Windows网络操作系统配置与管理单元十二任务2：部署用户和计算机证书课件.ppt

1、Windows 网络操作系统的配置与管理单元一：安装windows操作系统单元二：安装与配置活动目录域服务单元三：管理用户和组单元四：配置和管理组策略单元五：配置与管理分布式文件系统单元六：配置与管理存储系统单元七：配置与管理打印服务器单元八：IP地址与配置方法单元九：配置与管理DHCP服务器单元十：配置与管理DNS服务器单元十一：配置与管理Web服务器 单元十二：配置与管理ADCS单元十三：配置路由与远程访问单元十四：配置网络策略服务和网络访问保护单元十二 配置与管理AD CS任务1 安装与配置AD CS任务2 部署用户和计算机证书 任务任务2 部署用户和计算机证书部署用户和计算机证书一、课

2、程导入二、知识原理 2.1 数字证书 2.2 证书生命周期概述 2.3 证书注册方法 2.4 使用 Web 注册获得证书 2.5 使用手动注册获得证书 2.6 NDES 2.7 自动注册的工作方式三、演示 为用户和计算机申请证书四、小结一、课程导入数字证书是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。客户和计算机如何申请数字证书呢？二、知识原理2.1 数字证书2.2 证书生命周期概述2.3 证书注册方法2.4 使用 Web 注册获得证书2.5 使用手动注册获得证书2.6 NDES2.7 自动注册的

3、工作方式2.1 数字证书数字证书公共加密密钥公共加密密钥 使用者信息使用者信息CA 信息信息数字证书数字证书数字证书：数字证书：是公钥和私钥关联的电子凭据。内容包括证书序列号、证书持有者名称、证书颁发者名称、证书有效期、公钥、证书颁发者的数字签名等（不包含私钥）.证书可用来验证用户的身份2.2 证书生命周期概述证书生命周期概述用户、计算机或服务申请从用户、计算机或服务申请从 CA 获得证书。获得证书。1CA 生成证书。生成证书。2CA 将证书分发给该用户、计算机将证书分发给该用户、计算机或服务。或服务。3证书用于支持证书用于支持 PKI 的应用程序。的应用程序。4证书达到其生命周期的终点。证书

4、达到其生命周期的终点。5证书过期证书过期 续订续订 吊销。吊销。62.3 证书注册方法证书注册方法方法用于为基于域的计算机自动化完成证书的申请、检索和存储使用组策略中的自动注册设置在申请者无法直接与 CA 通信时，使申请者可使用“证书”控制台或 Certreq.exe 来申请证书私钥和证书申请在设备上生成。申请从位于 CA 上的网站获得证书在自动注册不可用时颁发证书为 CA 管理员提供代表另一个用户申请证书的权限Web 注册注册 手动注册手动注册 自动注册自动注册注册代理注册代理 2.4 使用使用 Web 注册获得证书注册获得证书使用使用 Web 浏览器连接到浏览器连接到 http:/Serv

5、erName/certsrv单击单击“申请一个证书申请一个证书”。选择要申请的证书的类型。选择要申请的证书的类型。输入或验证标识。输入或验证标识。安装证书。安装证书。231542.5 使用手动注册获得证书使用手动注册获得证书“证书证书”MMCWeb 服务器服务器NDES手动注册手动注册2.6 NDESCA网络路由器网络路由器网络网络NDES：网络设备注册服务，使用该服务，在路由器和交换机等网络设备上运行的软件可以注册证书颁发机构(CA)颁发的 X.509 证书。使用简单证书注册协议与路由器和交换机之类的兼容网络设备通信 作为 Active Directory 证书服务角色服务运行 需要 Int

6、ernet 信息服务2.7 自动注册的工作方式自动注册的工作方式证书模板配置为允许接收证书的用户获得注册和自动注册权限。证书模板配置为允许接收证书的用户获得注册和自动注册权限。客户机在下一个组策略刷新间隔中接收证书。客户机在下一个组策略刷新间隔中接收证书。创建创建 Active Directory 组策略对象组策略对象(GPO)以启用自动注以启用自动注册。册。GPO 链接到相应的站点、域或组织单位。链接到相应的站点、域或组织单位。CA 配置为颁发模板。配置为颁发模板。证书模板证书模板 证书颁发机构证书颁发机构 GPO客户机客户机 三、演示 为用户和计算机申请证书工作工作场景场景：你是时讯公司的

7、网络管理员，时讯公司在网络安装了一台Web服务器，为了保证Web服务器的安全，你需要完成以下任务：1.安装并配置证书服务的Web注册2.配置基于SSL的Web网站3.在组策略中为证书服务配置自动注册功能实验环境：实验环境：SH-DC1SH-CLI1SH-SVR1CAWeb任务1.安装证书颁发机构和证书颁发机构Web注册角色服务名称：shixunIssuingCA（其他的按默认）2.在Web服务器证书模板上配置权限authenticated Users：读取注册3.为SVR1计算机注册Web服务器证书4.将Web注册网站配置为使用SSL5.为SVR1计算机使用Web注册申请并安装基本EFS证书6

8、.复制用户证书模板并配置证书模板名称：shixun user使用者名称：使用者名称中包括电子邮件名权限：注册自动注册7.配置要由CA颁发的模板：shixun user8.配置组策略以允许用户的自动注册9.验证自动注册对用户账户有效 演示 为用户和计算机申请证书目的：安装证书颁发机构和证书颁发机构Web注册角色服务 在Web服务器证书模板上配置权限 注册Web服务器证书 将Web注册网站配置为使用SSL 使用Web注册申请并安装基本EFS证书 配置用户证书模板以允许自动注册四、小结通过本节的学习，你能够：1.了解数字证书的组成2.了解证书生命周期3.掌握证书注册方法4.掌握使用 Web 注册获得证书5.掌握使用手动注册获得证书6.了解NDES7.掌握使用自动注册的获得证书