
方的“用户”模板内提供了可以用于将文件加密的证书、保护电子邮件安全的证书与验证客
户端身份的证书。
Windows server 2016通过组策略,让域内的所有用户与计算机自动信任由企业根CA所发送
的证书。例如,域内的一台Windows 10计算机中IE浏览器的证书界面,此计算机自动信任
域内的企业根CA。

2.发布证书申请网站。
在“服务器管理器”中打开“Internet Information Services(IIS)管理器”。并在服务器的主
页中单击“服务器证书”。

选择“创建自签名证书”。
在“创建自签名证书”对话框中,输入一个证书名称,并在“为新证书选择证书存储”中选
择“Web宿主”,最后单击“确定”按钮。
返回“Internet Information Services(IIS)管理器”界面,选择默认网站,并单击右侧的“绑
定”。

在“网站绑定”对话框中,单击“添加”按钮。然后在“添加网站绑定”对话框中,选择“https”
类型,“SSL证书”选择之前申请的证书名称,最后单击“确定”按钮。
此时已完成证书申请网站的发布。登录客户端计算机,使用IE浏览器,访问证书申请网站:
https://网站服务器域名或IP地址/certsrv,即可访问证书申请网站。

3.在Server1上创建基于SSL的网站。
完成Web服务器(IIS)的安装。

完成计算机证书的注册。
在IIS管理器中,设置默认网站的证书绑定。
在客户端计算机使用IE浏览器访问该网站,此时的网站访问协议为HTTPS协议。