Windows网络操作系统配置与管理单元十二任务2：部署用户和计算机证书实验报告.doc

1、Windows网络操作系统配置与管理 实 验 报 告 专业 班级 成绩评定______ 学号 姓名 (合作者____号____) 教师签名 单元 十三 任务2： 部署用户和计算机证书 第 周星期 第 节 一、 实验目的与要求 1. 配置证书颁发机构和证书颁发机构Web注册 1. 配置基于SSL的Web网站 2. 配置证书自动注册 二、 实验方案与步骤 任务2.1配置证书颁发机构和证书颁发机构Web注册 1. 工作场景 你是时讯公司的网络管理员，时讯

2、公司有自己的网站，在公司网络中部署了一台Web服务器，为了保证Web服务器的安全，你需要完成以下任务： 安装并配置证书服务的Web注册 配置基于SSL的Web网站 在组策略中为证书服务配置自动注册功能 2. 步骤 （1）安装证书颁发机构和证书颁发机构Web注册角色服务 1) 单击SH-SVR1旁边的启动，以Shixun\Administrator登录，密码为Pa$$w0rd 。 2) 在服务器管理器中，右键单击角色，然后单击添加角色，弹出添加角色向导。。 3) 在开始之前页面，单击下一步 4) 在详细信息窗格，Active Directory证书服务下，单击添加角色服务。弹出

3、选择角色服务页面。 5) 在选择角色服务页面，确保证书颁发机构复选框已选，然后选中证书颁发机构Web注册复选框。 6) 在“添加角色向导”页，单击“添加必要的角色服务” 7) 确定选择了“证书颁发机构”和“证书颁发机构Web注册”选项。 8) 以下按默认。在确认安装选择页面，单击安装。 9) 在安装结果页面，单击关闭，然后关闭服务器管理器。 （2）在Web服务器证书模板上配置权限 1) 单击开始，指向管理工具，然后单击Certification Authority 。 2) 在certsrv -［证书颁发机构（本地）］中，展开ShixunIssusingCA 节点，右键单击证书

4、模板，然后单击管理。 3) 在详细信息窗格中，双击Web 服务器证书模板。 4) 在Web 服务器属性对话框中，单击安全选项卡。 5) 单击Authenticated Users。在Authenticated Users的权限框中，在注册一栏选中允许复选框，然后单击确定。 6) 关闭证书模板控制台。 7) 关闭certsrv -［证书颁发机构（本地）］。 （3）注册Web服务器证书 1) 单击开始，在开始搜索框中，输入MMC，然后按Enter键，弹出控制台1-[控制台根节点]。 2) 在控制台1 - [控制台根节点]中，单击文件，然后单击添加/删除管理单元。 3) 在添加或删

5、除管理单元对话框中，单击证书，然后单击添加。 4) 在证书管理单元对话框中，选中计算机帐户，然后单击下一步。 5) 在选择计算机页面，单击完成，然后单击确定。 6) 展开证书（本地计算机）和个人节点。 7) 在个人节点下，右键单击证书，指向所有任务，然后单击申请新证书。弹出证书注册向导。 8) 在在您开始前页面，单击下一步。 9) 在申请证书页面，选中Web服务器复选框，然后单击注册此证书需要详细信息。单击这里以配置设置链接。 10) 在证书属性对话框中，在使用者名称区域，类型下拉列表里，单击公用名。 11) 在值字段中，输入SH-SVR1，然后单击添加。 12) 在常规选项

6、卡，友好名称字段中，输入Shixun Web Server，单击确定。 13) 在申请证书页面，单击注册。在证书安装结果页面，单击完成。 14) 单击证书文件夹，然后检查新的Web服务器证书。 15) 关闭控制台1，并放弃对控制台的更改。 （4）将Web注册网站配置为使用SSL 1) 单击开始，指向管理工具，然后单击Internet 信息服务（IIS）管理器，打开Internet 信息服务（IIS）管理器。 2) 在连接窗格中，展开SH-SVR1（SHIXUN\Administrator）节点，再展开网站，然后单击Default Web Site。 3) 在操作窗格中，单击绑

7、定。 4) 在网站绑定对话框中，在类型列表下选择https，然后单击编辑。 5) 在SSL证书下拉列表里，单击Shixun Web Server。 6) 单击确定以关闭编辑网站绑定对话框。然后单击关闭。 7) 展开Default Web Site节点，然后单击CertSrv。 8) 在详细信息窗格中，向下滚动，并双击SSL设置。 9) 在SSL设置窗格中，选中要求SSL复选框，然后在操作窗格单击应用。 10) 关闭Internet 信息服务（IIS）管理器。 （5）使用Web注册申请并安装基本EFS证书 1) 单击开始，指向所有程序，然后单击Internet Explor

8、er。 2) 在空白页 - Windows Internet Explorer窗口，在地址栏中，输入下面的URL，然后按Enter键：https://SH-SVR1/Certsrv。 3) 在安全警报对话框中，单击确定。 4) 在连接到SH-SVR1对话框中，在用户名字段中输入Shixun\Administrator ，在密码字段中输入Pa$$w0rd，然后单击确定。 5) 在Internet Explorer提示中，单击添加。在可信站点对话框中，单击添加，然后单击关闭。 6) 如果微软仿冒网站筛选器对话框出现时，单击以后再问我，然后单击确定。 7) 在Microsoft Acti

9、ve Directory 证书服务网页，在选择一个任务下，单击申请证书。 8) 在申请一个证书页面，单击高级证书申请，然后单击创建并向此CA提交一个申请。 9) 在高级证书申请页面，在证书模板下拉框里，单击基本EFS，然后单击提交。 10) 在Web访问确认对话框中，单击是。 11) 当证书已颁发，单击安装此证书。在Web访问确认对话框中，单击是。您将收到一条消息，您的新证书已成功安装。 12) 关闭Microsoft Active Directory 证书服务 -- ShixunIssusingCA页面。 任务2.2配置证书自动注册 1. 工作场景 根据时讯公司网络安全

10、规划，公司在网络中部署了证书服务器，客户端需要申请计算机和用户证书，为了方便用户使用证书，需要配置证书自动注册。 2. 步骤 (1)复制并配置用户证书模板权限以启用自动注册 1) 单击开始，指向管理工具，然后单击Certification Authority。弹出certsrv -[证书颁发机构（本地）]窗口。 2) 在certsrv -[证书颁发机构（本地）]中，展开ShixunIssusingCA，右键单击证书模板，然后单击管理。 3) 在证书模板控制台中，右键单击用户证书模板，然后单击复制模板。 4) 在复制模板对话框中，选中Windows Server 2008, Ente

11、rprise Edition，然后单击确定。 5) 在新模板的属性对话框，在模板显示名称字段中，输入Shixun User。 6) 在使用者名称选项卡中，确定在使用者名称中包括电子邮件名和电子邮件名复选框已选中。（注意：这里要求用户账户属性里必须有电子邮箱这个属性，否则，不能自动申请到证书） 7) 在安全选项卡中，单击Authenticated Users，在Authenticated Users的权限下，选择注册和自动注册的允许复选 框，然后单击确定。 8) 关闭证书模板控制台。 (2)配置要由CA颁发的模板 1) 在certsrv -[证书颁发机构（本地）]，右键单击证书模板。

12、 2) 指向新建，然后单击要颁发的证书模板。 3) 在启用证书模板对话框中，选择Shixun User模板，然后单击确定。 4) 关闭certsrv -[证书颁发机构（本地）]。 (3)配置组策略以允许用户的自动注册 1) 单击开始，指向管理工具，然后单击组策略管理，打开组策略管理。 2) 在林：S 节点下，展开域节点，展开S 节点，右键单击Default Domain Policy，然后单击编辑。 3) 在组策略管理编辑器窗口中，依次展开用户配置、策略、Windows 设置和安全设置节点。 4) 单击公钥策略，然后双击证书服务客户端 - 自动注册。 5) 在证书服务客户端

13、 - 自动注册属性对话框中，配置型号下拉框中，单击已启用。 6) 选中续订过期证书、更新未决证书并删除吊销的证书复选框。 7) 选中更新使用证书模板的证书复选框，然后单击确定。 8) 关闭组策略管理编辑器窗口，然后关闭组策略管理。 9) 单击开始，单击运行，输入Gpupdate /force，然后单击确定。 10) 注销SH-SVR1虚拟机。 （4）验证自动注册对用户账户有效 1) 以SHIxun\Administrator登录到SH-SVR1，密码为Pa$$w0rd。 2) 单击开始，在开始搜索框中，输入MMC，然后按Enter键。 3) 在控制台1 - [控制台根节点]中，单击文件，然后单击添加/删除管理单元。 4) 在添加/删除管理单元对话框中，单击证书，然后单击添加。 5) 在证书管理单元对话框中，确认我的用户帐户已选，然后单击完成，再单击确定。 6) 展开证书 - 当前用户节点，展开个人节点，然后单击证书。检查颁发给Administrator的客户端身份验证证书。确保证书是基于Shixun User模板的。 7) 关闭控制台1-[控制台根节点]并不保存更改到控制台。 三、 实验总结（学生填写） 四、 问题与讨论（学生填写）