当前位置：文档库 › 上海市CA证书服务网点

上海市CA证书服务网点

上海市数字证书认证中心有限公司服务网点

服务热线：021-962600

CA服务器配置原理与图解过程

CA（证书颁发机构）配置概述图解过程一．CA（证书颁发机构）配置概述由于现在安全问题日益严重，为了保证数据传输的性，交易者双方身份的确定性等问题，我们需要采用一种安全机制来实现这些功能，在这里我们来探讨以下PKI体系中的“证书”，也就是如何来构建一个CA的环境来保证安全性。 CA（证书颁发机构）主要负责证书的颁发、管理以及归档和吊销，我们可以把证书认为是我们开车需要使用的驾驶执照。证书包含了拥有证书者的、地址、电子、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能：加密、签名、身份验证。这里不在具体阐述加密相关知识，这里主要讨论如何来实现CA的环境。 CA的架构是一种层次结构的部署模式，分为“根CA”和“从属CA”：“根CA”位于此架构中的最上层，一般它是被用来发放证书给其他的CA（从属CA）。在windows系统中，我们可以构建4种CA：企业根CA和企业从属CA（这两种CA只能在域环境中）；独立根CA 和独立从属CA。安装CA：通过控制面板--添加删除程序--添加删除windows组件--证书服务，在安装过程中选择安装的CA类型，再这里我们选择独立根CA，输入CA名称以及设置有效期限，完成向导即可。（在这里注意：安装证书服务前先安装IIS）申请证书：CA服务装好以后就可以直接申请证书了，申请证书有两种方法：通过MMC控制台（此方法只适用于企业根CA和企业从属CA）和通过WEB浏览器。在这里我们只能选择WEB浏览器的方式，找到一台客户端计算机，在IE浏览器中输入[url]ca[/url]服务器的IP地址或者计算机名/certsrv 即可。然后选择申请新证书，选择证书的类型，输入正确的信息，即可获得证书。使用证书：我们可以自己架设一个最简单的POP3服务器，来实现服务。现在假设lily 要向lucy发送一封加密和签名电子，在lily这边的outlook中选择工具----，选择lily的，再单击属性--安全，选择证书就可以了。在lucy处做同样的操作。二．证书服务器图解过程试验拓扑：

服务器证书安装配置指南

服务器证书安装配置指南（Tomcat 6）一、生成证书请求 1. 安装JDK 安装Tomcat需要JDK支持。如果您还没有JDK的安装，则可以参考Java SE Development Kit (JDK) 下载。下载地址： https://www.wendangku.net/doc/ca1433916.html,/javase/downloads/index.jsp 2. 生成keystore文件生成密钥库文件keystore.jks需要使用JDK的keytool工具。命令行进入JDK下的bin目录，运行keytool命令。（示例中粗体部分为可自

定义部分，请根据实际配置情况作相应调整） keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore keystore.jks -storepass password 以上命令中，server为私钥别名(-alias)，生成的keystore.jks文件默认放在命令行当前路径下。 3. 生成证书请求文件(CSR) Keytool -certreq -alias server -sigalg MD5withRSA -file certreq.csr -keystore keystore.jks -keypass password -storepass password

备份密钥库文件keystore.jks，并稍后提交证书请求文件certreq.csr，等待证书签发。二、导入服务器证书 1. 获取服务器证书中级CA证书为保障服务器证书在客户端的兼容性，服务器证书需要安装两张中级CA 证书(不同品牌证书，可能只有一张中级证书)。从邮件中获取中级CA证书：将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）分别粘贴到记事本等文本编辑器中，并修改文件扩展名，保存为intermediate1.cer和intermediate2.cer文件。 2. 获取服务器证书您的keystore密码将证书签发邮件中的从BEGIN到 END结束的服务器证书内容（包括

Windows2003 证书服务器配置

Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装安装准备：插入Windows Server 2003 系统安装光盘添加IIS组件：点击‘确定’，安装完毕后，查看IIS管理器，如下：添加‘证书服务’组件：

如果您的机器没有安装活动目录，在勾选以上‘证书服务’时，将弹出如下窗口：由于我们将要安装的是独立CA，所以不需要安装活动目录，点击‘是’，窗口跳向如下：

默认情况下，‘用自定义设置生成密钥对和CA证书’没有勾选，我们勾选之后点击‘下一步’可以进行密钥算法的选择：

Microsoft 证书服务的默认CSP为：Microsoft Strong Cryptographic Provider，默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。点击‘下一步’：填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀’中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。点击‘下一步’：

点击‘下一步’进入组件的安装，安装过程中可能弹出如下窗口：单击‘是’，继续安装，可能再弹出如下窗口：由于安装证书服务的时候系统会自动在IIS中（这也是为什么必须先安装IIS 的原因）添加证书申请服务，该服务系统用ASP写就，所以必须为IIS启用ASP 功能，点击‘是’继续安装：

‘完成’证书服务的安装。开始》》》管理工具》》》证书颁发机构，打开如下窗口：我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。此时该服务器（CA）的IIS下多出以下几项：

windowsca证书服务器配置(二)——申请数字证书

在IE地址栏中输入证书服务系统的地址，进入服务主页：点击‘申请一个证书’进入申请页面：如果证书用作客户端身份认证，则可点击‘Web浏览器证书’或‘高级证书申请’，一般用户申请‘Web浏览器证书’即可，‘高级证书申请’里有更多选项，也就有很多专业术语，高级用户也可点击进入进行申请。这里我们以点击申请‘Web浏览器证书’为例：申请‘Web浏览器证书’，‘姓名’是必填项，其他项目可不填，但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的，所以请尽量多填，并且填写真实信息，因为CA管理员会验证申请人的真实信息，然后进行颁发。需注意的一点是，‘国家（地区）’需用国际代码填写，CN代表中国。如果想查看更多选项，请点击‘更多选项’：在‘更多选项’里，默认的CSP为Microsoft Enhanced Cryptographic Provider ，选择其他CSP不会对认证产生影响。默认情况下‘启用强私钥保护’并没有勾选上，建议将它勾选上，点击提交后就会让申请人

设置证书的安全级别，如果不将安全级别设置为高级并用口令进行保护，则只要机器上装有该证书，任何人都可以用它作为认证，所以建议将证书设置为高级安全级别，用口令进行保护。以下将作相应操作，点击‘提交’：单击‘是’：单击‘设置安全级别’：将安全级别设置为‘高’，单击‘下一步’后会弹出口令设置窗口：输入口令，对证书进行加密，并记住密码，因为在以后调用该证书的时候，浏览器会弹出输入密码的窗口。单击‘完成’：单击‘确定’，浏览器页面跳向如下：到这一步，申请人已经向CA服务器发送证书信息，并等待CA管理员对其进行核对，然后决定是否要颁发，如果CA管理员核对信息后决定颁发此证书，则申请人在其颁发之后再次访

CA服务器配置原理与图解过程

C A服务器配置原理与图解过程 SANY GROUP system office room 【SANYUA16H-

CA（证书颁发机构）配置概述图解过程一．CA（证书颁发机构）配置概述由于现在安全问题日益严重，为了保证数据传输的机密性，交易者双方身份的确定性等问题，我们需要采用一种安全机制来实现这些功能，在这里我们来探讨以下PKI体系中的“证书”，也就是如何来构建一个CA的环境来保证安全性。 CA（证书颁发机构）主要负责证书的颁发、管理以及归档和吊销，我们可以把证书认为是我们开车需要使用的驾驶执照。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能：加密、签名、身份验证。这里不在具体阐述加密相关知识，这里主要讨论如何来实现CA的环境。 CA的架构是一种层次结构的部署模式，分为“根CA”和“从属CA”：“根CA”位于此架构中的最上层，一般它是被用来发放证书给其他的CA（从属CA）。在windows系统中，我们可以构建4种CA：企业根CA和企业从属CA（这两种CA只能在域环境中）；独立根CA和独立从属CA。安装CA：通过控制面板--添加删除程序--添加删除windows组件--证书服务，在安装过程中选择安装的CA类型，再这里我们选择独立根CA，输入CA名称以及设置有效期限，完成向导即可。（在这里注意：安装证书服务前先安装IIS）申请证书：CA服务装好以后就可以直接申请证书了，申请证书有两种方法：通过MMC控制台（此方法只适用于企业根CA和企业从属CA）和通过WEB浏览器。在这里我们只能选择WEB浏览器的方式，找到一台客户端计算机，在IE浏览器中输入服务器的IP地址或者计算机名/certsrv即可。然后选择申请新证书，选择证书的类型，输入正确的信息，即可获得证书。使用证书：我们可以自己架设一个最简单的POP3服务器，来实现邮件服务。现在假设lily要向lucy发送一封加密和签名电子邮件，在lily这边的outlook中选择工具--帐户--邮件，选择lily的帐户，再单击属性--安全，选择证书就可以了。在lucy处做同样的操作。二．证书服务器图解过程试验拓扑：试验内容以及拓扑说明：

windowsca证书服务器配置——申请数字证书

Windows CA 证书服务器配置(二) ——申请数字证书在IE地址栏中输入证书服务系统的地址，进入服务主页：点击‘申请一个证书’进入申请页面：

如果证书用作客户端身份认证，则可点击‘Web浏览器证书’或‘高级证书申请’，一般用户申请‘Web浏览器证书’即可，‘高级证书申请’里有更多选项，也就有很多专业术语，高级用户也可点击进入进行申请。这里我们以点击申请‘Web浏览器证书’为例：

申请‘Web浏览器证书’，‘姓名’是必填项，其他项目可不填，但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的，所以请尽量多填，并且填写真实信息，因为CA管理员会验证申请人的真实信息，然后进行颁发。需注意的一点是，‘国家（地区）’需用国际代码填写，CN代表中国。如果想查看更多选项，请点击‘更多选项’：

在‘更多选项’里，默认的CSP为Microsoft Enhanced Cryptographic Provider ，选择其他CSP 不会对认证产生影响。默认情况下‘启用强私钥保护’并没有勾选上，建议将它勾选上，点击提交后就会让申请人设置证书的安全级别，如果不将安全级别设置为高级并用口令进行保护，则只要机器上装有该证书，任何人都可以用它作为认证，所以建议将证书设置为高级安全级别，用口令进行保护。以下将作相应操作，点击‘提交’：

单击‘是’：单击‘设置安全级别’：将安全级别设置为‘高’，单击‘下一步’后会弹出口令设置窗口：

输入口令，对证书进行加密，并记住密码，因为在以后调用该证书的时候，浏览器会弹出输入密码的窗口。单击‘完成’：单击‘确定’，浏览器页面跳向如下：

Windows_Server_2008上使用IIS搭建WEB服务器、CA数字证书应用图解(全)

Windows Server 2008上使用IIS搭建WEB服务器、客户端的数字证书应用（一）一、什么是数字证书及作用？数字证书就是互联网通讯中标志（证明）通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA 机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。常用的密钥包括一个公开的密钥和一个私有的密钥即一组密钥对，当信息使用公钥加密并通过网络传输到目标主机后，目标主机必需使用对应的私钥才能解密使用。使用它主要是为了提高IT系统在敏感数据应用领域的安全性，为用户业务提供更高安全保障；注：数字证书，下面均简称证书；二、如何搭建证书服务器？搭建证书服务器步骤如下： 1、登陆Windows Server 2008服务器； 2、打开【服务器管理器】；（图2） 3、点击【添加角色】，之后点击【下一步】；

（图3） 4、找到【Active Directory证书服务】勾选此选项，之后点击【下一步】；

（图4） 5、进入证书服务简介界面，点击【下一步】；（图5） 6、将证书颁发机构、证书颁发机构WEB注册勾选上，然后点击【下一步】；

（图6） 7、勾选【独立】选项，点击【下一步】；（由于不在域管理中创建，直接默认为：“独立”） (图7) 8、首次创建，勾选【根CA】，之后点击【下一步】；

《windows服务器配置与管理》期末考试试题(上机).doc

《Windows服务器配置与管理》期末考试试题一、考试环境：说明：在完成考试题目的时候，不需要同时开所有虚拟机系统。根据题目要求开启相应的虚拟机，并按照题目说明修改虚拟机参数（参考上课时的实验环境），为了避免前面的操作对后面产生影响，请记得先为虚拟机创建快照。为了方便识别，请在所有虚拟机名称后面加上自己姓名拼音大写字母和学号，假设1号的同学名叫刘卓华，就要设置成“局域网服务器（LZH01）”、“双网卡服务器（LZH01）”。截图的时候，截取VMWARE 的界面，要能看到完整的实验环境。如下图所示：二、考试工作场景描述： LZH01公司的网络是一家典型的中等规模的企业网络环境，公司已经完成了网络架构的设计和施工工作，现在需要完成企业网络服务的设计、架设和实施工作。通过对公司企业网络服务功能的设计及实施，要求在公司网络实现DNS、DHCP、WEB、FTP、MAIL、MEDIA、PRINT、AD、CA、安全的WEB服务等系统服务，在局域网出口的双网卡服务器上架设NAT 和VPN服务，并对局域网服务器的系统进行相应管理。网络环境如上面考试环境图所示。三、考试题目：(下面凡是出现https://www.wendangku.net/doc/ca1433916.html,、lzh的地方，都要参考这种格式改成自己的姓名学号信息) 1、在局域网服务器（2008）搭建DHCP服务。 1)创建作用域:192.168.1.1-192.168.1.254 2)设置作用域选项：路由器192.168.1.1、DNS服务器192.168.1.2 3)设置保留地址：为XP客户机创建保留地址192.168.1.10。 4)设置排除地址：192.168.1.1-192.168.1.2 5)设置服务器选项：DNS服务器202.96.128.68。

服务器配置与管理上机试题

学校班级姓名学号______________________ ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆装◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆订◆◆◆◆◆◆◆◆◆◆◆◆◆线◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 第 1 页共 6 页课程：服务器配置与管理（期末卷）（答卷时间 90 分钟）一、单选题(本题包含30小题，每题1分，共30分) 1．因特网中的主机可以分为服务器和客户机，其中( )。 A. 服务器是服务和信息资源的提供者，客户机是服务和信息资源的使用者 B. 服务器是服务和信息资源的使用者，客户机是服务和信息资源的提供者 C. 服务器和客户机都是服务和信息资源的提供者 D. 服务器和客户机都是服务和信息资源的使用者 2．如果要通过局域网接入Internet ，那么首先需要为计算机安装( )： A.调制解调器 B.声卡 C.网卡 D.集线器 3．以下哪个选项是正确的Ethernet MAC 地址？（） A. 00-01-AA-08 B. 00-01-AA-08-0D-80 C. 1203 D.192.2.0.1 4． Windows 2003 Sever 中具有最高权限的用户是( ) A. administrator B. root C. supervisor D. guest 5．活动目录与下面（）服务集成。 A.WWW B.DHCP C.FTP D.DNS 6．IP 地址是计算机在网络中的地址，它是由( )。 A. 16位二进制数组成 B. 32位二进制数组成 C. 32位十进制数组成 D.4位十六进制数组成 7．只有( )卷上的文件或文件夹才能被加密。 A. DOS B. FAT16 C. FAT32 D. NTFS 8．下面( )命令用于测试网络是否连通。 A. telnet B. nslookup C. ping D. ftp 9．现在局域网采用的双绞线一般为( )。 A.3类UTP B.4类UTP C.5类UTP D.6类UTP 10．关于以太网网卡地址的说法正确的是( )。 A.在世界范围内唯一 B.在世界范围内不唯一 C.在一定范围内唯一 D.在一定范围内不唯一

Windows 2003 CA 证书服务器配置

Windows CA 证书服务器配置(一) ——Microsoft 证书服务安装放入Windows Server 2003 系统安装光盘添加IIS组件：点击‘确定’，安装完毕后，查看IIS管理器，如下：

添加‘证书服务’组件：如果您的机器没有安装活动目录，在勾选以上‘证书服务’时，将弹出如下窗口：由于我们将要安装的是独立CA，所以不需要安装活动目录，点击‘是’，窗口跳向如下：

默认情况下，‘用自定义设置生成密钥对和CA证书’没有勾选，我们勾选之后点击‘下一步’可以进行密钥算法的选择： Microsoft 证书服务的默认CSP为：Microsoft Strong Cryptographic Provider，默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。点击‘下一步’：

填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀’中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。点击‘下一步’：

点击‘下一步’进入组件的安装，安装过程中可能弹出如下窗口：单击‘是’，继续安装，可能再弹出如下窗口：由于安装证书服务的时候系统会自动在IIS中（这也是为什么必须先安装IIS的原因）添加证书申请服务，该服务系统用ASP写就，所以必须为IIS启用ASP功能，点击‘是’继续安装：

‘完成’证书服务的安装。开始——管理工具——证书颁发机构，打开如下窗口：我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。此时该服务器（CA）的IIS下多出以下几项：

Windows服务器配置与管理

连云港职业技术学院信息工程学院《Windows服务器配置与管理》大作业文档题目：终端服务的管理与配置姓名：学号： 29号专业：计算机网络技术导师：连云港职业技术学院信息工程学院 2010 年12 月

摘要客户端通过终端服务客户端软件连接到终端服务器，在客户端的显示器上将显示出终端服务器使用的操作系统的界面。客户端软件讲客户鼠标和键盘的操作传送给服务器，然后将服务器显示的界面传送给客户端。对客户端而言，就像操作本地计算机一样。 Windows server 2003终端服务器可用来管理每个客户远程登录的资源，它提供了一个基于远程桌面协议的服务，使windows server 2003成为真正的多会话环境操作系统，并让用户能使用服务器上的各种合法资源。也可以让使用配置较低计算机的用户，通过终端服务使用服务器上最新的操作系统或者软件。【关键字】终端服务器远程桌面远程协助配置目录摘要 (2) 第1章引言 (4) 第2章系统实现 (5) 2.1 安装终端服务器 (5) 2.2 windows XP的设置 (11) 2.3 终端服务器的连接配置 (15) 2.4 配置和使用“远程桌面” (20) 2.5 配置远程协助 (25) 2.6使用基于HTTP协议的终端服务器 (32) (32) (34) 第3章总结 (38)

参考文献 (39) 第1章引言 Windows server 2003操作系统提供了可用于从远程位置管理服务器的工具。这些工具包括“远程桌面”管理单元、终端服务器、远程协助、Telnet服务等远程管理工具。了解每种工具的优点和安全性需要后，就可以为远程管理和管理任务选择最合适的工具了。终端服务器是通过网路服务器来提供一种有效和可靠的方法，分发基于windows的程序。它通过网络处理从客户端远程桌面传递的命令，运行后将结果传回远程桌面。通过终端服务器，可允许多个用户同时访问运行windows server 2003家族操作系统之一的服务器上的桌面。可以运行程序、保存文件和使用网络资源，就像坐在那台计算机前一样。远程桌面是安装在网络中的客户端上的一种瘦客户端软件，它授权远程访问运行windows server 2003家族操作之一的任何计算机桌面，而并不对管理员下达的指令进行任何处理。允许用户实际通过网络中的任何计算机管理服务器——甚至是Microsoft Windows Server 2003服务器。使用终端服务的优点是：将windows server 2003家族操作系统更快的引入桌面；充分利用已有的硬件；可以使用终端服务器集中部署程序；使用终端服务器远程桌面。 Windows server 2003终端服务新增功能：程序的集中部署；对应用程序的远程访问；单应用程序访问；终端服务管理器；远程控制；音频重定向；组策略集成；分辨率和颜色增强功能。第2章系统实现 2.1安装终端服务器方法一：使用【添加或删除程序】来安装终端服务器（1）.在【控制面板】中单击【添加或删除程序】图标打开【添加或删除程序】对话框。

WindowsCA证书服务器配置(二)——申请数字证书

WindowsCA证书服务器配置(二)——申请数字证书在IE地址栏中输入证书服务系统的地址，进入服务主页：点击‘申请一个证书’进入申请页面：

如果证书用作客户端身份认证，则可点击‘浏览器W证e书b’或‘高级证书申请’，一般用户申请‘We浏b览器证书’即可，‘高级证书申请’里有更多选项，也就有很多专业术语，高级用户也可点击进入进行申请。这里我们以点击申请‘浏W览eb器证书’为例：

在‘更多选项’里，默认的CSP为MicrosoftEnhancedCryptographicProviderv1.0，选择其他CSP不会对认证产生影响。默认情况下‘启用强私钥保护’并没有勾选上，建议将它勾选上，点击提交后就会让申请人设置证书的安全级别，如果不将安全级别设置为高级并用口令进行保护，则只要机器上装有

该证书，任何人都可以用它作为认证，所以建议将证书设置为高级安全级别，用口令进行保护。以下将作相应操作，点击‘提交’：单击‘是’：单击‘设置安全级别’：

将安全级别设置为‘高’，单击‘下一步’后会弹出口令设置窗口：输入口令，对证书进行加密，并记住密码，因为在以后调用该证书的时候，浏览器会弹出输入密码的窗口。

Server 2016 + Win10 搭建CA证书登录环境

Server 2016 + Win10 搭建CA证书登录环境手记。 1.启动服务器管理器，添加角色和功能。 2.选择AD证书服务。 3.选择证书颁发机构Web注册。 4.IIS一般默认，或者再勾上.Net/CGI相应部分，WCF则需要在添加功能时选择http 激活。 5.安装等好。 6.CA配置： 7.选择证书颁发服务器； 8.右键属性，选择扩展选项卡； 9.CRL添加：其他删掉，留下http部分，参照http项添加一个，替换掉，例:http://ca.**.**:81/CertEnroll/.crl，能定位吊销列表就行； 10.授权信息访问：同上编辑， http://ca.**.**:81/CertEnroll/_.crt。 11.修改颁发年限： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Confi guration\**,ValidityPeriodUnits值改为A,十进制10； 12.重启证书服务器。 13.IIS配置： 14.服务器证书：创建申请时填写*.XX.XX，XX.XX为域名； 15.证书颁发并导出为Base64格式，完成申请； 16.CertEnroll虚拟目录“要求SSL”，去掉勾； 17.CertSrv则是要求SSL，接受证书，现在设成必需就没法申请证书了；

18.关键：现在打开网页申请证书，密钥用法只有交换，申请格式只能PKCS10，需要修改asp代码； 19.搜索certrqma.asp,检索if (0 == nSupportedKeyUsages)，在前面插入一行代码 nSupportedKeyUsages = 3;，注意修改权限，将该asp文件所有者改为管理员，再将管理员的所有操作权限赋上； 20.CMC打开是在certsgcl.inc，检索isClientAbleToCreateCMC，将 sUserAgent.indexOf("Windows NT 10.0")!=-1也返回true； 21.此处申请格式必须为PKCS10； 22.在网页中申请客户端验证证书，服务器颁发，将SSL设置为必需。 23.打开IE测试。

ca服务器和web服务器分离-如何实现ssl(2)

3、在win2003系统_2上设置客户证书映射 3.1.Web服务器上导入客户端证书在IIS中要映射客户端的证书到windows账户，必须在IIS所在的服务器上用这个客户端的cer证书。在win2003系统_1机器上证书颁发机构中导出客户端申请后已经颁发的ClientCert2003证书，导出为ClientCert2003.cer 在win2003系统_2机器上导入这个证书到当前用户存储区的个人目录下。 3.2.导入客户端证书的根证书 Web服务端有了客户证书，还需要这个客户端证书的根证书，只有在服务器信任这个客户端证书的根证书时客户端证书才能正常访问web服务器。在证书管理中双击ClientCert2003证书查看此证书：

可以看到，ClientCert2003的根证书TestCA在此服务器上不被信任，需要把TestCA证书安装到此服务器的受信任的根证书颁发机构存储里。查看此根证书：点击“安装证书”按钮，出现证书导入向导，选择“将所有的证书放入下列存储”，然后点击“浏览”按钮选择证书安装的存储区：选择把证书保存到“受信任的根证书颁发机构”-“本地计算机”。

TestCA证书导入成功，到证书管理中查看，发现TestCA证书其实被安装到两个地方，分别是： ●证书当前用户存储区的“受信任的根证书颁发机构” ●证书本地计算机存储区的“受信任的根证书颁发机构” 3.3.设置IIS中网站的客户端证书映射在win2003系统_2机器上IIS中，查看web网站的属性，导航到“目录安全性”，首先把所有的身份验证方法都清除：然后在安全通讯区域内，点击“编辑”按钮：

Radius认证服务器的配置与应用讲解

Radius认证服务器的配置与应用(802.1x) IEEE 802.1x协议 IEEE 802.1x是一个基于端口的网络访问控制协议，该协议的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而实现认证与业务的分离，保证了网络传输的效率。IEEE 802系列局域网（LAN）标准占据着目前局域网应用的主要份额，但是传统的IEEE 802体系定义的局域网不提供接入认证，只要用户能接入集线器、交换机等控制设备，用户就可以访问局域网中其他设备上的资源，这是一个安全隐患，同时也不便于实现对局域网接入用户的管理。IEEE 802.1x是一种基于端口的网络接入控制技术，在局域网设备的物理接入级对接入设备（主要是计算机）进行认证和控制。连接在交换机端口上的用户设备如果能通过认证，就可以访问局域网内的资源，也可以接入外部网络（如Internet）；如果不能通过认证，则无法访问局域网内部的资源，同样也无法接入Internet，相当于物理上断开了连接。 IEEE 802. 1x协议采用现有的可扩展认证协议（Extensible Authentication Protocol，EAP），它是IETF提出的PPP协议的扩展，最早是为解决基于IEEE 802.11标准的无线局域网的认证而开发的。虽然IEEE802.1x定义了基于端口的网络接入控制协议，但是在实际应用中该协议仅适用于接入设备与接入端口间的点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端口。典型的应用方式有两种：一种是以太网交换机的一个物理端口仅连接一个计算机；另一种是基于无线局域网（WLAN）的接入方式。其中，前者是基于物理端口的，而后者是基于逻辑端口的。目前，几乎所有的以太网交换机都支持IEEE 802.1x协议。 RADIUS服务器 RADIUS（Remote Authentication Dial In User Service，远程用户拨号认证服务）服务器提供了三种基本的功能：认证（Authentication）、授权（Authorization）和审计（Accounting），即提供了 3A功能。其中审计也称为“记账”或“计费”。 RADIUS协议采用了客户机/服务器（C/S）工作模式。网络接入服务器（Network Access Server，NAS）是RADIUS的客户端，它负责将用户的验证信息传递给指定的RADIUS服务器，然后处理返回的响应。RADIUS服务器负责接收用户的连接请求，并验证用户身份，然后返回所有必须要配置的信息给客户端用户，也可以作为其他RADIUS服务器或其他类认证服务器的代理客户端。服务器和客户端之间传输的所有数据通过使用共享密钥来验证，客户端和RADIUS服务器之间的用户密码经过加密发送，提供了密码使用的安全性。基于IEEE 802.1x认证系统的组成一个完整的基于IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3部分（角色）组成。认证客户端。认证客户端是最终用户所扮演的角色，一般是个人计算机。它请求对网络服务的访问，并对认证者的请求报文进行应答。认证客户端必须运行符合IEEE 802.1x 客户端标准的软件，目前最典型的就是Windows XP操作系统自带的IEEE802.1x客户端支持。另外，一些网络设备制造商也开发了自己的IEEE 802.1x客户端软件。认证者认证者一般为交换机等接入设备。该设备的职责是根据认证客户端当前的认证状态控制其与网络的连接状态。扮演认证者角色的设备有两种类型的端口：受控端口（controlled Port）和非受控端口（uncontrolled Port）。其中，连接在受控端口的用户只有通过认证才能访问网络资源；而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。把用户连接在受控端口上，便可以实现对用户的控制；非受控端口主要是用来连接认证服务器，以便保证服务器与交换机的正常通讯。认证服务器认证服务器通常为RADIUS服务器。认证服务器在认证过程中与认证者配合，为用户提供认证服务。认证服务器保存了用户名及密码，以及相应的授权信息，一台认证服务器可以对多台认证者提供认

实验六-证书服务器与邮件服务器的配置与管理

实验六证书服务器与邮件服务器的配置与管理一、实验目的熟练掌握证书服务器的配置方法，了解证书服务器的工作原理；熟练掌握邮件服务器的配置方法，了解邮件服务器的工作原理。二、实验属性：设计型三、实验环境多台装有Windows Server 2003的计算机。四、实验内容该实验分组进行，自愿组合，3人一组，其中一人做证书服务器，一人做邮件服务器，另一人做客户端，在客户端能发送和接收经过签名和加密的邮件。五、实验步骤 1、安装证书服务步骤一：安装IIS服务，其具体操作步骤如下：首先安装IIS服务：开始->控制面板->添加或删除程序->添加或删除Windows组组件；在如下的对话框中选择应用程序服务器，如下图所示：点击详细信息，出现如下对话框，选择Internet信息服务，如下图所示：

安装完成后，在【管理工具】中打开Internet信息服务管理器，如下图所示：步骤二：安装证书服务，其具体操作步骤如下：开始->控制面板->添加或删除程序->添加或删除Windows组组件；在如下的对话框中选择证书服务，并且，点击详细信息：在出现的对话框中，选择证书服务以及组件支持，如下图所示：

点击确定，点击下一步，在出现的对话框中选择，独立根和用自定义设置生成密钥对和CA 证书，如下图所示：

点击下一步，在出现的对话框里输入CA的公用名称，如下图所示：点击下一步，直至完成安装。 2、证书服务器管理开始->管理工具->证书颁发机构，出现如下的对话框：

当有客户申请证书的时候，可以点击挂起的申请，在对话框的右边即可显示挂起的申请，此时，可以根据需要对申请进行颁发或不颁发。颁发或不颁发的步骤为：右击记录，选择所有任务，选择颁发或是拒绝。 3、客户端下载并安装CA根证书首先，进入证书申请的网站，其具体操作步骤如下：打开IE，在地址栏里输入：http://192.198.0.1/certsrv/ 进入该网站后，点击下载一个CA证书，证书链或CRA，如下图所示：点击选项，进入如下页面：

服务器配置与管理知识总结

高等技术学院计算机系《服务器配置与管理》课程学习综合报告班级：姓名：学号：学习时间：2012年 2月 27日 --- 6月 10 日日期：6月10日

网络服务器配置与管理学习心得一、总结知识结构框架图二、学到的基本知识与实际技能首先本学期十四个实验我全部基本完成，完成情况请老师参阅文档一~文档十四。通过本学期的学习，使我学会熟练地部署、配置和管理各类网络服务器，即DNS与DHCP服务器、文件与打印服务器、Web服务器、FTP服务器、电子邮件服务器、BBS论坛、证书服务器、流媒体服务器、Telnet与终端服务器，现将各章节理论与实验的学到的知识归纳如下：第一章理论知识我们学习到了网络服务的两种模式：C/S模式和B/S模式，了解了服务器软件：DNS服务器、打印服务器、Web服务器、FTP服务器、邮件服务器、文件服务器等。Windows Server 2003的两种授权模式（1.每设备或每用户 2.每服务器）及动态磁盘的特点，在Windows Server 2003实现RAID需要的前提条件及磁盘配额的特性，本地用户账户和域用户账户的差异以及用户权限（访问级别）和用户权利（操作或管理能力）的区别，还有Windows Server 2003的升级安装和全新安装。第一次实验使我学习到安装Windows 2003操作系统的具体办法，进一步了解Windows Server 2003基于软硬件的RAID技术。第二次实验让我掌握了使用Windows Server 2003用户和组管理的技能，很明确地明白客户机和服务器之间用户和组的创建新账户、删除账户、修改账户属性、添加账户到组、创建组、删除组和添加

服务器证书安装配置指南

服务器证书安装配置指南（Apache for Linux）作者：天威诚信服务与支持来源：本站原创点击数：更新时间：2010-2-23 一、安装准备 1. 安装Openssl 要使Apache支持SSL，需要首先安装Openssl支持。推荐下载安装openssl-0.9.8k.tar.gz 下载Openssl：https://www.wendangku.net/doc/ca1433916.html,/source/ tar -zxf openssl-0.9.8k.tar.gz //解压安装包 cd openssl-0.9.8k //进入已经解压的安装包 ./config //配置安装。推荐使用默认配置 make && make install //编译及安装 openssl默认将被安装到/usr/local/ssl 2. 安装Apache ./configure --prefix=/usr/local/apache --enable-so --enable-ssl --with-ssl=/usr/local/ssl --enable-mods-shared=all //配置安装。推荐动态编译模块 make && make install 动态编译Apache模块，便于模块的加载管理。Apache 将被安装到/usr/local/apache 二、生成证书请求文件 1. 创建私钥在创建证书请求之前，您需要首先生成服务器证书私钥文件。 cd /usr/local/ssl/bin //进入openssl安装目录 openssl genrsa -out server.key 2048 //运行openssl命令，生成2048位长的私钥server.key文件。如果您需要对 server.key 添加保护密码，请使用 -des3 扩展命令。Windows环境下不支持加密格式私钥，Linux环境下使用加密格式私钥时，每次重启Apache都需要您输入该私钥密码（例：openssl genrsa -des3 -out server.key 204 8）。 2. 生成证书请求（CSR）文件 openssl req -new -key server.key -out certreq.csr Country Name： //您所在国家的ISO标准代号，中国为CN State or Province Name： //您单位所在地省/自治区/直辖市 Locality Name： //您单位所在地的市/县/区 Organization Name： //您单位/机构/企业合法的名称 Organizational Unit Name： //部门名称 Common Name： //通用名，例如：https://www.wendangku.net/doc/ca1433916.html,。此项必须与您访问提供SSL服务的服务器时所应用的域名完全匹配。

Windows CA 证书服务器配置

Windows CA证书服务器配置(一) —— Microsoft 证书服务安装安装准备：插入Windows Server 2003 系统安装光盘添加IIS组件：点击‘确定’，安装完毕后，查看IIS管理器，如下：添加‘证书服务’组件：

默认情况下，‘用自定义设置生成密钥对和CA证书’没有勾选，我们勾选之后点击‘下一步’可以进行密钥算法的选择：

独立根CA的安装与证书申请

独立根CA的安装与证书申请 ?独立根CA与企业CA 不同，独立CA 不需要使用Active Directory 目录服务。独立CA 最初是为了用作CA 层次结构中的受信任的脱机根CA，或者是为了在涉及 Extranet 和Internet 时使用。此外，如果想对CA 使用自定义的策略模块，您需要先安装独立CA 然后再用您自定义的策略模块替代独立策略模块。 ?向独立CA 提交证书申请时，证书申请者必须在证书申请中明确提供所有关于自己的标识信息以及证书申请所需的证书类型。（向企业CA 提交证书申请时无需提供这些信息，因为企业用户的信息已经在Active Directory 中并且证书类型由证书模板说明）。申请所需的身份验证信息可从本地计算机的“安全帐户管理器”数据库中获取。 ?默认情况下，发送到独立CA 的所有证书申请都被设置为挂起，一直到独立CA 的管理员验证申请者的身份并批准申请。这完全是出于安全性的考虑，因为证书申请者的凭证还没有被独立CA 验证。安装步骤：第一步：构建独立根CA服务器，我需要先安装IIS（证书服务安装过程中会在IIS的默认网站中写入虚拟目录，如果没有IIS的话，无法通过web浏览器的方式申请证书），然后再安装证书服务，配置过程如下：

第二步：安装CA服务器，添加证书服务组件；第三步：单击【是】选择独立根CA，下一步填写CA公用名称如下图：第四步：证书数据库的设置，选择数据库以及共享文件夹的位置，这里默认就可以了

第五步：出现一下提示让你开启Active server page 服务，这里单击【是】；第六步：客户端申请证书,当然客户端和服务器是在同一个网段，打开客户端的IE浏览器输入：http://服务器ip或计算机名/certsrv/回车