Windows網(wǎng)絡(luò)操作系統(tǒng)配置與管理單元十二任務(wù)2：部署用戶和計(jì)算機(jī)證書課件

1、Windows 網(wǎng)絡(luò)操作系統(tǒng)的配置與管理單元一：安裝windows操作系統(tǒng)單元二：安裝與配置活動目錄域服務(wù)單元三：管理用戶和組單元四：配置和管理組策略單元五：配置與管理分布式文件系統(tǒng)單元六：配置與管理存儲系統(tǒng)單元七：配置與管理打印服務(wù)器單元八：IP地址與配置方法單元九：配置與管理DHCP服務(wù)器單元十：配置與管理DNS服務(wù)器單元十一：配置與管理Web服務(wù)器 單元十二：配置與管理ADCS單元十三：配置路由與遠(yuǎn)程訪問單元十四：配置網(wǎng)絡(luò)策略服務(wù)和網(wǎng)絡(luò)訪問保護(hù)單元十二 配置與管理AD CS任務(wù)1 安裝與配置AD CS任務(wù)2 部署用戶和計(jì)算機(jī)證書 任務(wù)2 部署用戶和計(jì)算機(jī)證書一、課程導(dǎo)入二、知識原理 2.

2、1 數(shù)字證書 2.2 證書生命周期概述 2.3 證書注冊方法 2.4 使用 Web 注冊獲得證書 2.5 使用手動注冊獲得證書 2.6 NDES 2.7 自動注冊的工作方式三、演示 為用戶和計(jì)算機(jī)申請證書四、小結(jié)一、課程導(dǎo)入數(shù)字證書是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗(yàn)證您身份的方式，其作用類似于司機(jī)的駕駛執(zhí)照或日常生活中的身份證?？蛻艉陀?jì)算機(jī)如何申請數(shù)字證書呢？二、知識原理2.1 數(shù)字證書2.2 證書生命周期概述2.3 證書注冊方法2.4 使用 Web 注冊獲得證書2.5 使用手動注冊獲得證書2.6 NDES2.7 自動注冊的工作方式2.1 數(shù)字證書

3、公共加密密鑰 使用者信息CA 信息數(shù)字證書數(shù)字證書：是公鑰和私鑰關(guān)聯(lián)的電子憑據(jù)。內(nèi)容包括證書序列號、證書持有者名稱、證書頒發(fā)者名稱、證書有效期、公鑰、證書頒發(fā)者的數(shù)字簽名等（不包含私鑰）. 證書可用來驗(yàn)證用戶的身份2.2 證書生命周期概述用戶、計(jì)算機(jī)或服務(wù)申請從 CA 獲得證書。1CA 生成證書。2CA 將證書分發(fā)給該用戶、計(jì)算機(jī)或服務(wù)。3證書用于支持 PKI 的應(yīng)用程序。4證書達(dá)到其生命周期的終點(diǎn)。5證書過期 續(xù)訂 吊銷。62.3 證書注冊方法方法用于為基于域的計(jì)算機(jī)自動化完成證書的申請、檢索和存儲使用組策略中的自動注冊設(shè)置在申請者無法直接與 CA 通信時(shí)，使申請者可使用“證書”控制臺或 C

4、ertreq.exe 來申請證書私鑰和證書申請?jiān)谠O(shè)備上生成。申請從位于 CA 上的網(wǎng)站獲得證書在自動注冊不可用時(shí)頒發(fā)證書為 CA 管理員提供代表另一個(gè)用戶申請證書的權(quán)限Web 注冊 手動注冊 自動注冊注冊代理 2.4 使用 Web 注冊獲得證書使用 Web 瀏覽器連接到 http:/ServerName/certsrv單擊“申請一個(gè)證書”。選擇要申請的證書的類型。輸入或驗(yàn)證標(biāo)識。安裝證書。231542.5 使用手動注冊獲得證書“證書”MMCWeb 服務(wù)器NDES手動注冊2.6 NDESCA網(wǎng)絡(luò)路由器網(wǎng)絡(luò)NDES： 網(wǎng)絡(luò)設(shè)備注冊服務(wù)，使用該服務(wù)，在路由器和交換機(jī)等網(wǎng)絡(luò)設(shè)備上運(yùn)行的軟件可以注冊證書

5、頒發(fā)機(jī)構(gòu) (CA) 頒發(fā)的 X.509 證書。使用簡單證書注冊協(xié)議與路由器和交換機(jī)之類的兼容網(wǎng)絡(luò)設(shè)備通信作為 Active Directory 證書服務(wù)角色服務(wù)運(yùn)行需要 Internet 信息服務(wù)2.7 自動注冊的工作方式證書模板配置為允許接收證書的用戶獲得注冊和自動注冊權(quán)限?？蛻魴C(jī)在下一個(gè)組策略刷新間隔中接收證書。創(chuàng)建 Active Directory 組策略對象 (GPO) 以啟用自動注冊。GPO 鏈接到相應(yīng)的站點(diǎn)、域或組織單位。CA 配置為頒發(fā)模板。證書模板 證書頒發(fā)機(jī)構(gòu) GPO客戶機(jī) 三、演示 為用戶和計(jì)算機(jī)申請證書工作場景： 你是時(shí)訊公司的網(wǎng)絡(luò)管理員，時(shí)訊公司在網(wǎng)絡(luò)安裝了一臺Web服

6、務(wù)器，為了保證Web服務(wù)器的安全，你需要完成以下任務(wù)：安裝并配置證書服務(wù)的Web注冊配置基于SSL的Web網(wǎng)站在組策略中為證書服務(wù)配置自動注冊功能實(shí)驗(yàn)環(huán)境：SH-DC1SH-CLI1SH-SVR1CAWeb任務(wù)安裝證書頒發(fā)機(jī)構(gòu)和證書頒發(fā)機(jī)構(gòu)Web注冊角色服務(wù)名稱：shixunIssuingCA（其他的按默認(rèn)）在Web服務(wù)器證書模板上配置權(quán)限authenticated Users ：讀取注冊為SVR1計(jì)算機(jī)注冊Web服務(wù)器證書將Web注冊網(wǎng)站配置為使用SSL為SVR1計(jì)算機(jī)使用Web注冊申請并安裝基本EFS證書復(fù)制用戶證書模板并配置證書模板名稱：shixun user使用者名稱：使用者名稱中包括電子郵件名權(quán)限：注冊自動注冊配置要由CA頒發(fā)的模板：shixun user配置組策略以允許用戶的自動注冊驗(yàn)證自動注冊對用戶賬戶有效 演示 為用戶和計(jì)算機(jī)申請證書目的：安裝證書頒發(fā)機(jī)構(gòu)和證書頒發(fā)機(jī)構(gòu)Web注冊角色服務(wù)在Web服務(wù)器證書模板上配置權(quán)限注冊Web服務(wù)器證書將Web注冊網(wǎng)站配置為使用SSL使用Web注冊申請并安裝基本EFS證