4.1 实战:在域环境安装和配置企业CA
本节目标:
ü 安装企业CA
ü 为域中的计算机安装pop3和SMTP服务
ü 在域中创建用户zhang 电子邮箱地址为zhang@ess.com
ü 在域中创建用户wang电子邮箱地址为wang@ess.com
ü 掌握批量设置域用户电子邮件地址
ü 掌握域用户申请证书的方法
实验环境:
ü DCServer 安装了Windows Server 2008企业版,是ess.com域的域控制器,同时也是DNS服务器和企业证书颁发机构。
ü MialServer安装Windows Server 2003企业版,安装pop3服务和SMTP服务。
ü ZhangPC安装了Vista的企业版,是ess.com域的成员计算机。
ü WangPC安装了Vista的企业版,是ess.com域的成员计算机。
4.1.1 在DCServer上安装企业根CA
任务:
ü 在域控制器上安装企业CA
步骤:
1. 在域控制器DCServer上,打开服务器管理工具,点击“添加角色”。
2. 在出现的开始之前对话框,点击“下一步”。
3. 在选择服务器角色对话框,选中“Active Directory证书服务”,点击“下一步”。
4. 在出现的Active Directory证书服务简介对话框,点击“下一步”。
5. 在出现的选择角色服务对话框,选中“证书颁发机构”,选中“证书颁发机构Web注册”,在出现的对话框,点击“添加必须的角色服务”。
6. 选中“联机响应程序”,点击“下一步”。
7. 在出现的指定安装类型对话框,选择“企业”,点击“下一步”。
8. 在指定CA类型对话框,选择“根”,点击“下一步”。
9. 在设置私钥对话框,选择“新建私钥”,点击“下一步”。
10. 在为CA配置加密对话框,保持默认设置,点击“下一步”。
11. 在配置CA名称对话框,输入CA的公用名称,点击“下一步”。
12. 在设置有效期对话框,保持默认5年,点击“下一步”。
13. 在配置数据库路径对话框,点击“下一步”。
14. 在Web服务器(IIS)对话框,点击“下一步”。
15. 在选择角色服务对话框,保持默认选项,点击“下一步”。
16. 在确认安装选择对话框,点击“下一步”。
17. 在安装结果对话框,点击“关闭”。完成企业证书服务的安装。
4.1.2 在DCServer创建两个域用户并设置邮箱地址
任务:
ü 在活动目录中创建两个域用户
ü 批量设置电子邮箱地址
步骤:
1. 在DCServer上,以管理员登录。
2. 点击“开始”à“运行”,输入dsa.msc,打开活动目录管理工具。
3. 右击“研发部”组织单元,点击“新建”à“用户”。
4. 在出现新建对象-用户对话框,输入姓名和登录名,点击“下一步”。
5. 在出现的新建对象-用户对话框,输入密码,取消“用户下次登录时更改密码”选项,点击“下一步”。
6. 在出现的新建对象-用户对话框,点击“完成”。
7. 依照上面步骤,创建“王五”用户,选中张三和王五两个用户,点击“属性”。
8. 在出现的多个项目属性对话框的常规标签下,选中“电子邮件输入%username%@ess.com,点击“确定,注意%username%是参数,会自动的使用用户名替代。
9. 右击“王五”帐户,点击“属性”,在王五属性对话框的常规标签下可以看到电子邮件地址已经变成了wang@ess.com。
4.1.3 在MailServer上配置创建域和邮箱
任务:
ü 将计算机加入域后安装pop3服务和SMTP服务
ü 配置pop3服务创建域和邮箱
步骤:
1. 以域管理身份登录到MailServer。
2. 点击“开始”à“程序”à“管理工具”à“pop3服务”,打开pop3服务管理工具。
3. 点击“新域”,在出现的添加域对话框,输入域名ess.com,点击“确定”。
4. 点中ess.com域,点击“添加邮箱”,在出现的添加邮箱对话,在邮箱名输入wang,如果选择“为此邮箱创建关联的用户”,输入密码,点击“确定”。提示用户已经存在。点击“确定”。说明在这里创建的用户是域中的用户。
5. 去掉“为此邮箱创建相关联的用户”选择,点击“确定”。
6. 以同样的方法zhang邮箱。
4.1.4 域用户zhang在zhangPC上申请用户证书
任务:
ü 确认域用户自动信任企业根证书颁发机构
ü 掌握域用户申请向企业CA申请证书的步骤
ü 示例:域用户zhang在zhangPC上申请用户证书并配置Windows Mail使用证书
步骤:
1. 在zhangPC上,以域用户zhang登录到zhangPC。
2. 点击“开始”à“运行”,输入“MMC”,点击“确定”。打开微软管理控制台。
3. 点击“文件”à“添加/删除管理单元”。
4. 在出现的添加/删除管理单元对话框,点中“证书”,点击“添加”,点击“确定”。
5. 点击“受信任的根证书颁发机构”下的“证书”,可以看到企业根CA的正书已经自动的添加到受信任的证书颁发机构中了。
6. 右击“个人”,点击“所有任务”à“申请新证书”。
7. 在出现的在开始之前对话框,点击“下一步”。
8. 在出现的申请证书对话框,选中“用户”,点击“详细信息”,可以看到“用户”证书的可以用来“加密文件系统”、“安全电子邮件”和“客户端身份验证”,点击“注册”。
9. 在出现的证书安装结果对话框,显示成功,点击“完成”。
10. 点击“个人”à“证书”,可以看到张三申请的证书。双击该证书。
11. 在出现的证书对话框的详细信息标签下,点击“使用者”,可以看到该数字证书绑定的电子邮件zhang@ess.com。这要求用户在申请证书前,域用户的属性已经设置了电子邮件地址。
12. 在证书路径标签下,可以看到该证书的颁发者是企业根CA。
13. 点击“开始”à“程序”à“Windows Mail”。
14. 在出现的您的姓名对话框,输入显示名称“张三”,点击“下一步”。
15. 在Internet电子邮件地址对话框,输入电子邮件地址zhang@ess.com,点击“下一步”。
16. 在出现的设置电子邮件服务器对话框,选择“pop3”,在接收邮件服务器输入mailServer.ess.com,待发电子邮件服务器(SMTP)名称mailServer.ess.com,点击“下一步”。
17. 在Internet邮件登录对话框,输入电子邮件用户名zhang@ess.com和密码,点击“下一步”。
18. 在出现的祝贺您对话框,点击“完成”。完成用户设置向导。
19. 点击“工具”à“帐户”。
20. 在出现的Internet帐户对话框,点中“mailServer.ess.com”点击“属性”。
21. 在出现的MailServer.ess.com属性安全标签下,在签署证书下,点击“选择”。
22. 在选择默认帐户数字ID对话框,点中出现的证书,点击“确定”。注意:如果数字证书绑定的电子邮件和 Windows Mail设置的电子邮件地址不同,在这里就不显示数字证书。
23. 在加密首选项下,点击“浏览”,在选择默认帐户数字ID对话框,点中出现的证书,点击“确定”。
4.1.5 在DCServer上查看域用户的证书
任务:
ü 查看活动目录中域用户发布的数字证书(公钥部分)
ü 打开证书颁发机构查看颁发的证书
步骤:
1. 以域管理员登录到DCServer。
2. 点击“开始”à“程序”à“管理工具”à“Active Directory用户和计算机”,打开Active Directory用户和计算机管理工具。
3. 点击“常规”à“高级功能”。
4. 右击“张三”帐户,点击“属性”。
5. 在出现的张三属性对话框的发布的证书标签下,可以看到张三的数字证书(公钥部分)。
6. 点击“开始”à“程序”à“管理工具”à“Certification Authority”,打开证书颁发机构管理工具,可以看到域用户张三申请的证书已经放到了“颁发的证书”,域用户向企业CA申请证书不需要证书颁发机构的管理员颁发证书,会自动颁发给域用户。
本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1131948,如需转载请自行联系原作者