Windows网络操作系统配置与管理单元十二任务2：部署用户和计算机证书实验报告.doc

Windows网络操作系统配置与管理 实 验 报 告 专业 班级 成绩评定______ 学号 姓名 (合作者____号____) 教师签名 单元 十三 任务2： 部署用户和计算机证书 第 周星期 第 节 一、 实验目的与要求 1. 配置证书颁发机构和证书颁发机构Web注册 1. 配置基于SSL的Web网站 2. 配置证书自动注册 二、 实验方案与步骤 任务2.1配置证书颁发机构和证书颁发机构Web注册 1. 工作场景 你是时讯公司的网络管理员，时讯公司有自己的网站，在公司网络中部署了一台Web服务器，为了保证Web服务器的安全，你需要完成以下任务： 安装并配置证书服务的Web注册 配置基于SSL的Web网站 在组策略中为证书服务配置自动注册功能 2. 步骤 （1）安装证书颁发机构和证书颁发机构Web注册角色服务 1) 单击SH-SVR1旁边的启动，以Shixun\Administrator登录，密码为Pa$$w0rd 。 2) 在服务器管理器中，右键单击角色，然后单击添加角色，弹出添加角色向导。。 3) 在开始之前页面，单击下一步 4) 在详细信息窗格，Active Directory证书服务下，单击添加角色服务。弹出选择角色服务页面。 5) 在选择角色服务页面，确保证书颁发机构复选框已选，然后选中证书颁发机构Web注册复选框。 6) 在“添加角色向导”页，单击“添加必要的角色服务” 7) 确定选择了“证书颁发机构”和“证书颁发机构Web注册”选项。 8) 以下按默认。在确认安装选择页面，单击安装。 9) 在安装结果页面，单击关闭，然后关闭服务器管理器。 （2）在Web服务器证书模板上配置权限 1) 单击开始，指向管理工具，然后单击Certification Authority 。 2) 在certsrv -［证书颁发机构（本地）］中，展开ShixunIssusingCA 节点，右键单击证书模板，然后单击管理。 3) 在详细信息窗格中，双击Web 服务器证书模板。 4) 在Web 服务器属性对话框中，单击安全选项卡。 5) 单击Authenticated Users。在Authenticated Users的权限框中，在注册一栏选中允许复选框，然后单击确定。 6) 关闭证书模板控制台。 7) 关闭certsrv -［证书颁发机构（本地）］。 （3）注册Web服务器证书 1) 单击开始，在开始搜索框中，输入MMC，然后按Enter键，弹出控制台1-[控制台根节点]。 2) 在控制台1 - [控制台根节点]中，单击文件，然后单击添加/删除管理单元。 3) 在添加或删除管理单元对话框中，单击证书，然后单击添加。 4) 在证书管理单元对话框中，选中计算机帐户，然后单击下一步。 5) 在选择计算机页面，单击完成，然后单击确定。 6) 展开证书（本地计算机）和个人节点。 7) 在个人节点下，右键单击证书，指向所有任务，然后单击申请新证书。弹出证书注册向导。 8) 在在您开始前页面，单击下一步。 9) 在申请证书页面，选中Web服务器复选框，然后单击注册此证书需要详细信息。单击这里以配置设置链接。 10) 在证书属性对话框中，在使用者名称区域，类型下拉列表里，单击公用名。 11) 在值字段中，输入SH-SVR1，然后单击添加。 12) 在常规选项卡，友好名称字段中，输入Shixun Web Server，单击确定。 13) 在申请证书页面，单击注册。在证书安装结果页面，单击完成。 14) 单击证书文件夹，然后检查新的Web服务器证书。 15) 关闭控制台1，并放弃对控制台的更改。 （4）将Web注册网站配置为使用SSL 1) 单击开始，指向管理工具，然后单击Internet 信息服务（IIS）管理器，打开Internet 信息服务（IIS）管理器。 2) 在连接窗格中，展开SH-SVR1（SHIXUN\Administrator）节点，再展开网站，然后单击Default Web Site。 3) 在操作窗格中，单击绑定。 4) 在网站绑定对话框中，在类型列表下选择https，然后单击编辑。 5) 在SSL证书下拉列表里，单击Shixun Web Server。 6) 单击确定以关闭编辑网站绑定对话框。然后单击关闭。 7) 展开Default Web Site节点，然后单击CertSrv。 8) 在详细信息窗格中，向下滚动，并双击SSL设置。 9) 在SSL设置窗格中，选中要求SSL复选框，然后在操作窗格单击应用。 10) 关闭Internet 信息服务（IIS）管理器。 （5）使用Web注册申请并安装基本EFS证书 1) 单击开始，指向所有程序，然后单击Internet Explorer。 2) 在空白页 - Windows Internet Explorer窗口，在地址栏中，输入下面的URL，然后按Enter键：https://SH-SVR1/Certsrv。 3) 在安全警报对话框中，单击确定。 4) 在连接到SH-SVR1对话框中，在用户名字段中输入Shixun\Administrator ，在密码字段中输入Pa$$w0rd，然后单击确定。 5) 在Internet Explorer提示中，单击添加。在可信站点对话框中，单击添加，然后单击关闭。 6) 如果微软仿冒网站筛选器对话框出现时，单击以后再问我，然后单击确定。 7) 在Microsoft Active Directory 证书服务网页，在选择一个任务下，单击申请证书。 8) 在申请一个证书页面，单击高级证书申请，然后单击创建并向此CA提交一个申请。 9) 在高级证书申请页面，在证书模板下拉框里，单击基本EFS，然后单击提交。 10) 在Web访问确认对话框中，单击是。 11) 当证书已颁发，单击安装此证书。在Web访问确认对话框中，单击是。您将收到一条消息，您的新证书已成功安装。 12) 关闭Microsoft Active Directory 证书服务 -- ShixunIssusingCA页面。 任务2.2配置证书自动注册 1. 工作场景 根据时讯公司网络安全规划，公司在网络中部署了证书服务器，客户端需要申请计算机和用户证书，为了方便用户使用证书，需要配置证书自动注册。 2. 步骤 (1)复制并配置用户证书模板权限以启用自动注册 1) 单击开始，指向管理工具，然后单击Certification Authority。弹出certsrv -[证书颁发机构（本地）]窗口。 2) 在certsrv -[证书颁发机构（本地）]中，展开ShixunIssusingCA，右键单击证书模板，然后单击管理。 3) 在证书模板控制台中，右键单击用户证书模板，然后单击复制模板。 4) 在复制模板对话框中，选中Windows Server 2008, Enterprise Edition，然后单击确定。 5) 在新模板的属性对话框，在模板显示名称字段中，输入Shixun User。 6) 在使用者名称选项卡中，确定在使用者名称中包括电子邮件名和电子邮件名复选框已选中。（注意：这里要求用户账户属性里必须有电子邮箱这个属性，否则，不能自动申请到证书） 7) 在安全选项卡中，单击Authenticated Users，在Authenticated Users的权限下，选择注册和自动注册的允许复选 框，然后单击确定。 8) 关闭证书模板控制台。 (2)配置要由CA颁发的模板 1) 在certsrv -[证书颁发机构（本地）]，右键单击证书模板。 2) 指向新建，然后单击要颁发的证书模板。 3) 在启用证书模板对话框中，选择Shixun User模板，然后单击确定。 4) 关闭certsrv -[证书颁发机构（本地）]。 (3)配置组策略以允许用户的自动注册 1) 单击开始，指向管理工具，然后单击组策略管理，打开组策略管理。 2) 在林：S 节点下，展开域节点，展开S 节点，右键单击Default Domain Policy，然后单击编辑。 3) 在组策略管理编辑器窗口中，依次展开用户配置、策略、Windows 设置和安全设置节点。 4) 单击公钥策略，然后双击证书服务客户端 - 自动注册。 5) 在证书服务客户端 - 自动注册属性对话框中，配置型号下拉框中，单击已启用。 6) 选中续订过期证书、更新未决证书并删除吊销的证书复选框。 7) 选中更新使用证书模板的证书复选框，然后单击确定。 8) 关闭组策略管理编辑器窗口，然后关闭组策略管理。 9) 单击开始，单击运行，输入Gpupdate /force，然后单击确定。 10) 注销SH-SVR1虚拟机。 （4）验证自动注册对用户账户有效 1) 以SHIxun\Administrator登录到SH-SVR1，密码为Pa$$w0rd。 2) 单击开始，在开始搜索框中，输入MMC，然后按Enter键。 3) 在控制台1 - [控制台根节点]中，单击文件，然后单击添加/删除管理单元。 4) 在添加/删除管理单元对话框中，单击证书，然后单击添加。 5) 在证书管理单元对话框中，确认我的用户帐户已选，然后单击完成，再单击确定。 6) 展开证书 - 当前用户节点，展开个人节点，然后单击证书。检查颁发给Administrator的客户端身份验证证书。确保证书是基于Shixun User模板的。 7) 关闭控制台1-[控制台根节点]并不保存更改到控制台。 三、 实验总结（学生填写） 四、 问题与讨论（学生填写）