1、Windows 网络操作系统的配置与管理单元一:安装windows操作系统单元二:安装与配置活动目录域服务单元三:管理用户和组单元四:配置和管理组策略单元五:配置与管理分布式文件系统单元六:配置与管理存储系统单元七:配置与管理打印服务器单元八:IP地址与配置方法单元九:配置与管理DHCP服务器单元十:配置与管理DNS服务器单元十一:配置与管理Web服务器 单元十二:配置与管理ADCS单元十三:配置路由与远程访问单元十四:配置网络策略服务和网络访问保护单元十二工作背景 你是时讯公司的网络管理员,为了保证公司网络的通讯安全,许多技术都需要证书的支持,比如文件加密,与服务器的加密连接,安全Web访问
2、,基于证书的VPN加密连接以及基于证书的NAP保护等,为此,你需要在当前公司网络中部署AD CS基础结构。工作任务任务1 安装与配置AD CS任务2 部署用户和计算机证书 单元十二 配置与管理AD CS任务1 安装与配置AD CS任务2 部署用户和计算机证书 任务任务1 安装与配置安装与配置 AD CS 一:课程导入二:知识原理 2.1 PKI 及其优点 2.2 PKI的应用 2.3 PKI 解决方案的组件 2.4 AD CS 对 PKI 的支持 2.5 CA 概述 2.6 CA 的类型 2.7 独立 CA 和企业 CA 2.8 CA 层次结构的使用方案 2.9 安装根 CA 的注意事项 2.
3、10 安装子级 CA 的注意事项三:演示:安装根CA 和安装子级CA四:小结一、课程导入1.你在网上购物,然后用网银支付,是否担心账户密码给别人窃取?2.你在网上与别人聊天,不担心聊天内容被黑客截获?3.你公司的服务器,可能被心怀不轨的人登录窃取或破坏?二、知识原理二、知识原理2.1 PKI 及其优点2.2 PKI的应用2.3 PKI 解决方案的组件2.4 AD CS 对 PKI 的支持2.5 CA 概述2.6 CA 的类型2.7 独立 CA 和企业 CA2.8 CA 层次结构的使用方案2.9 安装根 CA 的注意事项2.10 安装子级 CA 的注意事项2.1 PKI 及其优点公钥基础结构(公
4、钥基础结构(PKI):):PKI(Public Key Infrastructure)即即公钥基础设施公钥基础设施,是一种遵,是一种遵循既定标准的密钥管理平台循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥就是利用公钥理论和技术建立的提供安全服务的基础设施。理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的技术是信息安全技术的核心,也是电子商务的关键和基础技术。核心,也是电子商务的关键和基础技术。PKI 通过
5、提供以下几点增强基础结构安全性:通过提供以下几点增强基础结构安全性:1.机密性:机密性:PKI提供了加密存储和传输数据的能力提供了加密存储和传输数据的能力2.完整性:使用数字签名,可识别在信息传送过程中是否有数据被修改。完整性:使用数字签名,可识别在信息传送过程中是否有数据被修改。3.真实性:利用哈希算法生成信息摘要,利用私钥对摘要进行签名,以真实性:利用哈希算法生成信息摘要,利用私钥对摘要进行签名,以 证明该消息摘要是由发送方生成。证明该消息摘要是由发送方生成。4.不可抵赖性:数字签名是数据来源的证明不可抵赖性:数字签名是数据来源的证明几个概念凯撒密码:凯撒密码:相传当年凯撒大帝行军打仗时为
6、了保证自己的命令不被敌军知道,就用一种特殊的方法进行通信,以确保信息传递的安全,他的原理是:把字母表中的每一个字母按顺序向后移X位,例如:“baidu”向后移3位变成:edlgx,这里”baidu”是原始信息,edlgx是密文密文,3是密钥密钥。公钥和私钥:公钥和私钥:是通过一种算法得到的一个密钥对(即一个公钥和一个私钥)其中的一个向外界公开,称为公钥公钥;另一个自己保留,称为私钥私钥。通过这种算法得到的密钥对能保证在世界范围内是唯一的。用公钥加密数据就必须用私钥解密,用私钥加密也必须用公钥解密,否则解密将不会成功。数字签名:数字签名:类似写在纸上的普通的物理签名。将摘要信息用发送者的私钥加密
7、,如果对方能用发送者的公钥机密,则能证明是发送者的身份。2.2 PKI2.2 PKI的应用的应用软件代码软件代码签名签名 加密文加密文件系统件系统智能卡登录智能卡登录 802.1xIP 安全安全Internet 身份验证身份验证安全电子安全电子邮件邮件Windows 2008证书服务器证书服务器软件限制策略软件限制策略 数字签名数字签名2.3 PKI 解决方案的组件证书颁发机构证书颁发机构数字证书数字证书证书吊销列表和证书吊销列表和联机响应程序联机响应程序证书模板证书模板支持公钥的应用程序支持公钥的应用程序和服务和服务证书和证书和 CA 管理管理工具工具AIA 和和 CRL 分分发点发点2.4
8、 AD CS 对 PKI 的支持CAAD CSCA Web 注册注册联机响应程序联机响应程序网络设备注册服务网络设备注册服务2.5 CA 概述证书颁发机构证书颁发机构 为自己颁发证为自己颁发证书书验证证书申请者的验证证书申请者的身份身份管理证书吊销管理证书吊销向用户、计算机和服向用户、计算机和服务颁发证书务颁发证书在windows server 2008网络中,CA(证书颁发机构)是装有CS(证书服务)角色的计算机。2.6 CA 的类型 是 PKI 基础结构中最受信任的 CA 类型 是自签名证书 向其他子级 CA 颁发证书 拥有物理安全性以及通常比子级 CA 更加严格的证书颁发策略根根 CA由
9、根由根CA或其他或其他 CA 颁发证书颁发证书针对具体的使用策略、组织性或地域性边界、针对具体的使用策略、组织性或地域性边界、负载平衡以及容错设置的负载平衡以及容错设置的CA向其他向其他 CA 颁发证书,以形成分层的颁发证书,以形成分层的 PKI 基础结构基础结构子级子级 CA2.7 独立 CA 和企业 CA独立 CA企业 CA如果有任何 CA(根 CA 或中间 CA/策略)脱机,那么必须使用独立 CA。这是因为独立 CA 不加入 AD DS 域。要求使用 Active Directory需要 AD DS 可使用组策略将证书填入受信任的根 CA 证书存储 默认用户只能通过网页申请。将用户证书和
10、 CRL 发布到 AD DS 不需要证书模板颁发基于证书模板的证书所有证书申请保持挂起状态,直到管理员批准支持自动注册来颁发证书2.8 CA 层次结构的使用方案根根子级子级RASEFSS/MIME印度印度加拿大加拿大美国美国根根子级子级根根子级子级根根子级子级制造部门制造部门工程部门工程部门会计部门会计部门员工员工承包商承包商合作伙伴合作伙伴证书用途证书用途位置位置部门部门组织单位组织单位2.9 安装根 CA 的注意事项计算机名称和域成员身份计算机名称和域成员身份名称和名称和配置配置私钥配置私钥配置有效期有效期证书数据库证书数据库和日志位置和日志位置CSP默认值:默认值:2048密钥字符长度密
11、钥字符长度哈希算法哈希算法证书证书#规划根规划根 CA服务器的配置服务器的配置安装根CA的注意事项1.对于大多数组织,根证书颁发机构(CA)的证书是其安装的第一个 Active Directory 证书服务(ADCS)角色服务。在基本公钥基础结构(PKI)中,根 CA 可能是组织部署的唯一 CA。2.无论您是安装一个 CA 还是多个 CA,根 CA 证书都会建立一些基本规则,用于管理整个 PKI 的证书颁发和使用。其中根证书定义一些标准规定在 PKI 层次结构可接受和不可接受的内容,ADCS 将这些标准应用于任何其他 CA 和 DCS 角色服务。3.根 CA 可以是独立 CA 或企业 CA。如
12、果组织中有多个 CA,则除非需要处理从属 CA 证书的申请,否则很多组织通过使根 CA 脱机以使其尽可能不暴露。4.本地管理员中的成员身份或等效身份是完成此过程所需的最低要求。如果是企业 CA,那么 Domain Admins 中的成员身份或等效身份是完成此过程所需的最低要求。2.10 安装子级 CA 的注意事项计算机名称和域成员身份计算机名称和域成员身份名称和名称和配置配置有效期有效期证书数据库证书数据库和日志位置和日志位置为子级为子级 CA 申请证书申请证书 CSP默认值:默认值:2048密钥字符长度密钥字符长度哈希算法哈希算法证书证书#规划根规划根 CA安装子级CA的注意事项1.安装根证
13、书颁发机构(CA)之后,很多组织会安装一个或多个从属 CA 以对公钥基础结构(PKI)实施策略限制并向最终客户端颁发证书。至少使用一个从属 CA 可以帮助防止不必要的公开根 CA。2.如果从属 CA 用于向帐户在 Active Directory 域中的用户或计算机颁发证书,则将从属 CA 安装为企业 CA,可以使用 Active Directory 域服务(AD DS)中的客户端现有帐户数据来颁发和管理证书并将证书发布到 AD DS。3.本地管理员中的成员身份或等效身份是完成此过程所需的最低要求。如果是企业 CA,那么 Domain Admins 中的成员身份或等效身份是完成此过程所需的最低
14、要求。三、演示 安装CA证书颁发机构工作场景:工作场景:你是时讯公司的网络管理员,时讯公司在多个城市有分支机构,该公司目前运行windows server 2008系统,集合使用windows server 2008 activedirectory 证书服务(AD CS)来部署公钥基础机构(PKI)解决方案。为此,你需要在一台windows server 2008服务器上安装并配置AD CS根证书CA,在另外一台服务器上安装子级CA,并将该服务器配置为使用Web界面分发证书。实验环境:实验环境:SH-DC1独立根CASH-CLI1SH-SVR1企业子CA任务1.在DC上安装AD CS服务器角色
15、,并配置为独立根CA安装类型:独立指定CA:根CA私钥:新建私钥密钥长度:4096CA名称:shixunCA2.在SVR1上安装带Web注册的企业级子CA安装类型:企业指定CA:子级CA私钥:新建私钥密钥长度:4096CA名称:IssuingCA向父CA申请证书:shixunCA3.颁发子级CA证书4.安装并验证子级CA证书 演示 安装CA证书颁发机构目的:1.在DC上安装AD CS服务器角色,并配置为独立根CA2.在SVR1上安装带Web注册的企业级子CA3.颁发子级CA证书4.安装并验证子级CA证书四、小结通过本节的学习,你能够:1.了解PKI 及其优点2.了解PKI的应用3.熟悉PKI 解决方案的组件4.了解AD CS 对 PKI 的支持5.熟悉CA概念和功能6.掌握CA 的类型7.掌握独立 CA 和企业 CA的概念8.熟悉CA 层次结构的使用方案9.掌握如何安装根 CA 和 安装子级 CA
