实战:在域环境安装和配置企业CA

简介:

4.1 实战:在域环境安装和配置企业CA

本节目标:

ü 安装企业CA

ü 为域中的计算机安装pop3和SMTP服务

ü 在域中创建用户zhang 电子邮箱地址为zhang@ess.com

ü 在域中创建用户wang电子邮箱地址为wang@ess.com

ü 掌握批量设置域用户电子邮件地址

ü 掌握域用户申请证书的方法

clip_image001

实验环境:

ü DCServer 安装了Windows Server 2008企业版,是ess.com域的域控制器,同时也是DNS服务器和企业证书颁发机构。

ü MialServer安装Windows Server 2003企业版,安装pop3服务和SMTP服务。

ü ZhangPC安装了Vista的企业版,是ess.com域的成员计算机。

ü WangPC安装了Vista的企业版,是ess.com域的成员计算机。

4.1.1 在DCServer上安装企业根CA

任务:

ü 在域控制器上安装企业CA

步骤:

1. 在域控制器DCServer上,打开服务器管理工具,点击“添加角色”。

2. 在出现的开始之前对话框,点击“下一步”。

clip_image002clip_image003

3. 在选择服务器角色对话框,选中“Active Directory证书服务”,点击“下一步”。

4. 在出现的Active Directory证书服务简介对话框,点击“下一步”。

clip_image004clip_image005

5. 在出现的选择角色服务对话框,选中“证书颁发机构”,选中“证书颁发机构Web注册”,在出现的对话框,点击“添加必须的角色服务”。

6. 选中“联机响应程序”,点击“下一步”。

clip_image006clip_image007

7. 在出现的指定安装类型对话框,选择“企业”,点击“下一步”。

8. 在指定CA类型对话框,选择“根”,点击“下一步”。

clip_image008clip_image009

9. 在设置私钥对话框,选择“新建私钥”,点击“下一步”。

10. 在为CA配置加密对话框,保持默认设置,点击“下一步”。

clip_image010clip_image011

11. 在配置CA名称对话框,输入CA的公用名称,点击“下一步”。

12. 在设置有效期对话框,保持默认5年,点击“下一步”。

clip_image012clip_image013

13. 在配置数据库路径对话框,点击“下一步”。

14. 在Web服务器(IIS)对话框,点击“下一步”。

clip_image014clip_image015

15. 在选择角色服务对话框,保持默认选项,点击“下一步”。

16. 在确认安装选择对话框,点击“下一步”。

clip_image016clip_image017

17. 在安装结果对话框,点击“关闭”。完成企业证书服务的安装。

clip_image018

4.1.2 在DCServer创建两个域用户并设置邮箱地址

任务:

ü 在活动目录中创建两个域用户

ü 批量设置电子邮箱地址

步骤:

1. 在DCServer上,以管理员登录。

2. 点击“开始”à“运行”,输入dsa.msc,打开活动目录管理工具。

3. 右击“研发部”组织单元,点击“新建”à“用户”。

4. 在出现新建对象-用户对话框,输入姓名和登录名,点击“下一步”。

clip_image019clip_image020

5. 在出现的新建对象-用户对话框,输入密码,取消“用户下次登录时更改密码”选项,点击“下一步”。

6. 在出现的新建对象-用户对话框,点击“完成”。

clip_image021clip_image022

7. 依照上面步骤,创建“王五”用户,选中张三和王五两个用户,点击“属性”。

8. 在出现的多个项目属性对话框的常规标签下,选中“电子邮件输入%username%@ess.com,点击“确定,注意%username%是参数,会自动的使用用户名替代。

clip_image023clip_image024

9. 右击“王五”帐户,点击“属性”,在王五属性对话框的常规标签下可以看到电子邮件地址已经变成了wang@ess.com。

clip_image025clip_image026

4.1.3 在MailServer上配置创建域和邮箱

任务:

ü 将计算机加入域后安装pop3服务和SMTP服务

ü 配置pop3服务创建域和邮箱

步骤:

1. 以域管理身份登录到MailServer。

2. 点击“开始”à“程序”à“管理工具”à“pop3服务”,打开pop3服务管理工具。

3. 点击“新域”,在出现的添加域对话框,输入域名ess.com,点击“确定”。

4. 点中ess.com域,点击“添加邮箱”,在出现的添加邮箱对话,在邮箱名输入wang,如果选择“为此邮箱创建关联的用户”,输入密码,点击“确定”。提示用户已经存在。点击“确定”。说明在这里创建的用户是域中的用户。

clip_image027clip_image028

5. 去掉“为此邮箱创建相关联的用户”选择,点击“确定”。

6. 以同样的方法zhang邮箱。

clip_image029clip_image030

4.1.4 域用户zhang在zhangPC上申请用户证书

任务:

ü 确认域用户自动信任企业根证书颁发机构

ü 掌握域用户申请向企业CA申请证书的步骤

ü 示例:域用户zhang在zhangPC上申请用户证书并配置Windows Mail使用证书

步骤:

1. 在zhangPC上,以域用户zhang登录到zhangPC。

2. 点击“开始”à“运行”,输入“MMC”,点击“确定”。打开微软管理控制台。

clip_image031clip_image032

3. 点击“文件”à“添加/删除管理单元”。

4. 在出现的添加/删除管理单元对话框,点中“证书”,点击“添加”,点击“确定”。

clip_image033clip_image034

5. 点击“受信任的根证书颁发机构”下的“证书”,可以看到企业根CA的正书已经自动的添加到受信任的证书颁发机构中了。

6. 右击“个人”,点击“所有任务”à“申请新证书”。

clip_image035clip_image036

7. 在出现的在开始之前对话框,点击“下一步”。

8. 在出现的申请证书对话框,选中“用户”,点击“详细信息”,可以看到“用户”证书的可以用来“加密文件系统”、“安全电子邮件”和“客户端身份验证”,点击“注册”。

clip_image037clip_image038

9. 在出现的证书安装结果对话框,显示成功,点击“完成”。

10. 点击“个人”à“证书”,可以看到张三申请的证书。双击该证书。

clip_image039clip_image040

11. 在出现的证书对话框的详细信息标签下,点击“使用者”,可以看到该数字证书绑定的电子邮件zhang@ess.com。这要求用户在申请证书前,域用户的属性已经设置了电子邮件地址。

12. 在证书路径标签下,可以看到该证书的颁发者是企业根CA。

clip_image041clip_image042

13. 点击“开始”à“程序”à“Windows Mail”。

14. 在出现的您的姓名对话框,输入显示名称“张三”,点击“下一步”。

15. 在Internet电子邮件地址对话框,输入电子邮件地址zhang@ess.com,点击“下一步”。

clip_image043clip_image044

16. 在出现的设置电子邮件服务器对话框,选择“pop3”,在接收邮件服务器输入mailServer.ess.com,待发电子邮件服务器(SMTP)名称mailServer.ess.com,点击“下一步”。

17. 在Internet邮件登录对话框,输入电子邮件用户名zhang@ess.com和密码,点击“下一步”。

clip_image045clip_image046

18. 在出现的祝贺您对话框,点击“完成”。完成用户设置向导。

19. 点击“工具”à“帐户”。

clip_image047clip_image048

20. 在出现的Internet帐户对话框,点中“mailServer.ess.com”点击“属性”。

21. 在出现的MailServer.ess.com属性安全标签下,在签署证书下,点击“选择”。

clip_image049clip_image050

22. 在选择默认帐户数字ID对话框,点中出现的证书,点击“确定”。注意:如果数字证书绑定的电子邮件和 Windows Mail设置的电子邮件地址不同,在这里就不显示数字证书。

23. 在加密首选项下,点击“浏览”,在选择默认帐户数字ID对话框,点中出现的证书,点击“确定”。

clip_image051clip_image052

4.1.5 在DCServer上查看域用户的证书

任务:

ü 查看活动目录中域用户发布的数字证书(公钥部分)

ü 打开证书颁发机构查看颁发的证书

步骤:

1. 以域管理员登录到DCServer。

2. 点击“开始”à“程序”à“管理工具”à“Active Directory用户和计算机”,打开Active Directory用户和计算机管理工具。

3. 点击“常规”à“高级功能”。

4. 右击“张三”帐户,点击“属性”。

clip_image053clip_image054

5. 在出现的张三属性对话框的发布的证书标签下,可以看到张三的数字证书(公钥部分)。

6. 点击“开始”à“程序”à“管理工具”à“Certification Authority”,打开证书颁发机构管理工具,可以看到域用户张三申请的证书已经放到了“颁发的证书”,域用户向企业CA申请证书不需要证书颁发机构的管理员颁发证书,会自动颁发给域用户。

clip_image055clip_image056




本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1131948,如需转载请自行联系原作者

相关文章
|
2月前
|
关系型数据库 MySQL 应用服务中间件
win7系统搭建PHP+Mysql+Apache环境+部署ecshop项目
这篇文章介绍了如何在Windows 7系统上搭建PHP、MySQL和Apache环境,并部署ECShop项目,包括安装配置步骤、解决常见问题以及使用XAMPP集成环境的替代方案。
42 1
win7系统搭建PHP+Mysql+Apache环境+部署ecshop项目
|
安全 Linux Docker
Linux开启Docker远程访问并设置安全访问(证书密钥),附一份小白一键设置脚本哦!(二)
Linux开启Docker远程访问并设置安全访问(证书密钥),附一份小白一键设置脚本哦!(二)
386 0
|
安全 网络协议 Linux
Linux开启Docker远程访问并设置安全访问(证书密钥),附一份小白一键设置脚本哦!(一)
Linux开启Docker远程访问并设置安全访问(证书密钥),附一份小白一键设置脚本哦!(一)
543 0
|
安全 应用服务中间件 Linux
IT基础设施:在CentOS7中为nginx布署免费SSL证书
前言 此前在阿里申请了免费的SSL证书,但每个人只有20个证书的额度,此额度是一次性、永久性的,也就是说,到期的证书也算;由于各种各样的原因,我的测试额度已经满了。
2296 0
|
Web App开发 安全 数据安全/隐私保护