导航

活动目录与CA

Posted on 2016-11-20 14:42  小猫鱼  阅读(91)  评论(0)    收藏  举报

转载与复制_声明:   需要转载和复制的,请通知本人   

 

2016-11-20    15:35:42

声明:只是自己学了学,记录下来。(嗯…这是自己看这本书学学知识,于这本书,侵权应该算不上吧…若真是,请联系下我,谢谢)。这本书可以,顺便推荐一下。

参考书籍:《windows server 2003组网技术与实训》 杨云,平寒,薛立强 主编

 

学习内容:

基础概念

活动目录
    Active Directory又称活动目录,用于存储网络上各种对象的有关信息,并存储在目录服务的数据库中,便于查询和使用。与DNS集成在一起,可基于策略进行管理。
域和域控制器
    :一组计算机集合,是一个网络。这个网络中至少有一台计算机是域控制器计算机。管理员通过修改活动目录的配置来实现对网络的管理和控制。域中的用户必须先加入域并且有管理员为其创建的域用户登陆域才可以访问域的资源。

    域控制器:安装了活动目录的服务器。
    域目录树
      域目录树是一种树形结构,由根域和子域共同构成。当配置一个包含多个域的网络时,就将网络配置成域目录树结构。
      域目录树中只有一个活动目录,即所有与共享一个活动目录。只是每个域只负责存储和本域有关的数据。
信任关系
     信任关系是网络中不同域之间的一种内在联系,只有域之间建立了信任关系,域与域之间才可以互相访问。
组织单元
    组织单元是包含在活动目录中的容器对象。
    组织单元是可以指派组策略设置或委派管理权限的最小作用单位。
    创建组织单元的目的是对活动目录对象进行分类。
  优点
    (1)分类组织对象,是所有对象结构更清晰
    (2)对某些对象配置组策略来进行管理和控制
    (3)委派管理控制权
PKI
    公钥基础机构(PKI)提供的密钥体系来实现数字证书签发、身份认证、数据加密和数字签名等功能。
    身份验证机构的数字签名确保证书信息的真实性、用户公钥信息保证数字信息传输的完整性、用户的数字签名保证数字信息的不可否认性。
  PKI主要目的
      通过自动管理密钥和数字证书为用户建立一个安全的网络运行环境,使用户在各种应用环境下方便使用加密和数字签名技术。
  PKI构成部分
    (1)认证机构(CA)
    (2)数字证书库--存储已颁发的数字证书及公钥,供公众查询
    (3)密钥备份集恢复系统--对用户密钥进行备份,便于恢复
    (4)证书吊销系统
    (5)PKI应用接口系统--便于应用能够安全与PKI交互,确保环境安全
CA
    证书认证中心(CA),作为PKI的核心,为各种认证需求提供数字证书服务。
  CA颁发证书的步骤
    (1)CA收到证书请求信息,包括个人资料和公钥等
    (2)CA核实用户提供的信息
    (3)CA用自己的私钥对证书进行数字签名
    (4)CA将证书发给用户

  CA的层次结构
      Windows server 2003PKI采用分层CA模型一般情况而言,这个体系由互相信任的多重CA构成的。最简单的就只包含一个CA。如下图。

                    

      这种模型中,子CA由父CA进行认证,父CA发布认证证书以确定子CA公用密钥与它的身份和其他策略属性之间的关系。

      根CA:分层体系最高级;

      中间CA:对其他CA进行认证的CA级;

      发布CA:发布最终认证给用户的CA

实践与配置

配置企业CA与证书申请

工作项目

(1)创建活动目录,将CA服务器加入活动目录并升级为于外控制器

(2)安装应用程序服务web组件,并确保添加(ASP)组件[便于用户以web方式申请CA证书]

(3)DNS安装,域名解析

(4)申请和使用证书(方式两种:证书申请向导、web浏览器)

实践过程

1.创建活动目录

我在做这个目录之前,事先已经安装DNS服务器了

 

 

 

2.架设企业根并添加证书服务组件

安装组件—选择CA类型—CA识别信息—证书数据库设置

选择CA 类型。如果要自行选择用来建立CA的公开密钥与私有密钥的CSP与散列算法,则选中复选框。

复选框后内容

 

CA识别信息。在“此CA的公用名称”设置此CAActive Directory内的公用名称

 

证书数据库设置,如果你的服务器同时安装有IIS服务,将会弹出对话框,提示证书服务必须暂时停止internet信息服务。选择YES就好

 

3.申请和使用证书

    域用户向企业根CA申请证书时,企业根CA会向active directory查询其email信箱,并发放电子邮件保护证书。因此,应当预先在active directory中为相关域用户创建一个email信箱。只有域用户才有权利通过“证书申请向导”向企业根CA申请证书,所以先将用户添加为域用户同时创建对应的email信箱。以该用户的身份登陆计算机向CA提交证书申请,CA会根据用户的权限立即授权或拒绝证书的申请。

  3.1  证书安装向导申请证书

    打开MMC控制台(win+R,输入mmc)添加用户账户

  3.2.web浏览器申请证书

        以要申请证书的用户登录,打开web浏览器,输入“http//CAIP地址或计算机名称/certsrv”,通过用户身份验证后显示”microsoft证书服务”页面

 

出现的一些问题以及解决方法:

  问题1:要求“启用脚本”

    选择浏览器的“工具”--internet选项”--“安全”标签--“自定义级别”,启用以下脚本,重回上一个页面进行操作就好。

  问题2:

  解决方法: