实验7 Windows R2中的证书服务Word格式.docx

实验7 Windows R2中的证书服务Word格式.docx

《实验7 Windows R2中的证书服务Word格式.docx》由会员分享，可在线阅读，更多相关《实验7 Windows R2中的证书服务Word格式.docx（21页珍藏版）》请在冰豆网上搜索。

使用证书模板，可以在WindowsServer2008R2中根据证书用途预先指定证书格式和内容。

当从WindowsServer2008R2证书颁发机构CA申请证书时，证书申请将视其权限而定，可以从多种基于证书模板（如“用户”或“代码签名”）的证书类型中进行选择。

3、活动目录发布。

WindowsServer2008R2在其活动目录中发布信任的根证书、已发布的证书和CRLs等；

支持智能卡，支持使用智能卡提供的安全性来登录基于Windows的域。

WindowsServer2008R2支持两种证书服务，分别用于企业内部的企业证书服务器（企业CA）和用于企业或Internet网络中的独立证书服务器（独立CA）。

企业CA需要WindowsServer2008R2活动目录的支持，而独立CA可以安装在任何独立的安装了WindowsServer2008R2的计算机中。

3.2WindowsServer2008R2中部署证书服务

通过安装证书服务，可以创建一个CA，用于发行运行PKI所必需的证书。

证书服务包括两种类型CA：

企业CA和独立存在的CA。

在每一个类型中，都可以有一个根CA和一个或者多个下层CA。

1、企业根CA（EnterpriserootCA）

企业根CA在证书层次结构中是顶级CA。

企业根CA利用活动目录确定请求者的身份，并确定请求者是否具有为请求特定的证书类型所要求的安全性权限。

通常，企业根CA只为下层CA发放证书。

要安装企业根CA，必须具备下列条件：

（1）活动目录

（2）DNS服务

（3）安装者必须是EnterpriseAdmins组的成员。

2、企业子级CA（EnterprisesubordinateCA）

企业子级CA在机构内发放证书，但是企业子级CA不是最可信任的CA。

常用于针对特定用途（如安全电子邮件、基于Web的身份验证，或者智能卡身份验证）发放证书。

3、独立根CA（StandalonerootCA）

独立根CA在证书层次结构中是顶级CA。

独立存在的根CA可以不是某个域的成员，并且不要求活动目录。

独立根CA可以断开与网络的连接，并被放置在某个安全区域中。

如果你将为你的公司之外的实体发放证书，你就应该安装一个独立根CA。

4、子级CA（StandalonesubordinateCA）

子级CA作为一个孤立的证书服务器运行，或者位于某个CA信任层次结构内。

4实验任务

某公司的业务跨越Internet。

为了确保数据通信的安全，公司高层决定利用证书加密计算机之间的网络数据。

因此需要创建PKI结构规范，安装CA。

要求：

创建独立根CA和独立子级CA，利用独立子级CA为公司内部每台计算机分派证书，保证所有计算机都有合法的证书，以确保计算机之间的所有IP网络数据流都可以被加密。

同时，为了防止证书服务器因意外故障或证书被误删而导致证书丢失，请备份证书。

作为网络管理员的你，请实现上述要求。

（如果同时运行两台WindowsServer2008R2比较困难，也可以只安装独立根CA，利用独立根CA来分派证书。

）

测试：

通过启用证书来验证客户端，实现ping命令。

5实验步骤

假定两台WindowsServer2008R2计算机命名为：

Win2008R2和CWin2008R2。

1、创建一个独立根CA

（1）在Win2008R2上，通过“选择服务器角色”窗口勾选“ActiveDirectory证书服务”复选框，单击“下一步”，在“角色服务”列表中勾选“证书颁发机构”和“证书颁发机构Web注册”复选框，以启用Web注册功能。

如图1所示。

图1选择角色服务窗口

（2）在“指定安装类型”窗口中，由于此服务器不是域控制器，且未加入域，因此“企业”单选按钮为不可用状态。

单击“下一步”，在指定CA类型画面中选择“根CA”。

（3）在“设置私钥”窗口，由于当前是第一次安装证书服务，且没有私钥，因此点选“新建私钥”按钮。

单击“下一步”。

（4）在“为CA配置加密”窗口，可以选择加密服务提供程序，密钥的长度，哈希算法等。

如图2所示。

图2为CA配置加密窗口

（5）在“配置CA名称”窗口，在“此CA的公用名称”文本框中设置此证书的公用名称。

比如取名为“MyCA”。

单击“下一步”按钮，设置有效期，默认为5年。

单击“下一步”，设置证书的数据库和数据库日志的位置。

这里使用默认值即可。

（6）接下来，安装IIS。

至此，完成独立根CA的安装。

3、安装一个独立的子级CA

在CWin2008R2上安装一个独立的子级CA。

该CA依赖于1中创建的独立的根CA。

（1）大部分步骤同1，在指定CA类型中，选择“子级CA”。

如图3所示。

图3子级CA示意图

（2）同样，选择“新建私钥”。

将CA的公用名称命名为MyCAChild，其他选项使用默认值。

在“向CA申请证书”对话框中，选择将证书请求保存到某个文件中并稍后手动发送给父级CA，文件名使用默认值即可。

如图4所示。

单击“下一步”，接下来的安装同1，只需要选择默认值即可。

图4将证书请求保存示意图

（3）安装完成后，会出现如图5的安装不完整的警告信息提示，要求使用“C：

\CWin2008R2_MyCAChild.req”文件，从父CA获取证书。

图5安装过程重要提示

（4）在CWin2008R2上向父CA申请证书。

通过IE，输入http:

//192.168.10.2/certsrv/，即可进入证书申请画面，如图6所示。

图6向父CA申请CA证书示意图

（5）在图6中选择“申请证书”->

“高级证书申请”，选择“使用base64编码的CMC或…”如图7所示。

图7高级证书申请示意图

（6）将之前保存的证书申请文件CWin2008R2_MyCAChild.req用记事本打开，然后将内容复制到如图8所示的文本框中。

然后提交给根CA。

图8复制证书文件内容示意图

（7）在根CA上为子CA颁发证书。

颁发成功后，在子CA上通过“查看挂起的证书申请的状态”->

“保存的证书的申请”->

“下载证书链”，默认的文件名为certnew.p7b。

如图9所示。

将证书下载到CWin2008R2上，保存路径可以自已设置或使用默认值。

图9在子CA上下载证书链示意图

（8）安装所下载的证书。

在子CA上通过“开始”->

“管理工具”->

“证书颁发机构”->

鼠标右键“所有任务”->

“安装CA证书”，如图10所示。

图10安装证书链示意图

（9）选择下载到的证书certnew.p7b，然后“打开”，会出现如图11所示的提示，表示根证书不被信任，直接单击“确定”即可。

图11安装父级CA示意图

（10）如果此时启动子级CA，将会出现如图12所示的错误提示，表示需要设置证书的吊销列表。

图12启动子级CA错误提示图

（11）在父级CA上，通过右击鼠标“MyCA”->

“属性”->

“扩展”，设置CRL分发点来告知子级CA从何处下载证书吊销列表，这里设置成通过HTTP路径。

同时勾选下面的选项，如图13所示。

图13设置CRL分发点示意图

（13）同时在子级CA的hosts文件中（该文件位于系统安装目录的system32\drivers\etc目录下，将父级CA的IP和主机名映射关系建立。

如图14所示。

图14添加父CA的名称解析示意图

（14）启动独立子级CA，如果成功，画面将如图15所示。

如果子级CA启动仍然不成功，可以取消检查CRL。

方法是，在命令提示符下运行如下命令：

Certutil-setregca\CRLFlags+CRLF_REVCHECK_IGNORE_OFFLINE。

图15启用子级证书服务器示意图

3、客户机（Win7）信任子级CA

通过手动添加证书，使得客户机信任子级CA。

方法是通过IE，在地址栏里输入http:

//192.168.10.3/certsrv（假定子级CA服务器IP地址为192.168.10.3），选择“下载CA证书、证书链或CRL”，将CA证书链保存。

然后通过MMC控制台，通过添加“证书”->

“计算机账户”，将证书管理单元添加，接下来在“受信任的根证书颁发机构”上对“证书”单击右键，选择“所有任务”->

“导入”，选择之前保存的子级CA证书将其导入，其它使用默认值即可。

完成后可以看见子级CA证书在信任证书目录里面。

如图16所示。

图16导入CA证书使得客户机信任子级CA

4、客户机向子级CA申请证书服务

（1）修改IE安全设置

通过修改IE中的安全设置，对“未标记为可安全执行脚本的ActiveX控件初始化并执行脚本（不安全）”，选择启用。

如图17所示。

图17修改IE设置示意图

同时将Intranet的安全级别降为低级别，将CA网站加入到本地Intranet（站点标签下），如图18所示。

图18修改IE中Intranet设置示意图

（2）在客户机的地址栏上输入http:

//子级CA的IP/certsrv，可以打开证书web服务功能。

如图19所示。

图19利用证书服务web页提供证书申请

（3）客户机申请一个计算机证书

通过选择“申请证书”，选择“高级证书申请”，选择“创建并向此CA提交一个申请”，填写姓名、电子邮件、公司等信息，需要的证书类型选择“客户端身份验证证书”，勾选“标记密钥为可导出”，其他的可使用默认值，完成后选择下面的提交。

如图20所示。

图20申请一个计算机证书示意图

（4）在子级CA服务器CWin2008R2点击进入CA，在下面“挂起的申请”上将出现“申请的证书”页面。

在申请的证书上单击鼠标右键，选择“所有任务”下的“颁发”。

完成向客户机颁发证书的任务。

（5）重新登录客户机，通过浏览器查看“查看挂起的证书申请状态”，点击进入。

如图21所示。

在证书上点击，进行安装。

直到安装成功画面。

如图22所示。

图21客户机查看获取证书状态

图22客户机安装证书服务器颁发的证书

（6）将证书从用户证书缓存区导出

在MMC控制台上添加“证书”，选择“我的帐户”，再次选择“计算机账户”，然后在“个人”的“证书”下找到安装的证书，然后右击，选择“所有任务”->

“导出”，如图22所示。

然后利用导出向导将证书导出保存。

图22导出下载的证书示意图

（7）将证书导入本地计算机证书缓存区

在“个人”上单击右键，选择“所有任务”->

“导入”，然后导入中级证书颁发机构，如图23所示。

图23将证书导入本地计算机证书缓存区示意图

5、用ping命令测试证书的使用

（1）在Win7上，通过“控制面板”->

“系统和安全”->

“Windows防火墙”->

左边的“高级设置”->

“连接安全规则”->

“新建规则”->

“身份验证方法”->

“高级”->

“自定义”->

“添加”->

选择保存的证书。

如图24所示。

规则的名字自己设定。

图24设置通过证书验证用户身份示意图

（2）在另一台Win7上重复4中的所有步骤，然后同

（1）的步骤。

完成后可以使用证书来验证用户身份。

（3）在两台Win7的防火墙上启用ICMP的相关流量，通过防火墙的高级设置的“入站规则”->

“文件和打印机共享（回显请求”-ICMPv4-In）”->

“启用规则”。

如图25所示。

图25启用防火墙的ICMP规则

（4）测试两台主机通过证书验证可以ping通。

6、证书服务器的备份与还原

（1）在证书服务器上单击右键，在“所有任务”下选择“备份”，启动证书颁发机构备份向导。

如图26所示。

图26证书颁发机构备份向导

（2）单击“下一步”，选择需要备份的项目和备份的位置。

如图27所示。

图27要备份的项目窗口

（3）单击“下一步”，设置密码，以防止被其他人访问。

如图28所示。

图28选择密码示意图

（4）最后单击“完成”按钮，即可备份证书。

（5）证书的还原和备份操作相似，只是需要选择“还原CA”，然后根据向导选择需要还原的项目，证书备份的路径，在密码文本框中输入备份CA时设置的密码。

此处略去。

6实验总结

1、给出在WindowsServer2008R2上安装证书服务的步骤。

2、尝试安装企业证书服务，完成本实验中的内容。