使用AD证书服务实现安全的企业网站访问.doc

福建开放大学

网络管理与维护综合实训——项目报告（二）

（实训2：使用AD证书服务实现安全的企业网站访问）

学生姓名

学号

班级名称

所属分组

项目验收结论

（教师评语）

教师签字日期

小组评价

教师评价

成绩

一、实训目的

使用AD证书服务实现安全的企业网站访问。

二、实训环境

两台计算机，确保硬件满足安装WindowsServer2022的最小需求。

WindowsServer2022操作系统安装介质。

确保两台计算机在同一局域网中，且网络连接正常。

三、实训内容

在两台计算机上安装WindowsServer2022Datacenter操作系统。

在两台计算机上分别设置TCP/IP参数，使两台计算机可以相互通信。

在一台计算机（S1）上创建WindowsServer2022活动目录域（包含DNS服务），并安装ActiveDirectory证书服务和Web服务器角色。

在DNS服务器（S1）上创建DNS主要区域和A记录（用于网站的FQDN访问）。

在Web服务器（S1）上创建网站1和首页，并绑定网站的主机名（即，FQDN）。

在Web服务器（S1）上创建网站2和首页，为该网站申请SSL证书，并与网站绑定。

将另一台计算机（S2）加入域，并验证已经自动获得域用户帐户证书。

在域成员计算机（S2）上使用http协议访问Web服务器（S1）上的网站1，使用https协议访问Web服务器（S1）上的网站2。

在Web服务器（S1）上设置Windows防火墙的入站规则，拒绝域成员计算机（S2）访问Web服务器（S1）的网站1（端口80），而允许域成员计算机（S2）访问Web服务器（S1）的网站2（端口443）。

四、实训要求（40分）

掌握ActiveDirectory证书服务器的管理设置。（5分）

掌握DNS服务器的管理设置。（7分）

掌握Web服务器的管理设置。（8分）

掌握Web服务器证书的申请和证书的绑定。（10分）

掌握Windows防火墙的设置。（5分）

完成项目实训报告。（5分）

实训项目分析与操作记录

一、实训环节搭建

1、前期规划

明确目标：确定通过AD证书服务实现外部网络访问的具体需求，例如安全的远程访问、加密通信等。

服务器选择：选择一台适合安装AD证书服务的WindowsServer服务器。考虑服务器的性能、存储容量和可扩展性。

2、安装ActiveDirectory证书服务

选择证书服务：在“选择服务器角色”页面，勾选“ActiveDirectory证书服务”。然后点击“下一步”，按照向导完成证书服务的安装。在安装过程中，需要选择证书颁发机构类型、加密选项等。

3、配置证书颁发机构

打开证书颁发机构控制台：安装完成后，在“服务器管理器”中，点击“工具”菜单，选择“证书颁发机构”。

配置根CA：如果是根证书颁发机构，需要进行一些重要的配置，如设置证书有效期、密钥长度、证书撤销列表（CRL）发布点等。确保根CA的安全性，例如限制物理访问和网络访问。

4、创建证书模板

根据外部网络访问的需求，创建适当的证书模板。例如，可以创建用于VPN连接的证书模板、用于Web服务器的SSL/TLS证书模板等。

配置证书模板的属性，如有效期、密钥长度、用途等。确保证书模板符合安全标准和企业需求。

5、颁发证书

手动或自动颁发证书：根据企业的安全策略，可以选择手动颁发证书或设置自动颁发规则。手动颁发证书需要管理员审核申请，而自动颁发可以根据预设的条件自动颁发证书。

将证书颁发给服务器和客户端：将服务器证书安装到需要访问外部网络的服务器上，将用户证书安装到需要进行身份验证的客户端计算机上。

6、客户端配置

安装证书：在客户端计算机上，安装从证书颁发机构获得的证书。可以通过组策略或手动安装的方式进行。

配置网络访问：根据证书的类型和用途，配置客户端计算机的网络访问设置。例如，如果使用VPN证书进行远程访问，需要在VPN客户端软件中配置证书设置。

7、优化

优化配置：根据测试结果，对证书服务和客户端配置进行优化。可以调整证书模板、颁发策略、网络设置等，以提高性能和安全性。

实训实施步骤

实训项目体会

一开始，面对复杂的技术要求和陌生的工具，我感到有些压力。但随着不断地学习和实践，我逐渐掌握了配置的关键步骤。在这个过程中，我不仅学会了如何操作AD证书服务，还深入了解了网络安全的重要概念。通过这次实习，我认识到持续学习的重要性。技术在不断发展，只有不断更新自己的知识，才能适应不断变化的工作需求。同时，我也明白了细节决定成败，在