Windows網(wǎng)絡(luò)操作系統(tǒng)配置與管理單元十二任務(wù)1：配置ADCS課件

Windows網(wǎng)絡(luò)操作系統(tǒng)的配置與管理單元一：安裝windows操作系統(tǒng)單元二：安裝與配置活動目錄域服務(wù)單元三：管理用戶和組單元四：配置和管理組策略單元五：配置與管理分布式文件系統(tǒng)單元六：配置與管理存儲系統(tǒng)單元七：配置與管理打印服務(wù)器單元八：IP地址與配置方法單元九：配置與管理DHCP服務(wù)器單元十：配置與管理DNS服務(wù)器單元十一：配置與管理Web服務(wù)器 單元十二：配置與管理ADCS單元十三：配置路由與遠程訪問單元十四：配置網(wǎng)絡(luò)策略服務(wù)和網(wǎng)絡(luò)訪問保護Windows網(wǎng)絡(luò)操作系統(tǒng)的配置與管理單元一：安裝wind單元十二配置與管理ADCS單元十二工作背景

你是時訊公司的網(wǎng)絡(luò)管理員，為了保證公司網(wǎng)絡(luò)的通訊安全，許多技術(shù)都需要證書的支持，比如文件加密，與服務(wù)器的加密連接，安全Web訪問，基于證書的VPN加密連接以及基于證書的NAP保護等，為此，你需要在當前公司網(wǎng)絡(luò)中部署ADCS基礎(chǔ)結(jié)構(gòu)。工作背景你是時訊公司的網(wǎng)絡(luò)管理員，為了保證公司網(wǎng)絡(luò)的工作任務(wù)任務(wù)1安裝與配置ADCS任務(wù)2部署用戶和計算機證書工作任務(wù)任務(wù)1安裝與配置ADCS單元十二配置與管理ADCS任務(wù)1安裝與配置ADCS任務(wù)2部署用戶和計算機證書單元十二配置與管理ADCS任務(wù)1安裝與配任務(wù)1安裝與配置ADCS一：課程導(dǎo)入二：知識原理2.1PKI及其優(yōu)點2.2PKI的應(yīng)用2.3PKI解決方案的組件2.4ADCS對PKI的支持2.5CA概述2.6CA的類型2.7獨立CA和企業(yè)CA2.8CA層次結(jié)構(gòu)的使用方案2.9安裝根CA的注意事項2.10安裝子級CA的注意事項三：演示：安裝根CA和安裝子級CA四：小結(jié)任務(wù)1安裝與配置ADCS一：課程導(dǎo)入一、課程導(dǎo)入你在網(wǎng)上購物，然后用網(wǎng)銀支付，是否擔心賬戶密碼給別人竊?。?/p>

你在網(wǎng)上與別人聊天，不擔心聊天內(nèi)容被黑客截獲？

你公司的服務(wù)器，可能被心懷不軌的人登錄竊取或破壞？一、課程導(dǎo)入你在網(wǎng)上購物，然后用網(wǎng)銀支付，是否擔心賬二、知識原理2.1PKI及其優(yōu)點2.2PKI的應(yīng)用2.3PKI解決方案的組件2.4ADCS對PKI的支持2.5CA概述2.6CA的類型2.7獨立CA和企業(yè)CA2.8CA層次結(jié)構(gòu)的使用方案2.9安裝根CA的注意事項2.10安裝子級CA的注意事項二、知識原理2.1PKI及其優(yōu)點2.1PKI及其優(yōu)點公鑰基礎(chǔ)結(jié)構(gòu)（PKI）：PKI（PublicKeyInfrastructure）即"公鑰基礎(chǔ)設(shè)施"，是一種遵循既定標準的密鑰管理平臺,它能夠為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系，簡單來說，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。PKI通過提供以下幾點增強基礎(chǔ)結(jié)構(gòu)安全性：機密性：PKI提供了加密存儲和傳輸數(shù)據(jù)的能力完整性：使用數(shù)字簽名，可識別在信息傳送過程中是否有數(shù)據(jù)被修改。真實性：利用哈希算法生成信息摘要，利用私鑰對摘要進行簽名，以

證明該消息摘要是由發(fā)送方生成。不可抵賴性：數(shù)字簽名是數(shù)據(jù)來源的證明2.1PKI及其優(yōu)點公鑰基礎(chǔ)結(jié)構(gòu)（PKI）：PKI（P幾個概念凱撒密碼：相傳當年凱撒大帝行軍打仗時為了保證自己的命令不被敵軍知道，就用一種特殊的方法進行通信，以確保信息傳遞的安全，他的原理是：把字母表中的每一個字母按順序向后移X位，例如：“baidu”向后移3位變成：edlgx，這里”baidu”是原始信息，edlgx是密文，3是密鑰。公鑰和私鑰：是通過一種算法得到的一個密鑰對（即一個公鑰和一個私鑰）其中的一個向外界公開，稱為公鑰；另一個自己保留，稱為私鑰。通過這種算法得到的密鑰對能保證在世界范圍內(nèi)是唯一的。用公鑰加密數(shù)據(jù)就必須用私鑰解密，用私鑰加密也必須用公鑰解密，否則解密將不會成功。數(shù)字簽名：類似寫在紙上的普通的物理簽名。將摘要信息用發(fā)送者的私鑰加密，如果對方能用發(fā)送者的公鑰機密，則能證明是發(fā)送者的身份。幾個概念凱撒密碼：相傳當年凱撒大帝行軍打仗時為了保證自己的命2.2PKI的應(yīng)用軟件代碼簽名加密文件系統(tǒng)智能卡登錄802.1xIP安全Internet身份驗證安全電子郵件Windows2008

證書服務(wù)器軟件限制策略數(shù)字簽名2.2PKI的應(yīng)用軟件代碼加密文智能卡登錄802.1x2.3PKI解決方案的組件證書頒發(fā)機構(gòu)數(shù)字證書證書吊銷列表和聯(lián)機響應(yīng)程序證書模板支持公鑰的應(yīng)用程序和服務(wù)證書和CA管理工具AIA和CRL分發(fā)點2.3PKI解決方案的組件證書頒發(fā)機構(gòu)數(shù)字證書證書吊銷2.4ADCS對PKI的支持CAADCSCAWeb注冊聯(lián)機響應(yīng)程序網(wǎng)絡(luò)設(shè)備注冊服務(wù)2.4ADCS對PKI的支持CAADCSCA2.5CA概述證書頒發(fā)機構(gòu)為自己頒發(fā)證書驗證證書申請者的身份管理證書吊銷向用戶、計算機和服務(wù)頒發(fā)證書在windowsserver2008網(wǎng)絡(luò)中，CA（證書頒發(fā)機構(gòu)）是裝有CS（證書服務(wù)）角色的計算機。2.5CA概述證書頒發(fā)機構(gòu)為自己頒發(fā)證書驗證證書申請2.6CA的類型是PKI基礎(chǔ)結(jié)構(gòu)中最受信任的CA類型是自簽名證書向其他子級CA頒發(fā)證書擁有物理安全性以及通常比子級CA更加嚴格的證書頒發(fā)策略根CA由根CA或其他CA頒發(fā)證書針對具體的使用策略、組織性或地域性邊界、負載平衡以及容錯設(shè)置的CA向其他CA頒發(fā)證書，以形成分層的PKI基礎(chǔ)結(jié)構(gòu)子級CA2.6CA的類型是PKI基礎(chǔ)結(jié)構(gòu)中最受信任的CA2.7獨立CA和企業(yè)CA獨立CA企業(yè)CA如果有任何CA（根CA或中間CA/策略）脫機，那么必須使用獨立CA。這是因為獨立CA不加入ADDS域。要求使用ActiveDirectory需要ADDS可使用組策略將證書填入受信任的根CA證書存儲默認用戶只能通過網(wǎng)頁申請。將用戶證書和CRL發(fā)布到ADDS不需要證書模板頒發(fā)基于證書模板的證書所有證書申請保持掛起狀態(tài)，直到管理員批準支持自動注冊來頒發(fā)證書2.7獨立CA和企業(yè)CA獨立CA企業(yè)CA要求使2.8CA層次結(jié)構(gòu)的使用方案根子級RASEFSS/MIME印度加拿大美國根子級根子級根子級制造部門工程部門會計部門員工承包商合作伙伴證書用途位置部門組織單位2.8CA層次結(jié)構(gòu)的使用方案根子級RASEFSS/MI2.9安裝根CA的注意事項計算機名稱和域成員身份名稱和配置私鑰配置有效期證書數(shù)據(jù)庫和日志位置CSP默認值：2048密鑰字符長度哈希算法證書#規(guī)劃根CA服務(wù)器的配置2.9安裝根CA的注意事項計算機名稱和域成員身份名稱安裝根CA的注意事項對于大多數(shù)組織，根證書頒發(fā)機構(gòu)(CA)的證書是其安裝的第一個ActiveDirectory證書服務(wù)(AD

CS)角色服務(wù)。在基本公鑰基礎(chǔ)結(jié)構(gòu)(PKI)中，根CA可能是組織部署的唯一CA。無論您是安裝一個CA還是多個CA，根CA證書都會建立一些基本規(guī)則，用于管理整個PKI的證書頒發(fā)和使用。其中根證書定義一些標準規(guī)定在PKI層次結(jié)構(gòu)可接受和不可接受的內(nèi)容，AD

CS將這些標準應(yīng)用于任何其他CA和D

CS角色服務(wù)。根CA可以是獨立CA或企業(yè)CA。如果組織中有多個CA，則除非需要處理從屬CA證書的申請，否則很多組織通過使根CA脫機以使其盡可能不暴露。本地管理員中的成員身份或等效身份是完成此過程所需的最低要求。如果是企業(yè)CA，那么DomainAdmins中的成員身份或等效身份是完成此過程所需的最低要求。安裝根CA的注意事項對于大多數(shù)組織，根證書頒發(fā)機構(gòu)(CA)2.10安裝子級CA的注意事項計算機名稱和域成員身份名稱和配置有效期證書數(shù)據(jù)庫和日志位置為子級CA申請證書CSP默認值：2048密鑰字符長度哈希算法證書#規(guī)劃根CA2.10安裝子級CA的注意事項計算機名稱和域成員身安裝子級CA的注意事項安裝根證書頒發(fā)機構(gòu)(CA)之后，很多組織會安裝一個或多個從屬CA以對公鑰基礎(chǔ)結(jié)構(gòu)(PKI)實施策略限制并向最終客戶端頒發(fā)證書。至少使用一個從屬CA可以幫助防止不必要的公開根CA。如果從屬CA用于向帳戶在ActiveDirectory域中的用戶或計算機頒發(fā)證書，則將從屬CA安裝為企業(yè)CA，可以使用ActiveDirectory域服務(wù)(ADDS)中的客戶端現(xiàn)有帳戶數(shù)據(jù)來頒發(fā)和管理證書并將證書發(fā)布到ADDS。本地管理員中的成員身份或等效身份是完成此過程所需的最低要求。如果是企業(yè)CA，那么DomainAdmins中的成員身份或等效身份是完成此過程所需的最低要求。安裝子級CA的注意事項安裝根證書頒發(fā)機構(gòu)(CA)之后，很三、演示安裝CA證書頒發(fā)機構(gòu)工作場景：

你是時訊公司的網(wǎng)絡(luò)管理員，時訊公司在多個城市有分支機構(gòu)，該公司目前運行windowsserver2008系統(tǒng)，集合使用windowsserver2008activedirectory證書服務(wù)（ADCS）來部署公鑰基礎(chǔ)機構(gòu)（PKI）解決方案。為此，你需要在一臺windowsserver2008服務(wù)器上安裝并配置ADCS根證書CA，在另外一臺服務(wù)器上安裝子級CA，并將該服務(wù)器配置為使用Web界面分發(fā)證書。實驗環(huán)境：SH-DC1獨立根CASH-CLI1SH-SVR1企業(yè)子CA三、演示安裝CA證書頒發(fā)機構(gòu)工作場景：SH-DC1SH-C任務(wù)在DC上安裝ADCS服務(wù)器角色，并配置為獨立根CA安裝類型：獨立指定CA：根CA私鑰：新建私鑰密鑰長度：4096CA名稱：shixunCA在SVR1上安裝帶Web注冊的企業(yè)級子CA安裝類型：企業(yè)指定CA：子級CA私鑰：新建私鑰密鑰長度：4096CA名稱：IssuingCA向父CA申請證書：shixunCA頒發(fā)子級CA證書安裝并驗證子級CA證書任務(wù)在DC上安裝ADCS服務(wù)器角色，并配置為獨立根CA演示安裝CA證書頒發(fā)機構(gòu)目的：在DC上安裝ADCS服務(wù)器角色，并配置為獨立根CA在SVR1上安裝帶Web注冊的企業(yè)級子CA頒發(fā)子級CA證書安裝并驗證子級CA證書演示安裝CA證書頒發(fā)機構(gòu)目的：四、小結(jié)通過本節(jié)的學習，你能夠：了解PKI及其優(yōu)點了解PKI的應(yīng)用熟悉PKI解決方案的組件了解ADCS對PKI的支持熟悉CA概念和功能掌握CA的類型掌握獨立CA和企業(yè)CA的概念熟悉CA層次結(jié)構(gòu)的使用方案掌握如何安裝根CA和

安裝子級CA四、小結(jié)通過本節(jié)的學習，你能夠：Windows網(wǎng)絡(luò)操作系統(tǒng)的配置與管理單元一：安裝windows操作系統(tǒng)單元二：安裝與配置活動目錄域服務(wù)單元三：管理用戶和組單元四：配置和管理組策略單元五：配置與管理分布式文件系統(tǒng)單元六：配置與管理存儲系統(tǒng)單元七：配置與管理打印服務(wù)器單元八：IP地址與配置方法單元九：配置與管理DHCP服務(wù)器單元十：配置與管理DNS服務(wù)器單元十一：配置與管理Web服務(wù)器 單元十二：配置與管理ADCS單元十三：配置路由與遠程訪問單元十四：配置網(wǎng)絡(luò)策略服務(wù)和網(wǎng)絡(luò)訪問保護Windows網(wǎng)絡(luò)操作系統(tǒng)的配置與管理單元一：安裝wind單元十二配置與管理ADCS單元十二工作背景

你是時訊公司的網(wǎng)絡(luò)管理員，為了保證公司網(wǎng)絡(luò)的通訊安全，許多技術(shù)都需要證書的支持，比如文件加密，與服務(wù)器的加密連接，安全Web訪問，基于證書的VPN加密連接以及基于證書的NAP保護等，為此，你需要在當前公司網(wǎng)絡(luò)中部署ADCS基礎(chǔ)結(jié)構(gòu)。工作背景你是時訊公司的網(wǎng)絡(luò)管理員，為了保證公司網(wǎng)絡(luò)的工作任務(wù)任務(wù)1安裝與配置ADCS任務(wù)2部署用戶和計算機證書工作任務(wù)任務(wù)1安裝與配置ADCS單元十二配置與管理ADCS任務(wù)1安裝與配置ADCS任務(wù)2部署用戶和計算機證書單元十二配置與管理ADCS任務(wù)1安裝與配任務(wù)1安裝與配置ADCS一：課程導(dǎo)入二：知識原理2.1PKI及其優(yōu)點2.2PKI的應(yīng)用2.3PKI解決方案的組件2.4ADCS對PKI的支持2.5CA概述2.6CA的類型2.7獨立CA和企業(yè)CA2.8CA層次結(jié)構(gòu)的使用方案2.9安裝根CA的注意事項2.10安裝子級CA的注意事項三：演示：安裝根CA和安裝子級CA四：小結(jié)任務(wù)1安裝與配置ADCS一：課程導(dǎo)入一、課程導(dǎo)入你在網(wǎng)上購物，然后用網(wǎng)銀支付，是否擔心賬戶密碼給別人竊??？

你在網(wǎng)上與別人聊天，不擔心聊天內(nèi)容被黑客截獲？

你公司的服務(wù)器，可能被心懷不軌的人登錄竊取或破壞？一、課程導(dǎo)入你在網(wǎng)上購物，然后用網(wǎng)銀支付，是否擔心賬二、知識原理2.1PKI及其優(yōu)點2.2PKI的應(yīng)用2.3PKI解決方案的組件2.4ADCS對PKI的支持2.5CA概述2.6CA的類型2.7獨立CA和企業(yè)CA2.8CA層次結(jié)構(gòu)的使用方案2.9安裝根CA的注意事項2.10安裝子級CA的注意事項二、知識原理2.1PKI及其優(yōu)點2.1PKI及其優(yōu)點公鑰基礎(chǔ)結(jié)構(gòu)（PKI）：PKI（PublicKeyInfrastructure）即"公鑰基礎(chǔ)設(shè)施"，是一種遵循既定標準的密鑰管理平臺,它能夠為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系，簡單來說，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。PKI通過提供以下幾點增強基礎(chǔ)結(jié)構(gòu)安全性：機密性：PKI提供了加密存儲和傳輸數(shù)據(jù)的能力完整性：使用數(shù)字簽名，可識別在信息傳送過程中是否有數(shù)據(jù)被修改。真實性：利用哈希算法生成信息摘要，利用私鑰對摘要進行簽名，以

證明該消息摘要是由發(fā)送方生成。不可抵賴性：數(shù)字簽名是數(shù)據(jù)來源的證明2.1PKI及其優(yōu)點公鑰基礎(chǔ)結(jié)構(gòu)（PKI）：PKI（P幾個概念凱撒密碼：相傳當年凱撒大帝行軍打仗時為了保證自己的命令不被敵軍知道，就用一種特殊的方法進行通信，以確保信息傳遞的安全，他的原理是：把字母表中的每一個字母按順序向后移X位，例如：“baidu”向后移3位變成：edlgx，這里”baidu”是原始信息，edlgx是密文，3是密鑰。公鑰和私鑰：是通過一種算法得到的一個密鑰對（即一個公鑰和一個私鑰）其中的一個向外界公開，稱為公鑰；另一個自己保留，稱為私鑰。通過這種算法得到的密鑰對能保證在世界范圍內(nèi)是唯一的。用公鑰加密數(shù)據(jù)就必須用私鑰解密，用私鑰加密也必須用公鑰解密，否則解密將不會成功。數(shù)字簽名：類似寫在紙上的普通的物理簽名。將摘要信息用發(fā)送者的私鑰加密，如果對方能用發(fā)送者的公鑰機密，則能證明是發(fā)送者的身份。幾個概念凱撒密碼：相傳當年凱撒大帝行軍打仗時為了保證自己的命2.2PKI的應(yīng)用軟件代碼簽名加密文件系統(tǒng)智能卡登錄802.1xIP安全Internet身份驗證安全電子郵件Windows2008

證書服務(wù)器軟件限制策略數(shù)字簽名2.2PKI的應(yīng)用軟件代碼加密文智能卡登錄802.1x2.3PKI解決方案的組件證書頒發(fā)機構(gòu)數(shù)字證書證書吊銷列表和聯(lián)機響應(yīng)程序證書模板支持公鑰的應(yīng)用程序和服務(wù)證書和CA管理工具AIA和CRL分發(fā)點2.3PKI解決方案的組件證書頒發(fā)機構(gòu)數(shù)字證書證書吊銷2.4ADCS對PKI的支持CAADCSCAWeb注冊聯(lián)機響應(yīng)程序網(wǎng)絡(luò)設(shè)備注冊服務(wù)2.4ADCS對PKI的支持CAADCSCA2.5CA概述證書頒發(fā)機構(gòu)為自己頒發(fā)證書驗證證書申請者的身份管理證書吊銷向用戶、計算機和服務(wù)頒發(fā)證書在windowsserver2008網(wǎng)絡(luò)中，CA（證書頒發(fā)機構(gòu)）是裝有CS（證書服務(wù)）角色的計算機。2.5CA概述證書頒發(fā)機構(gòu)為自己頒發(fā)證書驗證證書申請2.6CA的類型是PKI基礎(chǔ)結(jié)構(gòu)中最受信任的CA類型是自簽名證書向其他子級CA頒發(fā)證書擁有物理安全性以及通常比子級CA更加嚴格的證書頒發(fā)策略根CA由根CA或其他CA頒發(fā)證書針對具體的使用策略、組織性或地域性邊界、負載平衡以及容錯設(shè)置的CA向其他CA頒發(fā)證書，以形成分層的PKI基礎(chǔ)結(jié)構(gòu)子級CA2.6CA的類型是PKI基礎(chǔ)結(jié)構(gòu)中最受信任的CA2.7獨立CA和企業(yè)CA獨立CA企業(yè)CA如果有任何CA（根CA或中間CA/策略）脫機，那么必須使用獨立CA。這是因為獨立CA不加入ADDS域。要求使用ActiveDirectory需要ADDS可使用組策略將證書填入受信任的根CA證書存儲默認用戶只能通過網(wǎng)頁申請。將用戶證書和CRL發(fā)布到ADDS不需要證書模板頒發(fā)基于證書模板的證書所有證書申請保持掛起狀態(tài)，直到管理員批準支持自動注冊來頒發(fā)證書2.7獨立CA和企業(yè)CA獨立CA企業(yè)CA要求使2.8CA層次結(jié)構(gòu)的使用方案根子級RASEFSS/MIME印度加拿大美國根子級根子級根子級制造部門工程部門會計部門員工承包商合作伙伴證書用途位置部門組織單位2.8CA層次結(jié)構(gòu)的使用方案根子級RASEFSS/MI2.9安裝根CA的注意事項計算機名稱和域成員身份名稱和配置私鑰配置有效期證書數(shù)據(jù)庫和日志位置CSP默認值：2048密鑰字符長度哈希算法證書#規(guī)劃根CA服務(wù)器的配置2.9安裝根CA的注意事項計算機名稱和域成員身份名稱安裝根CA的注意事項對于大多數(shù)組織，根證書頒發(fā)機構(gòu)(CA)的證書是其安裝的第一個ActiveDirectory證書服務(wù)(AD

CS)角色服務(wù)。在基本公鑰基礎(chǔ)結(jié)構(gòu)(PKI)中，根CA可能是組織部署的唯一CA。無論您是安裝一個CA還是多個CA，根CA證書都會建立一些基本規(guī)則，用于管理整個PKI的證書頒發(fā)和使用。其中根證書定義一些標準規(guī)定在PKI層次結(jié)構(gòu)可接受和不可接受的內(nèi)容，AD

CS將這些標準應(yīng)用于任何其他CA和D

CS角色服務(wù)。根CA可以是獨立CA或企業(yè)CA。如果組織中有多個CA，則除非需要處理從屬CA證書的申請，否則很多組織通過使根CA脫機以使其盡可能不暴露。本地管理員中的成員身份或等效身份是完成此過程所需的最低要求。如果是企業(yè)CA，那么DomainAdmins中的成員身份或等效身份是完成此過程所需的最低要求。安裝根CA的注意事項對于大多數(shù)組織，根證書頒發(fā)機構(gòu)(CA)2.10安裝子級CA的注意事項計算機名稱和域成員身份名稱和配置有效期證書數(shù)據(jù)庫和日志位置為子級CA申請證書CSP默認值：2048密鑰字符長度哈希算法證書#規(guī)劃根CA2.10安裝子級CA的注意事項計算機名稱和域成員身安裝子級CA的注意事項安裝根證書頒發(fā)機構(gòu)(CA)之后，很多組織會安裝一個或多個從屬CA以對公鑰基礎(chǔ)結(jié)構(gòu)(PKI)實施策略限制并向最終客戶端頒發(fā)證書。至少使用一個從屬CA可以幫助防止不必要的公開根CA。如果從屬CA用于向帳戶在ActiveDirectory域中的用戶或計算機頒發(fā)證書，則將從屬CA安裝為企業(yè)CA，可以使用ActiveDirectory域服務(wù)(AD