(推薦)Windows網(wǎng)絡(luò)操作系統(tǒng)配置與管理單元十二任務(wù)1：配置ADCS

1、(推薦)windows網(wǎng)絡(luò)操作系統(tǒng)配置與管理單元十二任務(wù)1：配置adcswindows 網(wǎng)絡(luò)操作系統(tǒng)的配置與管理單元一：安裝windows操作系統(tǒng)單元二：安裝與配置活動目錄域服務(wù)單元三：管理用戶和組單元四：配置和管理組策略單元五：配置與管理分布式文件系統(tǒng)單元六：配置與管理存儲系統(tǒng)單元七：配置與管理打印服務(wù)器單元八：ip地址與配置方法單元九：配置與管理dhcp服務(wù)器單元十：配置與管理dns服務(wù)器單元十一：配置與管理web服務(wù)器 單元十二：配置與管理adcs單元十三：配置路由與遠程訪問單元十四：配置網(wǎng)絡(luò)策略服務(wù)和網(wǎng)絡(luò)訪問保護單元十二工作背景 你是時訊公司的網(wǎng)絡(luò)管理員，為了保證公司網(wǎng)絡(luò)的通訊安全，許

2、多技術(shù)都需要證書的支持，比如文件加密，與服務(wù)器的加密連接，安全web訪問，基于證書的vpn加密連接以及基于證書的nap保護等，為此，你需要在當前公司網(wǎng)絡(luò)中部署ad cs基礎(chǔ)結(jié)構(gòu)。工作任務(wù)任務(wù)1 安裝與配置ad cs任務(wù)2 部署用戶和計算機證書 單元十二 配置與管理ad cs任務(wù)1 安裝與配置ad cs任務(wù)2 部署用戶和計算機證書 任務(wù)任務(wù)1 1 安裝與配置安裝與配置 ad cs ad cs 一：課程導入二：知識原理 2.1 pki 及其優(yōu)點 2.2 pki的應用 2.3 pki 解決方案的組件 2.4 ad cs 對 pki 的支持 2.5 ca 概述 2.6 ca 的類型 2.7 獨立 ca

3、 和企業(yè) ca 2.8 ca 層次結(jié)構(gòu)的使用方案 2.9 安裝根 ca 的注意事項 2.10 安裝子級 ca 的注意事項三：演示：安裝根ca 和安裝子級ca四：小結(jié)一、課程導入 你在網(wǎng)上購物，然后用網(wǎng)銀支付，是否擔心賬戶密碼給別人竊??？ 你在網(wǎng)上與別人聊天，不擔心聊天內(nèi)容被黑客截獲？ 你公司的服務(wù)器，可能被心懷不軌的人登錄竊取或破壞？二、知識原理二、知識原理2.1 pki 及其優(yōu)點2.2 pki的應用2.3 pki 解決方案的組件2.4 ad cs 對 pki 的支持2.5 ca 概述2.6 ca 的類型2.7 獨立 ca 和企業(yè) ca2.8 ca 層次結(jié)構(gòu)的使用方案2.9 安裝根 ca 的注

4、意事項2.10 安裝子級 ca 的注意事項2.1 pki 及其優(yōu)點公鑰基礎(chǔ)結(jié)構(gòu)（公鑰基礎(chǔ)結(jié)構(gòu)（pki）：）：pki（public key infrastructure ） 即即公鑰基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施，是一種遵，是一種遵循既定標準的密鑰管理平臺循既定標準的密鑰管理平臺,它能夠為所有網(wǎng)絡(luò)應用提供加密和數(shù)字簽名等它能夠為所有網(wǎng)絡(luò)應用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系，簡單來說，密碼服務(wù)及所必需的密鑰和證書管理體系，簡單來說，pki就是利用公鑰就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。pki技術(shù)是信息安全技術(shù)的技術(shù)是信息安全技術(shù)

5、的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。pki 通過提供以下幾點增強基礎(chǔ)結(jié)構(gòu)安全性：通過提供以下幾點增強基礎(chǔ)結(jié)構(gòu)安全性：機密性：機密性：pki提供了加密存儲和傳輸數(shù)據(jù)的能力提供了加密存儲和傳輸數(shù)據(jù)的能力完整性：使用數(shù)字簽名，可識別在信息傳送過程中是否有數(shù)據(jù)被修改。完整性：使用數(shù)字簽名，可識別在信息傳送過程中是否有數(shù)據(jù)被修改。真實性：利用哈希算法生成信息摘要，利用私鑰對摘要進行簽名，以真實性：利用哈希算法生成信息摘要，利用私鑰對摘要進行簽名，以 證明該消息摘要是由發(fā)送方生成。證明該消息摘要是由發(fā)送方生成。不可抵賴性：數(shù)字簽名是數(shù)據(jù)來源的證明不可抵賴性：數(shù)字簽名是

6、數(shù)據(jù)來源的證明幾個概念凱撒密碼：凱撒密碼：相傳當年凱撒大帝行軍打仗時為了保證自己的命令不被敵軍知道，就用一種特殊的方法進行通信，以確保信息傳遞的安全，他的原理是：把字母表中的每一個字母按順序向后移x位，例如：“baidu”向后移3位變成：edlgx，這里”baidu”是原始信息，edlgx是密文密文，3是密鑰密鑰。公鑰和私鑰：公鑰和私鑰：是通過一種算法得到的一個密鑰對（即一個公鑰和一個私鑰）其中的一個向外界公開，稱為公鑰公鑰；另一個自己保留，稱為私鑰私鑰。通過這種算法得到的密鑰對能保證在世界范圍內(nèi)是唯一的。用公鑰加密數(shù)據(jù)就必須用私鑰解密，用私鑰加密也必須用公鑰解密，否則解密將不會成功。數(shù)字簽名

7、：數(shù)字簽名：類似寫在紙上的普通的物理簽名。將摘要信息用發(fā)送者的私鑰加密，如果對方能用發(fā)送者的公鑰機密，則能證明是發(fā)送者的身份。2.2 pki2.2 pki的應用的應用軟件代碼軟件代碼簽名簽名 加密文加密文件系統(tǒng)件系統(tǒng)智能卡登錄智能卡登錄 802.1xip 安全安全internet 身份驗證身份驗證安全電子安全電子郵件郵件windows 2008證書服務(wù)器證書服務(wù)器軟件限制策略軟件限制策略 數(shù)字簽名數(shù)字簽名2.3 pki 解決方案的組件證書頒發(fā)機構(gòu)證書頒發(fā)機構(gòu)數(shù)字證書數(shù)字證書證書吊銷列表和證書吊銷列表和聯(lián)機響應程序聯(lián)機響應程序證書模板證書模板支持公鑰的應用程序支持公鑰的應用程序和服務(wù)和服務(wù)證書和

8、證書和 ca 管理管理工具工具aia 和和 crl 分分發(fā)點發(fā)點2.4 ad cs 對 pki 的支持caad csca web 注冊注冊聯(lián)機響應程序聯(lián)機響應程序網(wǎng)絡(luò)設(shè)備注冊服務(wù)網(wǎng)絡(luò)設(shè)備注冊服務(wù)2.5 ca 概述證書頒發(fā)機構(gòu)證書頒發(fā)機構(gòu) 為自己頒發(fā)證為自己頒發(fā)證書書驗證證書申請者的驗證證書申請者的身份身份管理證書吊銷管理證書吊銷向用戶、計算機和服向用戶、計算機和服務(wù)頒發(fā)證書務(wù)頒發(fā)證書在windows server 2008網(wǎng)絡(luò)中，ca（證書頒發(fā)機構(gòu)）是裝有cs（證書服務(wù)）角色的計算機。2.6 ca 的類型 是 pki 基礎(chǔ)結(jié)構(gòu)中最受信任的 ca 類型 是自簽名證書 向其他子級 ca 頒發(fā)證書

9、擁有物理安全性以及通常比子級 ca 更加嚴格的證書頒發(fā)策略根根 ca由根由根ca或其他或其他 ca 頒發(fā)證書頒發(fā)證書針對具體的使用策略、組織性或地域性邊界、針對具體的使用策略、組織性或地域性邊界、負載平衡以及容錯設(shè)置的負載平衡以及容錯設(shè)置的ca向其他向其他 ca 頒發(fā)證書，以形成分層的頒發(fā)證書，以形成分層的 pki 基礎(chǔ)結(jié)構(gòu)基礎(chǔ)結(jié)構(gòu)子級子級 ca2.7 獨立 ca 和企業(yè) ca獨立 ca企業(yè) ca如果有任何 ca（根 ca 或中間 ca /策略）脫機，那么必須使用獨立 ca。這是因為獨立 ca 不加入 ad ds 域。 要求使用 active directory需要 ad ds 可使用組策略將

10、證書填入受信任的根 ca 證書存儲 默認用戶只能通過網(wǎng)頁申請。將用戶證書和 crl 發(fā)布到 ad ds 不需要證書模板頒發(fā)基于證書模板的證書所有證書申請保持掛起狀態(tài)，直到管理員批準支持自動注冊來頒發(fā)證書2.8 ca 層次結(jié)構(gòu)的使用方案根根子級子級rasefss/mime印度印度加拿大加拿大美國美國根根子級子級根根子級子級根根子級子級制造部門制造部門工程部門工程部門會計部門會計部門員工員工承包商承包商合作伙伴合作伙伴證書用途證書用途位置位置部門部門組織單位組織單位2.9 安裝根 ca 的注意事項計算機名稱和域成員身份計算機名稱和域成員身份名稱和名稱和配置配置私鑰配置私鑰配置有效期有效期證書數(shù)據(jù)庫

11、證書數(shù)據(jù)庫和日志位置和日志位置csp默認值：默認值：2048密鑰字符長度密鑰字符長度哈希算法哈希算法證書證書#規(guī)劃根規(guī)劃根 ca服務(wù)器的配置服務(wù)器的配置安裝根ca的注意事項對于大多數(shù)組織，根證書頒發(fā)機構(gòu) (ca) 的證書是其安裝的第一個 active directory 證書服務(wù) (ad cs) 角色服務(wù)。在基本公鑰基礎(chǔ)結(jié)構(gòu) (pki) 中，根 ca 可能是組織部署的唯一 ca。 無論您是安裝一個 ca 還是多個 ca，根 ca 證書都會建立一些基本規(guī)則，用于管理整個 pki 的證書頒發(fā)和使用。其中根證書定義一些標準規(guī)定在 pki 層次結(jié)構(gòu)可接受和不可接受的內(nèi)容，ad cs 將這些標準應用于任

12、何其他 ca 和 d cs 角色服務(wù)。根 ca 可以是獨立 ca 或企業(yè) ca。如果組織中有多個 ca，則除非需要處理從屬 ca 證書的申請，否則很多組織通過使根 ca 脫機以使其盡可能不暴露。本地管理員中的成員身份或等效身份是完成此過程所需的最低要求。如果是企業(yè) ca，那么 domain admins 中的成員身份或等效身份是完成此過程所需的最低要求。 2.10 安裝子級 ca 的注意事項計算機名稱和域成員身份計算機名稱和域成員身份名稱和名稱和配置配置有效期有效期證書數(shù)據(jù)庫證書數(shù)據(jù)庫和日志位置和日志位置為子級為子級 ca 申請證書申請證書 csp默認值：默認值：2048密鑰字符長度密鑰字符長

13、度哈希算法哈希算法證書證書#規(guī)劃根規(guī)劃根 ca安裝子級ca的注意事項安裝根證書頒發(fā)機構(gòu) (ca) 之后，很多組織會安裝一個或多個從屬 ca 以對公鑰基礎(chǔ)結(jié)構(gòu) (pki) 實施策略限制并向最終客戶端頒發(fā)證書。至少使用一個從屬 ca 可以幫助防止不必要的公開根 ca。 如果從屬 ca 用于向帳戶在 active directory 域中的用戶或計算機頒發(fā)證書，則將從屬 ca 安裝為企業(yè) ca，可以使用 active directory 域服務(wù) (ad ds) 中的客戶端現(xiàn)有帳戶數(shù)據(jù)來頒發(fā)和管理證書并將證書發(fā)布到 ad ds。本地管理員中的成員身份或等效身份是完成此過程所需的最低要求。如果是企業(yè) c

14、a，那么 domain admins 中的成員身份或等效身份是完成此過程所需的最低要求。三、演示 安裝ca證書頒發(fā)機構(gòu)工作場景：工作場景： 你是時訊公司的網(wǎng)絡(luò)管理員，時訊公司在多個城市有分支機構(gòu)，該公司目前運行windows server 2008系統(tǒng)，集合使用windows server 2008 activedirectory 證書服務(wù)（ad cs）來部署公鑰基礎(chǔ)機構(gòu)（pki）解決方案。為此，你需要在一臺windows server 2008服務(wù)器上安裝并配置ad cs根證書ca，在另外一臺服務(wù)器上安裝子級ca，并將該服務(wù)器配置為使用web界面分發(fā)證書。實驗環(huán)境：實驗環(huán)境：sh-dc1獨立根cash-cli1sh-svr1企業(yè)子ca任務(wù)在dc上安裝ad cs服務(wù)器角色，并配置為獨立根ca安裝類型：獨立指定ca：根ca私鑰：新建私鑰密鑰長度：4096ca名稱：shixunca在svr1上安裝帶web注冊的企業(yè)級子ca安裝類型：企業(yè)指定ca：子級ca私鑰：新建私鑰密鑰長度：4096ca名稱：issuingca向父ca申請證書：shixunca頒發(fā)子級ca證書安裝并驗證子級ca證書 演示 安裝ca證書頒發(fā)機構(gòu)目的：