任务2部署用户与计算机证书.pptVIP

Windows 网络操作系统的配置与管理 单元一：安装windows操作系统 单元二：安装与配置活动目录域服务 单元三：管理用户和组 单元四：配置和管理组策略 单元五：配置与管理分布式文件系统 单元六：配置与管理存储系统 单元七：配置与管理打印服务器 单元八：IP地址与配置方法 单元九：配置与管理DHCP服务器 单元十：配置与管理DNS服务器 单元十一：配置与管理Web服务器 单元十二：配置与管理ADCS 单元十三：配置路由与远程访问 单元十四：配置网络策略服务和网络访问保护 单元十二 配置与管理AD CS 任务1 安装与配置AD CS 任务2 部署用户和计算机证书 任务2 部署用户和计算机证书 一、课程导入 二、知识原理 2.1 数字证书 2.2 证书生命周期概述 2.3 证书注册方法 2.4 使用 Web 注册获得证书 2.5 使用手动注册获得证书 2.6 NDES 2.7 自动注册的工作方式 三、演示 为用户和计算机申请证书 四、小结 一、课程导入 数字证书是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。客户和计算机如何申请数字证书呢？ 二、知识原理 2.1 数字证书 2.2 证书生命周期概述 2.3 证书注册方法 2.4 使用 Web 注册获得证书 2.5 使用手动注册获得证书 2.6 NDES 2.7 自动注册的工作方式 2.1 数字证书 公共加密密钥 使用者信息 CA 信息 数字证书 数字证书：是公钥和私钥关联的电子凭据。内容包括证书序列号、证书持有者名称、证书颁发者名称、证书有效期、公钥、证书颁发者的数字签名等（不包含私钥）. 证书可用来验证用户的身份 2.2 证书生命周期概述 用户、计算机或服务申请从 CA 获得证书。 1 CA 生成证书。 2 CA 将证书分发给该用户、计算机或服务。 3 证书用于支持 PKI 的应用程序。 4 证书达到其生命周期的终点。 5 证书过期 续订 吊销。 6 2.3 证书注册方法 方法 用于 为基于域的计算机自动化完成证书的申请、检索和存储 使用组策略中的自动注册设置 在申请者无法直接与 CA 通信时，使申请者可使用“证书”控制台或 Certreq.exe 来申请证书 私钥和证书申请在设备上生成。 申请从位于 CA 上的网站获得证书 在自动注册不可用时颁发证书 为 CA 管理员提供代表另一个用户申请证书的权限 Web 注册 手动注册 自动注册 注册代理 2.4 使用 Web 注册获得证书 使用 Web 浏览器连接到 http://ServerName/certsrv 单击“申请一个证书”。 选择要申请的证书的类型。 输入或验证标识。 安装证书。 2 3 1 5 4 2.5 使用手动注册获得证书 “证书”MMC Web 服务器 NDES 手动注册 2.6 NDES CA 网络路由器 网络 NDES： 网络设备注册服务，使用该服务，在路由器和交换机等网络设备上运行的软件可以注册证书颁发机构 (CA) 颁发的 X.509 证书。 使用简单证书注册协议与路由器和交换机之类的兼容网络设备通信 作为 Active Directory 证书服务角色服务运行 需要 Internet 信息服务 2.7 自动注册的工作方式 证书模板配置为允许接收证书的用户获得注册和自动注册权限。 客户机在下一个组策略刷新间隔中接收证书。 创建 Active Directory 组策略对象 (GPO) 以启用自动注册。GPO 链接到相应的站点、域或组织单位。 CA 配置为颁发模板。 证书模板 证书颁发机构 GPO 客户机 三、演示 为用户和计算机申请证书 工作场景： 你是时讯公司的网络管理员，时讯公司在网络安装了一台Web服务器，为了保证Web服务器的安全，你需要完成以下任务： 安装并配置证书服务的Web注册 配置基于SSL的Web网站 在组策略中为证书服务配置自动注册功能 实验环境： SH-DC1 SH-CLI1 SH-SVR1 CA Web 任务 安装证书颁发机构和证书颁发机构Web注册角色服务名称：shixunIssuingCA（其他的按默认） 在Web服务器证书模板上配置权限authenticated Users ：读取＋注册 为SVR1计算机注册Web服务器证书 将Web注册网站配置为使用SSL 为SVR1计算机使用Web注册申请并安装基本EFS证书 复制用户证书模板并配置证书模板名称：shixun user使用者名称：使用