《网络应用服务管理》形考任务五

实训5：配置数字证书服务（第5章，占15%,需要

批阅）

本次实训计入形成性考核成绩，请你按照要求认真完成。

本次实训以实验报告的形式提交，需要你将操作过程截图来完成，页面下方有具体

的要求，请你注意仔细查看。

实训环境

1.-uWindowsServer2016DC,主机名为DC。

2.一台WindowsServer2016服务器并加入域，主机名为Server!。

3.一台Windows10客户端并加入域,主机名为WinlO。

实训操作

假设你是一家公司的网站管理员，需要你完成以下工作：

1.在DC上部署企业板CA。

2.发布证书申请网站。

3.在Serverl上创建基于SSL的网站。

三、实训成果

1.在DC上部署企业根CA。

打开“服务器管理器”，单击“添加角色和功能”，打开“添加角色和功能向导”

窗口。

□X

<•仪表板•@IrEMT8n)VB(V)ft.

iHaAKdRf/HKMSPfra

i不旃务看

fc所与罗』i

o配贵此本地服务器

2|港加角色和功能

3添加穿曾押的其他

""匚皿创m矮一

■4

5将此困究若连过列云因色

角色划・力s«

住他01Krs«ti|K^^JH1

逐步单击“下一步”，在“服务器角色”界面中，勾选"ActiveDirectory证书

服务”复选框，然后单击“下一步二

女工芟中♦色Vnf

碓第珏

"ActiveDtrdygRqhtsVufdeerentSvrv-ArtiveDtrerfaryicfiStXADC4]

_Ad"Mriory〉今引佳而连尾子台定竹g，K，：丸饮色5!

告.从七评召甘于台=区可

AdUir-lexyS21R》=若&MKl

功能a句套；_Soft*的乙W,

G犍.y

ADCSAciOirEgry彳，遥&l

I*K?6«

除包薪幺jnvctesse

在“ADCS角色服务”界面中，勾选“证书颁发机构”和“证书颁发机构web

注册”复选框，然后单击“下•步”。其中“证书颁发机构web注册"角色，

可以实现通过浏览器向CA进行证书申请的网站功能。

诜择角色服务$<rv"！c»<^e：04cm

FlilZrtLrActiv*u**cto).三5蛹若r糕齐千音，■田君芬

安中NBf

七%后遗暮

5上午耽w后U；陆4

*芋figW山内旗:育用尸访包

£务士任士□fE序

¥巾金*收；._U口上WX的九

I」辜工笈三脏弧旁

史*:永CROfc=E3，FFkt

止+1>方<1&Web挂

ADCS辽1'主册WetJLM

/HU方

；v«fc今步/・色，K)

m色・务

»u

最后在“确认”界面中，单击“安装”，开始安装证书服务。

nx

确认安装所选内容CCF50oom

尹怡之箝七2卞/部IKfJSkF*・回te。丞健引霞节-b.

安工类立[wx=r口了L?4*N

小务!!念崔词xa在mauz..Rju^LX'WWia).B/；aejhsarsa^s..9*”》＜，=次・司am

.含~•上fU曲

*%玄・色

■收Actrv・O't«tory五KBUE

QB

证马电球Web新

・外险勇

Web店名通IS)

色IS>

WrbSfc^a

小伍*务STS.HTTP口2

■认”手内a

M码

BZffl*

HTTP—

HHPSSP

I_______

x；±JEE-iS

・上"

完成安装后，单击“配置目标服务器上的ActiveDirectory证书服务二

查春安的度

o力能安我

非要ES・BJESefverl.

ActiveDirectoryUH5ES

红限巴ActiveDireaoy贬呼.乃飘行Kt矶个“囊

证书陋发机构

证仿童发机构Web注册

Web■磨器0IS)

WeblES器

在“ADCS配置”向导中的“角色服务”界面，勾选“证书颁发机构”和“证书

颁发机构Web注册二

&1Aoe、配专□X

角色服务Serverl.contoM.com

凭胃洗择要配者的角色服务

角色医务

设置类型

M正刊R3函MWeb汪黄

CA类型

联引响应程序

私明月虐设公建8瞳务

1腕讦七二磬Weo够《5

证书尊脏匍《\”肥完

CA名称6

石效即

证书数据库

确认

在“ADCS配置”向导中的“设置类型”界面，选择“企业CA二

ILADC$□X

HliK«a

设置类型Serve*1contoiocom

凭焉指定CA七设置类至

角色*：另

电曾矣生企业正做心利忘仁人间。眄AU12Y(xyl«S沸■咻GX*ITE5.皿CA不使咫AD

DS刘磔—书.

CA鼻主

以对|・"。疏~

SCA0肛亍四?个,齐丹3年介克以SGT'S彝i书融.

M2

二名行Ott±CA(A)

-cAmMS.xmatM.岫0不皿22，,可在或也确会妁％氏津取)下

有敬明

运节豺交比

场认

在“ADCS配置”向导中的“CA类型”界面，选择“根CA”。

-□x

HhBI*V

CA类叁Servericonfotocom

ZE指定CA2

用2*务

设宣大史在如Mti”DrKToryWMB先（ADCS.«,桂创建3*反公国号3。（火口层加瓯*CA

仔=PKI彳次结询T7挈.而左片口己由Hf名浴■书.小庄CA从PKUSSaOHv-M上方的

CA要空CA-

和铜

|•f9CXRI|

彝•p：&PXIu-«c=ft»ra-enCA.

CA名称

L>PJICAlU）

有奴期

CA5JQPO=弁次曲』21JLLfECA

«unjRji

全部保持默认设置并单击“下一步”，最后单击“配置”按钮，完成证书服务的

配置。

□X

据认

先整&W配卤:，角之■道y石中主七牛T.

勒色用务0ActWCMrtctory

松笈关生

CA集型

CA-aits

杷铜znsw^cySlut^9*PvoM，r

厘SMA256

*更忙u?O48

CAZff

育败院

记二方加202^8/132100

可分附跟CN-.cnti»o-SERVtRKAiX；co--，x«>DCC81

一皿雷&管CI09

立《初S*日忑05C'MndDmyE«m3TCvHLo^

•HWftSWURWcbft»

•上一对介）下步（AAIeatc

“证书服务”安装完成后，可以在“服务器管理器”的“工具”菜单中，打开“证

书颁发机构”管理工具进行查看。

cert»«v-［证1!微发◎本M8J□X

文用D拿作（A）壹看2）WftXHi

为证书SR发矶构（本埼）

*Wcontoso-SERVERl-CAcomo»oSERVER1-CA讦毛畿冠机福

二M*?书

频发的正书

侵正的田透

欣的响

LT•正书”

当域内的用户向企业根CA申请证书时,企业根CA会通过ActiveDirectory得知

用户的相关信息，并自动核准、发放用户所要求的证书。

企业根CA默认的证书种类很多，而且是根据“证书模板”来发放证书的。例如,

图中右方的“用户”模板内提供了可以用于将文件加密的证书、保护电子邮件安

全的证书与验证客户端身份的证曰。

618rtm•PI书SERVER16证书—-ex

文W)»n(A)O,V)»®(H)

♦♦I力I@总|日

二1证书簧发俯(本地

VjcontcccSERVERICA3a2电子窿件工利a会展外电手匕件■制

国号Z肝串

网城X制X身份m春.失身方找正/0注身为般正SK-

2效8加

⑷Kerberos身份验江香.F身分脸，正展矣黑身分蛉一正智能一

□业初日清

回£内恢复F文七收复

1vs1诋*—

事板1

WHQKJ3MJ30L<ML

画Web片芬器蛉让

@Tf•苣氏工二一个装证毋然言与合转证

闻用q吟t匕血克全宅子物之言户弼与…

必从■证书俄发侦■全2£・

国Mrrcsft值七列秀生MMR：件;fc.

Windowsserver2016通过组策略，让域内的所有用户与计算机自动信任由企业根

CA所发送的证书。例如，域内的一台Windows10计算机中IE浏览器的证书界

面，此计算机自动信任域内的企业根CA。

证书X

M期目的(N)：〈酊有A

个人其他人中间证书圈发矶构受信任的临证书霞发机构受信任的夏布看未受信任的发布者

陵发给敌者截止日期期名称A

Z^CIass3PublicPjClass3PublicPrim_2028/8/2VeriSignClass.-

写ICla路3PublicPr...Class3PublicPnrn«2004/1/8VeriSignClass...

/Copyright(e)19...Copyright(c)1M7„.1999/12-MicrosoftTiivi...

Z3DC.DC.2019/2/2证书网站

L^]easthome-DC-CAeasthome-DC-CA2023/2/2＜无》

二easthome-DC-CAeasthome-DC-CA2023/2/2〈无〉

MicrosoftAuthe...MicrosoftAuthenti...2000/1/1MicrosoftAut..

石MicrosoftRoot..MicrosoftRootAu...2020/12.MicrosoftR.00...

.MicrosoftRootiMicrosoftRootCe...2021/5/...MicrosoftRoo...

MicrosoftRoot».MicrosoftRootCe...2035/6/-.MicrosoftR.00...V

导人⑴…®®(A)

2.发布证书申请网站。

在“服务器管理器”中打开"InternetInformationServices(IIS)管理器”。

并在服务器的主页中单击“服务器证书〃。

M«(F)中国访IHTM'

*■

*•I，，■

VeDC(tAS?NOMC\Admn«*ri

J&m99fS

>•RU

选择“创建自签名证书二

在“创建自签名证书”对话框中，输入一个证书名称，并在“为新证书选择证书

存储”中选择“web宿主”，最后单击“确定”按钮。

X

陪友H各彩

修定⑪心,曲文•名.世图名可以发畛Z普/双州限:行芸台：

加iWS罡fth5S*

*

为集靠拜江如a$)：

W«b•主v

返回"InternetInformationServices(IIS)管理器”界面,选择默认网站，并单击

右侧的“绑定”。

MF)«*v)MC(H

在“网站绑定”对话框中，单击“添加”按钮。然后在“添加网站绑定”对话框

中，选择“https”类型JSSL证书”选择之前申请的证书名称,最后单击“确定”

按钮。

:狗厂一?X港加闻一

|一⑴；

IP碗⑴：滨口(。&

£ns(H)：

□哥要耳务d名伶指示(N)

知（0

此时己完成证书申请网站的发布。登录客户端计算机，使用IE浏览器，访问证

书申请网站:https:〃网站服务器域名或地址/certsrv,即可访问证书申请网站。

:?--.1M.1M0.I0,•••.VP•0S-19M可0MOMO*Aaiv*CNraaor.

MicrosoftOirectoryed、tborne-DC-CA

欢迎使用

使用此网站为你的Web浏知8、电子邮件客户篇或其他程序申请证书.通过便邮出书,你可以向通过Web进彳

你的身份、签名并加照邮件，并根据你申请的证书类型执行具他安全任务.

你也可以使用此网站下载证书服发机构(CA)证书.证书偿，或证书用的列表(CRL),或者备着棒制申请的状态.

a关ActiveDirectory证书服务的详细估息，遣察阅ActiveDirectory证3滂义档.

选择一个任务：

申请让书

■有抒起小］证书申法的状杰

卜载CA证书.证书燧或CRL

3.在Serveri上创建基于SSL的网站。

完成Web服务器(IIS)的安装。

/Internetir)foemdtionService(IISgfiM

••«RVER1♦网玷•DefauhWebSite♦

H*(F)WBM・肋M

.

主页

3•k.2.yDefaultWebSite

■柳贡