MCITP课程辅助手册--AD证书.docVIP

安装活动目录证书服务 环境准备：下面实验均在Hyper-V的虚拟机里面进行操作，点击“start”—“administrators Tools”—“Hyper-V Manager”，打开虚拟机的控制台。 把DC1, SVR1, Win7都还原到Domain状态（跟随讲师的操作） 实验1、 双击打开虚拟机“DC1”，点击开机，启动虚拟机，输密码“1qaz@WSX”登陆进去。 打开资源管理器(角色，添加角色，选择AD 证书服务，下一步 选中“证书颁发机构”“证书颁发机构WEB注册”，下一步(独立(根CA，一直点下一步，到“配置CA名称”，把CA的公用名称改成“Contoso-Root-CA”，下一步(有效期15年，下一步，安装。 点击开始(管理工具(证书颁发机构，检查是否能正常运行。 实验、 登陆SVR1，按照实验1的前面步骤添加角色 选中“证书颁发机构”“证书颁发机构WEB注册”，下一步(企业(子CA，一直点下一步，到“配置CA名称”，把CA的公用名称改成“Contoso-Sub-CA”，下一步证书申请 选择浏览，选择“Contoso-Root-CA”，找到父级CA即可 第二种情况，如果根CA不是域的成员计算机，或者离线了，怎么去申请？（在子CA中生成一个文件，在利用web的方式，或者把文件拷贝到父CA中申请） 在同一目录下，选择把证书申请请求保存成文件，完成安装。 方法一，通过web的方式申请 在SVR1打开IE，访问http://DC1./certsrv 选择申请证书(高级证书申请(使用base64编码提交文件申请(把在第四步骤保存的xxx.req用记事本打开，复制里面的所有信息到web框内，提交 方法二，通过把文件copy到根CA申请 把xxx.req 通过网络的方式放到 \\0\c$ 目录下 在DC1中，打开CA，右键点击“Contoso-Root-CA”(所有任务(提交一个新的申请(选择该xxx.req文件，导入。 在DC1中，打开CA,展开“挂起的证书”(选中右边的证书，右键“所有任务”(“颁发 把颁发的子CA的证书下载到SVR1上，再启动子CA（两种方法） 方法一， 通过Web的方式下载 在SVR1打开IE，访问http://DC1./certsrv 查看挂起的证书申请状况(保存的申请证书，下载证书，并保存好，建议改名成contoso-sub-ca.cer 方法一， 通过把文件copy到子CA安装 在DC1中，打开CA,打开颁发的证书，双击打开刚颁发的子CA证书，(详细信息，复制到文件(把证书导出到C盘，命名为contoso-sub-ca1.cer 复制到SVR1上。 给子CA安装证书，启动服务。在SVR1上，打开CA,当前状态为灰色，说明证书服务为启动（因为未安装企业子CA的证书），(右键选择“安装CA证书”，导入(启动服务。 实现HTTPS安全的网站 实验、 在本环境中，SVR1同时也作为一台Web服务器存在，实际应用中，可以是任意的一台Web服务器， 登陆web服务器 SVR1，打开IIS管理器 点击SVR1，找到右边窗口的“服务器证书”，要先在Web服务器上提交证书申请的请求。 点击创建证书申请，输入通用名称：该通用名称必须跟访问路径相同，比如网页服务器是的话，那通用名称也是 ，其他的按实际情况填，下一步，文件路径输入c:\web-cert.txt，完成。 打开IE，登陆企业子CA， 1/certsrv (根CA一般做离线，不再为其他服务提供证书申请) ， 选择申请证书(高级证书申请(使用base64编码提交文件申请(把web-cert.txt 里面的所有信息都copy进去，模板选择web服务器，提交 下载证书（CA自动颁发，为什么？），保存为web-cert.cer 回到刚才的IIS页面，选择右上角的完成证书申请，选择刚才保存下来的证书文件，好记名称也写成，完成 给网站绑定证书，展开IIS管理器(网站(default web site(右键，编辑绑定(添加内容如下图，确定，关闭。 在用/certsrv访问之前，要加在DNS上加别名记录，把与SVR1. 关联起来。（具体操作请看讲师） 开启win7 虚拟机，并访问上面的网站。 实现密钥恢复代理的部署 沿用上一个实验的环境 登陆 SVR1，打开CA，右键点击“证书模板”，选“管理” 配置KRA的模板及权限：双击“密码恢复代理”的模板，打开属性，在安全选项卡里，添加一用户读和注册的权限（默认domain admins已经具备权限，就不用再添加了） 配置企业子CA添加KRA模板：右键，复制模板，设置模板显示的名称，“密码恢复代理AA”，有效期改成5年，ok 申请KRA证书给一个用户（以域管理员为例子）：登录到/certsrv，通过Web申请KRA-AA证书，并