windows 证书服务器搭建及证书模版增加到5年

技术背景运行证书服务的服务器能够作为两种类型认证中心之一：Enterprise（企业级的）和Stand-alone（独立的）。

企业级的CA是Active Directory（活动目录）的一部分，能够使用模板和智能卡，能够在活动目录中发行数字证书。

独立的CA不需要活动目录，也没有办法使用模板，所有的证书都标记为挂起状态，直到管理员签发为止。

由独立CA建立的证书不公布，而且必须由手工分发。

实验目的安装Windows2000 的Certificate Services（证书服务）配置独立的根CA实验平台客户端：Windows2000/XP/2003服务端：Windows 2000 Server（确保管理员账户登陆）实验工具Windows 远程桌面客户端工具mstsc.exe一台安装Windows 2000 Server 的计算机实验要点实验中，将安装Certificate Services（证书服务），并建立一个不是Windows 2000域中成员的独立的根CA实验步骤指导实验准备实验概要：●获取Windows 远程桌面客户端工具mstsc压缩包，并解压。

●获取服务器Windows操作系统Administrator管理员口令。

●获取服务器IP地址。

安装证书服务器实验概要：通过Windows的添加/删除程序，安装Windows 2000 Server的Certificate Services（证书服务）。

1.运行远程桌面客户端程序mstsc.exe，输入服务器端IP地址，点击Connect连接，如图1：（图1）2.以Administrator（管理员）身份登陆服务器桌面。

【注释】※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※服务器Administrator用户的登陆密码为123456※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※3.在远程桌面中，单击开始->设置->控制面板。

2020年全国职业院校技能大赛改革试点赛网络系统管理赛项（样题2）模块B：Windows环境全国职业院校技能大赛执委会.技术专家组2020年09月目录一、赛题说明 (2)（一）竞赛介绍 ....................................................................... 错误!未定义书签。

（二）密码 ............................................................................... 错误!未定义书签。

（三）竞赛时间 ....................................................................... 错误!未定义书签。

（四）竞赛注意事项 ............................................................... 错误!未定义书签。

（五）竞赛结果文件的提交.................................................... 错误!未定义书签。

二、项目任务描述 (4)（一）基本配置 (4)（二）拓扑图 (5)三、项目任务清单 (5)（一）DCserver配置任务 (5)（二）SDCserver配置任务 (7)（三）Server01配置任务 (9)（四）Server02配置任务 (10)（五）Server03配置任务 (10)（六）GWserver配置任务 (11)（七）Client配置任务 (12)一、赛题说明（一）竞赛介绍请详细阅读网络拓扑图，为所有计算机修改默认防火墙以便允许ICMP和相应的流量，不允许直接关闭主机的防火墙。

除了CD-ROM/HDD驱动器，请不要修改虚拟机本身的硬件设置。

（二）密码如果没有详细说明，请使用“Chinaskills20”作为默认密码。

关于域控制器和证书服务器分离的部署策略配置过程如下：一．域控制器的配置1．安装DNS服务器。

首先，在服务器上安装WIN 2003 企业版（如果不是企业版，则V2模板有些不能使用）。

安装好WIN 2003系统以后，点击“配置你的服务器向导”，选择“自定义配置”，点中“DNS服务器”，安装DNS服务器，根据提示可以很容易的自行安装。

在此不再赘述。

2．配置AD。

安装好DNS后，再点击“配置你的服务器向导”，选择“自定义配置“，点中“域控制器”，点击“下一步“，等一下，会出现如下界面：选择“新域的域控制器“，点击”下一步”，出现如下界面：选择“在新林中的域”，点击“下一步”，出现如下界面输入新域的域名（例如“”，特别提示，一定要有后缀”.com”且不能和计算机重名）。

然后点击“下一步”，其他页面选择默认或自行更改，出现输入还原密码页面，如下：输入还原模式密码，。

点击“下一步”，剩下的就是等win 自动安装完成就可以了。

然后安装KEY的CSP程序小结：域控制服务器的配制顺序：先安装DNS，然后配置AD。

二．证书服务器的配制1．把另外一台服务器安装WIN2003 企业版，然后加入到按上述方法配制成的域中，即中。

2．安装IIS。

点击“配置你的服务器向导”，安装IIS 服务器。

以上两步皆为常规配制，在此不再赘述。

3．安装域控制器，点击“配置你的服务器向导”，点中“域控制服务器”，当出现下图时，选择“现有域的额外域控制器“，点击”下一步“，出现如下界面：输入用户名（例如，administrator，该用户必须是Domain admins组的成员），密码，域名，点击“下一步“，出现下图：输入还原模式密码，点击“下一步“，对配置文档的存放位置，可以是默认位置，或自行更改位置。

然后一路默认设置，就可以了，WIN 会自动安装完成域控制器4．添加证书服务。

点击“控制面板”－》“添加/删除程序”－》“添加/删除windows 组件”，点中“证书服务”，使其前面的方框中被打上勾，会出现如下一个对话框：选择“是”，点击“下一步”，出现如下：选择“企业根CA”，点击“下一步”，如下图：输入ca的公用名称，和有效年限，点击“下一步“。

WindowsCA_证书服务器配置Windows CA证书服务器配置指南一、引言Windows CA（Certificate Authority）是一种权威的证书颁发机构，负责为组织内部或互联网上的计算机、用户或设备颁发数字证书。

数字证书是一种用于验证实体身份的电子文档，可用于确保通信的安全性和完整性。

本文将详细介绍Windows CA证书服务器的配置方法，帮助您完成证书颁发的整个流程。

二、配置步骤1、安装证书服务在Windows服务器上安装证书服务，可以打开“服务器管理器”，然后从“角色”页面选择“添加角色”。

在“角色”对话框中，选择“证书”，然后按照向导完成安装。

2、创建根CA在安装完证书服务后，需要创建一个根CA。

在“服务器管理器”中，打开“证书”并选择“根CA”。

在“根CA”对话框中，输入CA的名称和其他相关信息，然后按照向导完成创建。

3、配置颁发机构策略在创建完根CA后，需要配置颁发机构策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“策略”选项卡，然后根据需要进行配置。

例如，可以设置证书的有效期、设置证书的主题和其他相关信息等。

4、配置申请策略在配置完颁发机构策略后，需要配置申请策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请”选项卡，然后根据需要进行配置。

例如，可以设置申请者的身份验证方法和证书模板等。

5、接受申请当有用户或设备需要申请数字证书时，需要在证书服务器上接受申请。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请队列”选项卡，然后双击需要处理的申请。

在“处理申请”对话框中，选择处理方式（例如自动批准或手动批准），然后按照向导完成处理。

6、颁发证书在处理完申请后，需要颁发数字证书。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“已颁发的证书”选项卡，然后双击需要颁发的证书。

2020年全国职业院校技能大赛改革试点赛网络系统管理赛项（样题3）模块B：Windows环境全国职业院校技能大赛执委会.技术专家组2020年09月目录一、赛题说明 .............................................................................. 错误!未定义书签。

（一）竞赛介绍 ....................................................................... 错误!未定义书签。

（二）密码 ............................................................................... 错误!未定义书签。

（三）竞赛时间 ....................................................................... 错误!未定义书签。

（四）竞赛注意事项 ............................................................... 错误!未定义书签。

（五）竞赛结果文件的提交.................................................... 错误!未定义书签。

二、项目任务描述 (3)（一）基本配置 (4)（二）拓扑图 (5)三、项目任务清单 (5)（一）DCserver配置任务 (5)（二）SDCserver配置任务 (8)（三）Server01配置任务 (9)（四）Server02配置任务 (10)（五）Server03配置任务 (11)（六）GWserver配置任务 (12)（七）Client配置任务 (13)一、赛题说明（一）竞赛介绍请详细阅读网络拓扑图，为所有计算机修改默认防火墙以便允许ICMP和相应的流量，不允许直接关闭主机的防火墙。

Win2003证书服务配置/客户端(服务端)证书申请/IIS站点SSL设置转载自“菩提树下的杨过”一．CA证书服务器安装1．安装证书服务之前要先安装IIS服务并且保证“WEB服务扩展”中的“Active Server Pages”为允许状态2．在“控制面板”中运行“添加或删除程序”，切换到“添加/删除Windows组件”页3．在“Windows组件向导”对话框中，选中“证书服务”选项，接下来选择CA类型，这里选择“独立根CA”4．然后为该CA服务器起个名字(本例中的名字为CntvsServer)，设置证书的有效期限，建议使用默认值“5年”即可，最后指定证书数据库和证书数据库日志的位置后，就完成了证书服务的安装。

5.安装完成后，系统会自动在IIS的默认站点，建几个虚拟目录CertSrc,CertControl,CertEnroll二．客户端证书申请1. 运行Internet Explorer浏览器，在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”。

证书申请页面，输入相应的申请信息，然后点击［申请一个证书］。

接下来选择"Web浏览器证书"填写相关信息2. 系统将处理您提交的申请，此过程可能要等待10秒钟左右。

建议最好记下申请ID（本例为4）三。

客户端证书的颁发打开“管理工具”选择“证书颁发机构”，打开"挂起的申请",右击-->"颁发"四。

客户端证书的下载及安装1.运行Internet Explorer浏览器，在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”,选择“查看挂起的证书申请状态”2.找到自己申请的证书3.安装证书安装完成后，可到IE里查看刚刚安装好的证书五.服务器证书的申请1.以IIS的默认站为例，先右击站点，打开网站属性-->目录安全性-->服务器证书2.按IIS证书向导一步步提交服务器证书申请六。

2020年全国职业院校技能大赛改革试点赛网络系统管理赛项（样题2）模块B：Windows环境全国职业院校技能大赛执委会.技术专家组2020年09月目录一、赛题说明 (2)（一）竞赛介绍 ....................................................................... 错误!未定义书签。

（二）密码 ............................................................................... 错误!未定义书签。

（三）竞赛时间 ....................................................................... 错误!未定义书签。

（四）竞赛注意事项 ............................................................... 错误!未定义书签。

（五）竞赛结果文件的提交.................................................... 错误!未定义书签。

二、项目任务描述 (4)（一）基本配置 (4)（二）拓扑图 (5)三、项目任务清单 (5)（一）DCserver配置任务 (5)（二）SDCserver配置任务 (7)（三）Server01配置任务 (9)（四）Server02配置任务 (10)（五）Server03配置任务 (10)（六）GWserver配置任务 (11)（七）Client配置任务 (12)一、赛题说明（一）竞赛介绍请详细阅读网络拓扑图，为所有计算机修改默认防火墙以便允许ICMP和相应的流量，不允许直接关闭主机的防火墙。

除了CD-ROM/HDD驱动器，请不要修改虚拟机本身的硬件设置。

（二）密码如果没有详细说明，请使用“Chinaskills20”作为默认密码。

网络课程设计报告--Windows证书服务的安装与应用计算机网络课程设计Windows证书服务的安装与应用成域控制器请在PC机上安装虚拟机软件VMware7.1汉化版。

然后启动VMware Workstation，开设三台虚拟机，一台装Windows2008标准版(或2003版)并安装成域控制器(域名)，一台装Windows2008(或2003)并加入域，再一台装Windows XP(或vista)，其中Windows XP先不加入域，三台的IP都设置在192.168.1.X这同一网段内。

同时将实体机也配置成能与这三台虚拟机通信。

安装成域控制器DC(Win2k3-AD-Server)域名为故意修改配置密码：lxd安装Web服务器IIS：新建网站：其他电脑访问web（还没有做那个dns解析，先用ip地址访问）域名服务器DNS另外一台Win2k3加入该域用户名和密码都是我系统登入时的密码能够访问到Win2k3-AD-Server的Web服务器的主页()安装证书服务在已安装域控制器的机子上安装证书服务。

选择建立企业CA服务，注意不要选“证书颁发机构Web服务”。

完成后分别在另两台虚拟机上申请与安装证书：(在安装CA服务和安装证书前做好快照)安装证书（1）CA（主机A）安装证书服务主机A依次选择“开始”|“设置”| “控制面板”|“添加或删除程序”|“添加/删除Windows 组件”，选中组件中的“证书服务”，此时出现“Microsoft证书服务”提示信息，单击“是”，然后单击“下一步”。

在接下来的安装过程中依次要确定如下信息：CA类型（选择独立根CA）CA的公用名称证书数据库设置（默认）在确定上述信息后，系统会提示要暂停Internet信息服务，单击“是”，系统开始进行组件安装。

安装过程中，在弹出的“所需文件”对话框中指定“文件复制来源”为C:\ExpNIS\Encrypt-Lab\Tools\WindowsCA\i38 6即可（若安装过程中出现提示信息，请忽略该提示继续安装）。

实验六：PKI (证书服务)实验实验目的：1）安装CA服务；2）使用WEB方式申请证书和安装证书；3）证书查看及吊销；实验拓扑图：证书服务器IP：192.168.10.166交换机客户机IP：192.168.10.23任务一：安装CA服务器1.为CA服务器配置静态IP地址如:192.168.10.116 掩码255.255.255.02.打开[windows组件向导].在组件下，找到并单击[应用程序服务器].单击[详细信息].在[应用程序服务器的子组件]中,单击[Internet信息服务（IIS）],然后点“确定”.最后通过下一步,下一步“完成”即可.(如图)（支持web注册请先安装IIS服务,然后再装证书服务！）3. 打开[windows 组件向导].在组件下，找到并单击[证书服务].点下一步选“独立根CA ”如果您的计算机是域环境的成员服务器或域控制器就可以安装“企业根CA ”和“企业从属CA ”（在域中的成员可以通过MMC 和WEB 方式申请证书）12453输入一个公用名称.最后“下一步”完成即可！打开mmc控制台添加“证书服务”如图CA服务成功启用.任务二：客户机用web方式申请证书和安装证书.1.在客户机上打开IE浏览器,并在地址栏“http://192.168.10.166/certsrv”选“下载证书,证书链或CRL”,再选安装CA证书安装CA证书链后,客户机上的登陆用户就会信任CA服务器（证书服务器）.2．向CA服务器申请web浏览器证书，先回证书服务首页，如图选“申请一个证书”选“Web浏览器证书”添写自己个人信息！然后提交如图3.用证书服务器给用户颁发证书,我们回到证书服务器上,在挂起的申请上颁发证书.4.给客户机上的用户安装颁发的web服务器证书.我们在回到客户机上打开IE在地址栏输入“http://192.168.10.166/certsrv”选“查看挂起的证书申请的状态”选“Web浏览器证书”接着点安装证书.信任你安装的证书清点（Y）如上图说明您的证书以安装成功！任务三：证书查看及吊销1．在客户机上打开mmc 控制台添加“证书-当前用户”在个人证书可以看到安装的web浏览器证书.2.查看“受信任的根证书颁发机构”下的证书如图3．在根CA服务器上打开“mmc”控制台右击“颁发的证书”吊销如图附加实验一：SSL 网站的连接实验目的：1. 建立ssl 网站2. 客户机用户配置3. 客户机对ssl 网站的访问实验拓扑图:任务一:建立ssl 网站1. 我们打开上述已经建立好的网站“sina 的网站”右键点击web 服务选 属性,点击目录安全性选项卡,如图证书服务器IP:192.168.10.224web 服务器IP:192.168.10.100 DNS 服务器IP:192.168.10.100客户机IP:192.168.10.23 DNS:192.168.10.1002.在目录安全性选项卡的安全通信处,点击“服务器证书”下一步，下一步选“新建证书”下一步下一步,输入单位名称和部门名称下一步,输入国家（地区）,省份下一步,在此注意一定要记住文件名的路径,等下申请证书时,需要该文件的内容.最后完成即可！3.再点击安全通信处的编辑,选上安全通道和要求客户端证书,确定即可.4.打开IE浏览器在地址栏中输入“http://192.168.10.224/certsrv/”,点击“申请一个证书”4.我们选择“高级证书申请”,接着选“使用base64 编码的CMC 或PKCS #10 文件提交一个证书申请，或使用base64 编码的PKCS #7 文件续订证书申请。