WinS网络基础及管理 8

项目五配置活动目录证书服务133活动目录证书服务的安装与配置2证书模板的设置与操作目录CONTENTS1341证书颁发机构的备份与还原3随着某企业信息化建设的持续推进，网络安全和数据保护已逐渐成为该企业运营的核心议题。为确保该企业数据的完整性、机密性，并实现用户身份验证和授权管理的统一化，活动目录证书服务的部署显得至关重要。在本项目中，将在WindowsServer2022平台上部署活动目录证书服务，为企业提供一个集中管理、分发和验证数字证书的统一平台。如图所示为企业网络拓扑的简化版本，在DC1上部署证书颁发机构，在DC2和客户端上申请证书，项目中的虚拟机均通过VMwareWorkstation虚拟机进行连接。135136企业网络拓扑的简化版本本项目学习在WindowsServer2022中安装和配置活动目录证书服务，从而实现客户端向证书颁发机构申请证书。任务1活动目录证书服务的安装与配置137●能描述证书颁发机构的作用。●能在WindowsServer2022环境下安装证书颁发机构角色。●能辨别区域独立CA和企业CA。●能区分证书颁发机构Web注册角色服务和证书注册Web服务。●能通过浏览器提交证书申请和下载证书。138本任务学习在WindowsServer2022环境下安装与配置CA角色的方法，并熟悉不同类型颁发机构的特点及应用场景，能部署Web注册角色服务用于申请证书。139一、活动目录证书服务概述活动目录证书服务（ADCS）是一项WindowsServer角色，主要负责颁发、管理安全通信与身份验证协议中所使用的公钥基础设施（PKI）证书。数字证书可以应用于对电子文档和消息进行加密与数字签名，同时为网络中的计算机、用户或设备账户提供身份验证功能。140二、证书颁发机构角色组件1. 证书颁发机构根证书颁发机构和从属证书颁发机构用于向用户、计算机和服务颁发证书，并管理证书的有效性。2. 证书颁发机构Web注册证书颁发机构Web注册使用户能够通过Web浏览器连接到CA，以便申请证书和检索证书吊销列表（CRL）。1413. 联机响应程序联机响应程序服务可解码对特定证书的吊销状态申请，评估证书的状态，并发送回包含所申请证书状态信息的签名响应。4. 网络设备注册服务通过此服务，路由器和其他不具有域账户的网络设备可以获取证书。1425. 证书注册策略Web服务通过此服务，用户和计算机能够获取证书注册策略信息。6. 证书注册Web服务通过此服务，用户和计算机能够通过Web服务执行证书注册，与证书注册策略Web服务一起使用时，可在客户端计算机不是域成员或域成员未连接到域时，实现基于策略的证书注册。143三、证书颁发机构1.证书颁发机构的类型（1）企业根CA（enterpriserootCA）企业根CA是一个组织内部的根证书颁发机构，它是整个组织PKI层次结构的根节点，负责颁发其他证书颁发机构的证书，以及为组织内部的实体颁发证书。企业根CA通常依赖于组织的域环境，并在其范围内提供信任。144（2）企业从属CA（enterprisesubordinateCA）企业从属CA是企业根CA下属的证书颁发机构，它依赖于企业根CA的信任链，并负责颁发具体实体的证书。企业从属CA的证书还用于颁发其他从属CA的证书。（3）独立根CA（stand-alonerootCA）独立根CA是一个独立的、不依赖于其他CA的根节点，是一个自包含的PKI系统，不属于任何特定组织，通常由可信任的第三方实体进行管理。独立根CA的证书用于签署其他证书颁发机构的证书，以建立信任链。145（4）独立从属CA（stand-alonesubordinateCA）独立从属CA是在独立根CA下属的证书颁发机构，依赖于独立根CA的信任链，并负责颁发具体实体的证书。独立从属CA还可颁发其他从属CA的证书，形成一个层次结构。1462. 企业CA和独立CA的区别企业CA与ActiveDirectory域服务紧密集成，利用ADDS中的信息和证书模板来自动审批和颁发证书，适用于企业环境的自动化证书管理和智能卡登录。独立CA则不依赖ADDS，不使用证书模板，所有证书申请需手动审批，适用于不使用ADDS或非Microsoft目录服务的环境。147四、证书颁发机构Web注册角色服务证书颁发机构Web注册角色服务提供了一种基于浏览器的便捷方法，使用户无需安装特定客户端组件即可申请单个证书。用户通过Web浏览器访问CA的Web注册站点，填写证书申请表；CA接收申请后，进行处理并颁发证书。148此服务允许用户通过“HTTPS：//<servername>/certsrv”执行证书申请和续订、查询证书吊销列表（CRL）、注册智能卡证书等任务，其中<servername>代表托管CAWeb注册角色的服务器名称，URL中的“certsrv”应始终小写。该服务要求使用SSL或TLS确保安全性，若在CA本地访问，可选择不使用SSL或TLS，否则会出现错误提示：“若要完成证书注册，必须将CA的网站配置为使用HTTPS身份验证。”149五、证书注册Web服务证书注册Web服务用于实现自动证书请求和预配，充分利用Windows及WindowsServer操作系统内置客户端的优势，使用户无需手动发出请求或与网站进行交互。该服务在注册和续订额外证书方面具备优势，特别是在林合并和外部网络证书注册的场景中。通过消除各林CA部署需求，组织可以实现PKI的整合，并可减少CA的部署数量。此外，证书注册Web服务允许组织在外部网络启用ActiveDirectory证书服务，使企业网络外部的用户和计算机能够注册证书，从而提升整体PKI管理效率。150任务2证书模板的设置与操作151●能描述证书模板的作用。●能创建自定义的证书模板。●能通过证书模板申请证书。152本任务将学习证书模板的配置方法，以允许用户或计算机通过活动目录策略申请数字证书。153154一、Windows证书模板Windows证书模板是一种定义了数字证书属性、用途和规则的模板，用于配置和规范证书颁发机构颁发的数字证书，以确保一致性和安全性。Windows证书模板包含了一系列设置参数，如密钥长度、有效期、用途、扩展、属性、安全性等，这些设置参数定义了颁发数字证书的特性。二、证书模板的作用证书模板通过定义证书的属性和规则，确保所有颁发的证书遵循相同标准，增强组织中数字证书的一致性，并减少配置错误的风险。证书模板允许配置安全性设置，如申请权限、审批流程和撤销策略，确保只有授权用户才能获得特定类型证书。证书模板可以根据组织需求定制，用于不同用途，如加密、身份验证和电子签名，并支持自动化颁发、配置证书，使用户和设备无需手动配置每个证书的属性，即可通过请求流程获取证书。155任务3证书颁发机构的备份与还原156●能描述证书颁发机构备份与恢复的重要性。●能配置备份证书颁发机构。●能配置还原证书颁发机构。157在本任务中，将学习备份与恢复证书颁发机构的方法，包括安全地导出证书和私钥、按备份顺序进行恢复等。158159一、备份证书颁发机构的重要性证书颁发机构（CA）是负责颁发和管理数字证书的机构，是确保组织安全体系的重要组成部分。CA的故障可能导致无法颁发证书、验证身份和保护通信，从而引发安全风险和业务中断。通过定期备份CA，可在CA故障或损坏时及时恢复，保障业务正常运行，并避免重新部署CA的时间和成本。二、证书颁发机构备份与恢复的注意事项在备份与恢复WindowsServer2022中的CA时，需要注意：定期进行备份，例如每月一次，确保备份所有关键文件，包括CA数据