单元九 管理Windows Server 2003 证书服务器

网络操作系统管理及应用（第二版）辽宁机电职业技术学院·丛佩丽单元九管理WindowsServer2003证书服务器任务引入任务分析习题任务实施任务28配置Windowsserver2003证书服务器相关知识网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务引入你是某公司网络管理员，该公司要以Windowsserver2003网络操作系统为平台，建设公司的网站，公司的域名为，为了公司网站安全，利用安全套接层SSL协议实现安全的数据通信，公司网络拓扑如图28-1所示：网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务分析作为公司的网络管理员，为了完成该任务，进行网络规划，首先利用Internet信息服务管理器（IIS）的默认站点，架设公司的网站，实现客户机使用域名访问公司网站；证书颁发机构安装在服务器上，安装证书服务，为Web服务器申请安装证书，最后验证并访问安全点的Web站点。网络操作系统管理及应用（第二版）辽宁机电职业技术学院相关知识安全套接层SSL协议十目前应用最广泛的安全传输协议之一。它作为Web安全性解决方案，由Netscape公司于1995年提出。现在，SSL已经作为事实上的标准被众多的网络产品提供商所采纳。SSL利用公开加密技术和秘密密钥加密技术，在传输层提供安全的数据传递通道。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施步骤一：安装CA

选择“开始”|“设置”|“控制面板”|“添加/删除程序”选项，弹出“添加/删除程序”窗口，单击“添加/删除Windows组件”按钮，弹出“Windows组件向导”对话框，单击“下一步”按钮，弹出“Windows组件”对话框，从“组件”列表框中选中“证书服务”复选框，如图28-2所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（2）单击“详细信息”按钮，查看证书服务的子组件，如图28-3所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（3）单击“下一步”按钮，出现“CA类型”界面，选择“独立根CA”，如图28-4所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（4）单击“下一步”按钮，，出现“CA标识信息”对话框，输入CA的公用名称“”，如图28-5所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（5）单击“下一步”按钮，出现“证书数据库设置”界面，“证书数据库”和“证书数据库日志”的位置使用默认位置即可，如图28-6所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（6）单击“下一步”按钮，安装过程中会出现“Microsoft证书服务”提示框，如图28-7所示，默认安装IIS时并不启用ASP支持，因此在安装时出现提示框，选择“是”按钮。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（7）由于安装证书服务需要Windowsserver2003上的某些文件，因此，当系统提示插入安装盘时，将Windowsserver2003安装盘装入光驱，单击“完成”按钮，当回到“添加/删除程序”窗口后，单击“关闭”按钮。（8）打开C:\WINDOWS\system32\CertLog文件，如图28-8所示，说明已经成功安全了证书服务。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施步骤二：架设公司网站，使用域名进行访问将项目八任务一中编写的公司网站主页文件homepage.html复制到IIS的默认网站主目录C:\inetpub\wwwroot下，并添加文档，如图28-9所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施

在IE浏览器中使用IP地址访问该默认网站，如图28-10所示，使用域名访问该站点，如图28-11所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施步骤三：为Web服务器申请和安装证书支持SSL协议的Web服务器需要申请和安装自己的证书，以便在合适的时候将自己的公开密钥传递给浏览器。在Web服务器上配置SSL协议需要经过证书的申请、证书的下载、证书的安装和Web服务器的配置等过程。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施1.准备一个证书请求信息（1）选择“开始”|“程序”|“管理工具”|“Internet服务管理器”选项，弹出如图28-12所示的控制台。证书服务安装完成后，在默认网站下多了“CertSrv”项目。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（2）在IIS左侧的管理控制树中右击“默认网站”站点，在弹出的菜单中单击“属性”命令，在弹出的站点属性对话框中选择“目录安全性”标签，如图28-13所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（3）单击上图中的“服务器证书”按钮，出现“Web服务器证书向导”对话框，如图28-14所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（4）单击“下一步”按钮，弹出如图28-15所示的“服务器证书”界面，选择“创建一个新证书”单选项。

网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（4）单击“下一步”按钮，弹出如图28-16所示的“延迟或立即请求”对话框，在该对话框中选择“现在准备请求，但稍后发送”选项，将请求的数据首先保存在文件中，然后再将该文件提交给安装有证书服务的主机。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（5）单击“下一步”按钮，弹出“命名和安全性设置”对话框，在该对话框中显示证书的名称为“默认网站”，不必修改，如图28-17所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（6）单击“下一步”按钮，弹出“单位信息”对话框，在该对话框中输入单位名称“lnjd”，部门为“信息”，如图28-18所示，单击“下一步”按钮继续。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（7）单击“下一步”按钮，弹出“站点公用名称”对话框，在该对话框中输入公用名称是，如图28-19所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（8）单击“下一步”按钮，弹出“地理信息”对话框，在该对话框中输入国家、省和市县信息，如图28-20所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（9）单击“下一步”按钮，弹出“证书请求文件名”对话框，默认的证书文件名是certreq，放在C盘根目录下，如图28-21所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（10）单击“下一步”按钮，弹出“请求文件摘要”信息界面，如图28-22所示，查看信息，如果没有问题，单击“下一步”按钮完成证书请求。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施2.提交证书申请准备好证书请求信息之后，需要将该文件提交给证书颁发机构，证书颁发机构的IP地址是，以便管理机构为申请者签发和颁发证书。证书申请的提交工作通过浏览器完成，具体步骤是：网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（1）启动IE浏览器，在地址栏中输入/certsrv，弹出如图28-23所示的对话框。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（2）选择“申请一个证书”，单击“下一步”按钮，弹出“证书类型选择”对话框，如图28-24所示，由于此任务是为Web服务器申请证书，因此选择“高级申请”选项。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（3）由于我们已经形成了一个证书请求文件，因此选择“使用base64编码的CMC或PKCS#10文件提交一个证书申请…”，如图28-25所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（4）单击“下一步”按钮，弹出“提交一个保存的申请”对话框，使用记事本打开C：\certsrv文件，将文件的内容复制到“保存的申请”文本框中，如图28-26所示。任务实施网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（7）单击“提交”按钮，证书申请文件将传送给安装有证书颁发机构的服务器。如图28-27所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施3.为证书申请者颁发证书（1）选择“开始”|“程序”|“管理工具”|“证书颁发机构”选项，弹出如图28-28所示的控制台。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（2）单击左侧窗口中的“待定申请”按钮，列出所有未处理的证书申请信息，如图28-29所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（3）右击需要处理的证书申请，在弹出的菜单中单击“颁发”命令，执行了“颁发”命令后，颁发的证书显示在“颁发的证书”目录下，如图28-30所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施4.下载证书当证书颁发机构颁发证书后，证书申请者通过浏览器下载自己的证书。（1）启动IE浏览器，在地址栏中输入/certsrv，弹出如图28-31所示的对话框。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（2）选择“检查挂起的证书”，单击“下一步”按钮，系统将显示所有挂起证书的列表，如图28-32所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（3）选择需要下载的证书，单击“下一步”按钮，选择“下载证书”选项，如图28-33所示，系统把颁发的证书存储在指定的文件中，系统默认的证书文件名是certnew.cer，保存在桌面上。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施5.安装证书并配置Web服务器得到了证书颁发机构颁发的证书后，就可以将它安装在Web服务器上，通过配置，Web服务器就可以支持SSL通信。（1）在IIS左侧的管理控制树中右击“默认网站”站点，在弹出的菜单中单击“属性”命令，在弹出的站点属性对话框中选择“目录安全性”标签，如图28-13所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（2）单击上图中的“服务器证书”按钮，出现“欢迎使用Web服务器证书向导”对话框，如图28-34所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（3）单击“下一步”按钮，出现“挂起的证书请求”对话框，如图28-35所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（4）选择“处理挂起的证书并安装证书”选项，单击“下一步”按钮，系统提示输入保存证书的文件名，输入保存在桌面上的证书文件certnew.cer，如图28-36所示。按照系统的提示，证书可以安装到Web服务器上。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（5）单击“下一步”按钮，出现“SSL端口”对话框，默认站点使用的SSL默认端口是443，如图28-37所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（6）单击“下一步”按钮，出现“证书摘要”提示界面，查看证书信息是否正确，如图28-38所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（7）证书成功安装后，系统将返回到站点属性的对话框，如图28-39所示，与图28-13相比，安装证书之后，安全通信区域的“查看证书”和“编辑”按钮已经可以使用了。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（5）执行“查看命令”命令，系统将显示证书的基本信息，如图28-40所示。网络操作系统管理及应用（第二版）辽宁机电职业技术学院任务实施（6）单击图28-40中的“编辑”命令，系统进入安全通信设置对话框，如图28-41所示，选中“申请安全通道（SSL）”复选框，单击“安全通信”对话框和站点属性对话框中的“确定”按钮，Web站点就能够支持SSL通信。网络操作系统管理及应