Windows网络操作系统配置与管理单元十二任务2：部署用户和计算机证书实验报告.doc

1、Windows网络操作系统配置与管理实 验 报 告专业 班级 成绩评定_学号 姓名 (合作者_号_) 教师签名 单元 十三 任务2： 部署用户和计算机证书 第 周星期 第 节一、 实验目的与要求1. 配置证书颁发机构和证书颁发机构Web注册1. 配置基于SSL的Web网站2. 配置证书自动注册二、 实验方案与步骤任务2.1配置证书颁发机构和证书颁发机构Web注册1. 工作场景你是时讯公司的网络管理员，时讯公司有自己的网站，在公司网络中部署了一台Web服务器，为了保证Web服务器的安全，你需要完成以下任务：安装并配置证书服务的Web注册配置基于SSL的Web网站在组策略中为证书服务配置自动注册功

2、能2. 步骤（1）安装证书颁发机构和证书颁发机构Web注册角色服务1) 单击SH-SVR1旁边的启动，以ShixunAdministrator登录，密码为Pa$w0rd 。2) 在服务器管理器中，右键单击角色，然后单击添加角色，弹出添加角色向导。3) 在开始之前页面，单击下一步4) 在详细信息窗格，Active Directory证书服务下，单击添加角色服务。弹出选择角色服务页面。5) 在选择角色服务页面，确保证书颁发机构复选框已选，然后选中证书颁发机构Web注册复选框。6) 在“添加角色向导”页，单击“添加必要的角色服务”7) 确定选择了“证书颁发机构”和“证书颁发机构Web注册”选项。8)

3、 以下按默认。在确认安装选择页面，单击安装。9) 在安装结果页面，单击关闭，然后关闭服务器管理器。（2）在Web服务器证书模板上配置权限1) 单击开始，指向管理工具，然后单击Certification Authority 。2) 在certsrv -证书颁发机构（本地）中，展开ShixunIssusingCA 节点，右键单击证书模板，然后单击管理。3) 在详细信息窗格中，双击Web 服务器证书模板。4) 在Web 服务器属性对话框中，单击安全选项卡。5) 单击Authenticated Users。在Authenticated Users的权限框中，在注册一栏选中允许复选框，然后单击确定。6)

4、 关闭证书模板控制台。7) 关闭certsrv -证书颁发机构（本地）。（3）注册Web服务器证书1) 单击开始，在开始搜索框中，输入MMC，然后按Enter键，弹出控制台1-控制台根节点。2) 在控制台1 - 控制台根节点中，单击文件，然后单击添加/删除管理单元。3) 在添加或删除管理单元对话框中，单击证书，然后单击添加。4) 在证书管理单元对话框中，选中计算机帐户，然后单击下一步。5) 在选择计算机页面，单击完成，然后单击确定。6) 展开证书（本地计算机）和个人节点。7) 在个人节点下，右键单击证书，指向所有任务，然后单击申请新证书。弹出证书注册向导。8) 在在您开始前页面，单击下一步。9

5、) 在申请证书页面，选中Web服务器复选框，然后单击注册此证书需要详细信息。单击这里以配置设置链接。10) 在证书属性对话框中，在使用者名称区域，类型下拉列表里，单击公用名。11) 在值字段中，输入SH-SVR1，然后单击添加。12) 在常规选项卡，友好名称字段中，输入Shixun Web Server，单击确定。13) 在申请证书页面，单击注册。在证书安装结果页面，单击完成。14) 单击证书文件夹，然后检查新的Web服务器证书。15) 关闭控制台1，并放弃对控制台的更改。（4）将Web注册网站配置为使用SSL1) 单击开始，指向管理工具，然后单击Internet 信息服务（IIS）管理器，打

6、开Internet 信息服务（IIS）管理器。2) 在连接窗格中，展开SH-SVR1（SHIXUNAdministrator）节点，再展开网站，然后单击Default Web Site。3) 在操作窗格中，单击绑定。4) 在网站绑定对话框中，在类型列表下选择https，然后单击编辑。5) 在SSL证书下拉列表里，单击Shixun Web Server。6) 单击确定以关闭编辑网站绑定对话框。然后单击关闭。7) 展开Default Web Site节点，然后单击CertSrv。8) 在详细信息窗格中，向下滚动，并双击SSL设置。9) 在SSL设置窗格中，选中要求SSL复选框，然后在操作窗格单击应

7、用。10) 关闭Internet 信息服务（IIS）管理器。（5）使用Web注册申请并安装基本EFS证书1) 单击开始，指向所有程序，然后单击Internet Explorer。2) 在空白页 - Windows Internet Explorer窗口，在地址栏中，输入下面的URL，然后按Enter键：https:/SH-SVR1/Certsrv。3) 在安全警报对话框中，单击确定。4) 在连接到SH-SVR1对话框中，在用户名字段中输入ShixunAdministrator ，在密码字段中输入Pa$w0rd，然后单击确定。5) 在Internet Explorer提示中，单击添加。在可信站点

8、对话框中，单击添加，然后单击关闭。6) 如果微软仿冒网站筛选器对话框出现时，单击以后再问我，然后单击确定。7) 在Microsoft Active Directory 证书服务网页，在选择一个任务下，单击申请证书。8) 在申请一个证书页面，单击高级证书申请，然后单击创建并向此CA提交一个申请。9) 在高级证书申请页面，在证书模板下拉框里，单击基本EFS，然后单击提交。10) 在Web访问确认对话框中，单击是。 11) 当证书已颁发，单击安装此证书。在Web访问确认对话框中，单击是。您将收到一条消息，您的新证书已成功安装。12) 关闭Microsoft Active Directory 证书服务

9、 - ShixunIssusingCA页面。任务2.2配置证书自动注册1. 工作场景根据时讯公司网络安全规划，公司在网络中部署了证书服务器，客户端需要申请计算机和用户证书，为了方便用户使用证书，需要配置证书自动注册。2. 步骤(1)复制并配置用户证书模板权限以启用自动注册1) 单击开始，指向管理工具，然后单击Certification Authority。弹出certsrv -证书颁发机构（本地）窗口。2) 在certsrv -证书颁发机构（本地）中，展开ShixunIssusingCA，右键单击证书模板，然后单击管理。3) 在证书模板控制台中，右键单击用户证书模板，然后单击复制模板。4) 在

10、复制模板对话框中，选中Windows Server 2008, Enterprise Edition，然后单击确定。5) 在新模板的属性对话框，在模板显示名称字段中，输入Shixun User。6) 在使用者名称选项卡中，确定在使用者名称中包括电子邮件名和电子邮件名复选框已选中。（注意：这里要求用户账户属性里必须有电子邮箱这个属性，否则，不能自动申请到证书）7) 在安全选项卡中，单击Authenticated Users，在Authenticated Users的权限下，选择注册和自动注册的允许复选 框，然后单击确定。8) 关闭证书模板控制台。(2)配置要由CA颁发的模板1) 在certsrv

11、 -证书颁发机构（本地），右键单击证书模板。2) 指向新建，然后单击要颁发的证书模板。3) 在启用证书模板对话框中，选择Shixun User模板，然后单击确定。 4) 关闭certsrv -证书颁发机构（本地）。(3)配置组策略以允许用户的自动注册1) 单击开始，指向管理工具，然后单击组策略管理，打开组策略管理。2) 在林：S 节点下，展开域节点，展开S 节点，右键单击Default Domain Policy，然后单击编辑。3) 在组策略管理编辑器窗口中，依次展开用户配置、策略、Windows 设置和安全设置节点。4) 单击公钥策略，然后双击证书服务客户端 - 自动注册。5) 在证书服务客

12、户端 - 自动注册属性对话框中，配置型号下拉框中，单击已启用。6) 选中续订过期证书、更新未决证书并删除吊销的证书复选框。 7) 选中更新使用证书模板的证书复选框，然后单击确定。8) 关闭组策略管理编辑器窗口，然后关闭组策略管理。9) 单击开始，单击运行，输入Gpupdate /force，然后单击确定。10) 注销SH-SVR1虚拟机。 （4）验证自动注册对用户账户有效1) 以SHIxunAdministrator登录到SH-SVR1，密码为Pa$w0rd。2) 单击开始，在开始搜索框中，输入MMC，然后按Enter键。3) 在控制台1 - 控制台根节点中，单击文件，然后单击添加/删除管理单元。4) 在添加/删除管理单元对话框中，单击证书，然后单击添加。5) 在证书管理单元对话框中，确认我的用户帐户已选，然后单击完成，再单击确定。6) 展开证书 - 当前用户节点，展开个人节点，然后单击证书。检查颁发给Administrator的客户端身份验证证书。确保证书是基于Shixun User模板的。7) 关闭控制台1-控制台根节点并不保存更改到控制台。三、 实验总结（学生填写）四、 问题与讨论（学生填写）