服務(wù)器配置與管理項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理學(xué)習(xí)情境

場(chǎng)景網(wǎng)堅(jiān)公司的總公司與各子公司之間、外出人員與公司各部門(mén)之間經(jīng)常需要通過(guò)互聯(lián)網(wǎng)傳遞各類(lèi)內(nèi)部文件和業(yè)務(wù)數(shù)據(jù)，公司亟需找到一種身份認(rèn)證和數(shù)據(jù)加密的方式，實(shí)現(xiàn)內(nèi)部文件和業(yè)務(wù)數(shù)據(jù)的防竊取和防篡改問(wèn)題。本項(xiàng)目講述的是利用數(shù)字證書(shū)實(shí)現(xiàn)用戶(hù)身份認(rèn)證、數(shù)據(jù)加密等功能，確保用戶(hù)在利用互聯(lián)網(wǎng)進(jìn)行交流中信息和數(shù)據(jù)的完整性和安全性。

平臺(tái)WindowsServer2012服務(wù)器操作系統(tǒng)提供了證書(shū)服務(wù)功能及在不同網(wǎng)絡(luò)環(huán)境下的解決方案。

實(shí)施本項(xiàng)目將基于WindowsServer2012在網(wǎng)堅(jiān)公司企業(yè)內(nèi)部網(wǎng)絡(luò)中部署證書(shū)服務(wù)，為總公司、分公司員工及企業(yè)合作伙伴提供用戶(hù)身份認(rèn)證、數(shù)據(jù)加密等服務(wù)。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理學(xué)習(xí)任務(wù)任務(wù)1了解證書(shū)服務(wù)任務(wù)2安裝與配置證書(shū)服務(wù)任務(wù)3管理與維護(hù)證書(shū)服務(wù)項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理任務(wù)1了解證書(shū)服務(wù)

任務(wù)描述數(shù)字證書(shū)是指證書(shū)頒發(fā)機(jī)構(gòu)（CA）發(fā)行的一種電子文檔，是一串能夠表明網(wǎng)絡(luò)用戶(hù)身份信息的數(shù)字，它通過(guò)對(duì)用戶(hù)的信息和數(shù)據(jù)進(jìn)行加密或解密來(lái)保證信息和數(shù)據(jù)的完整性和安全性。在部署證書(shū)服務(wù)之前，理解PKI和CA的概念，熟悉PKI的組成及CA分類(lèi)等知識(shí)是必要的。

任務(wù)分析WindowsServer2012操作系統(tǒng)中的ActiveDirectory證書(shū)服務(wù)（ADCS）用于創(chuàng)建和管理系統(tǒng)為用戶(hù)頒發(fā)的公鑰證書(shū)，為證書(shū)的分發(fā)和管理提供了安全高效的解決方案。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理相關(guān)知識(shí)與技能1.PKI的基礎(chǔ)知識(shí)2.CA的基礎(chǔ)知識(shí)項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理1.PKI的基礎(chǔ)知識(shí)（1）PKI的概念PKI（PublicKeyInfrastructure）即公開(kāi)密鑰基礎(chǔ)設(shè)施，是以公開(kāi)密鑰技術(shù)為基礎(chǔ)，以數(shù)據(jù)的機(jī)密性、完整性、真實(shí)性和不可抵賴(lài)性為安全目的而構(gòu)建的認(rèn)證、授權(quán)、加密等硬件、軟件的綜合設(shè)施。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理1.PKI的基礎(chǔ)知識(shí)（2）PKI的組成一個(gè)典型有效的PKI系統(tǒng)由PKI應(yīng)用接口PKI策略、證書(shū)管理機(jī)構(gòu)CA、注冊(cè)機(jī)構(gòu)RA、證書(shū)發(fā)布系統(tǒng)、密鑰備份與恢復(fù)系統(tǒng)、證書(shū)作廢系統(tǒng)以及PKI應(yīng)用接口等組成，企業(yè)構(gòu)建PKI也需要圍繞這七大系統(tǒng)來(lái)著手構(gòu)建。證書(shū)管理機(jī)構(gòu)CA注冊(cè)機(jī)構(gòu)RA證書(shū)發(fā)布系統(tǒng)密鑰備份及恢復(fù)系統(tǒng)證書(shū)作廢系統(tǒng)PKI略策軟硬件系統(tǒng)項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理2.CA的基礎(chǔ)知識(shí)（1）CA的概念①數(shù)字證書(shū)。數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)授權(quán)中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息和公開(kāi)密鑰的文件。最簡(jiǎn)單的證書(shū)包含一個(gè)公開(kāi)密鑰、名稱(chēng)以及證書(shū)授權(quán)中心的數(shù)字簽名。一般情況下證書(shū)中還包括密鑰的有效時(shí)間，發(fā)證機(jī)關(guān)（證書(shū)授權(quán)中心）的名稱(chēng)，該證書(shū)的序列號(hào)等信息，證書(shū)的格式遵循ITU-TX.509國(guó)際標(biāo)準(zhǔn)。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理2.CA的基礎(chǔ)知識(shí)（1）CA的概念②證書(shū)管理機(jī)構(gòu)CA。CA（CertificateAuthority）是數(shù)字證書(shū)授權(quán)中心的簡(jiǎn)稱(chēng)，是指發(fā)放、管理、廢除數(shù)字證書(shū)的機(jī)構(gòu)。CA的作用是檢查證書(shū)持有者身份的合法性，并簽發(fā)證書(shū)（在證書(shū)上簽字），以防證書(shū)被偽造或篡改，對(duì)證書(shū)和密鑰進(jìn)行有效管理。CA是PKI的核心組成部分，主要提供對(duì)網(wǎng)上的數(shù)據(jù)信息的發(fā)送方與接收方身份進(jìn)行確認(rèn)，以保證各方信息傳遞的機(jī)密性、完整性、真實(shí)性和不可抵賴(lài)性。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理2.CA的基礎(chǔ)知識(shí)（2）CA的結(jié)構(gòu)及信任關(guān)系①CA框架模型。CA通常為一個(gè)稱(chēng)為安全域（SecurityDomain）的有限群體發(fā)放證書(shū)。一個(gè)典型的CA系統(tǒng)包括安全服務(wù)器、注冊(cè)機(jī)構(gòu)RA、CA服務(wù)器、LDAP目錄服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器等。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理2.CA的基礎(chǔ)知識(shí)（2）CA的結(jié)構(gòu)及信任關(guān)系典型的CA框架模型項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理2.CA的基礎(chǔ)知識(shí)（2）CA的結(jié)構(gòu)及信任關(guān)系②CA的結(jié)構(gòu)。基于WindowsServer2012操作系統(tǒng)的PKI支持結(jié)構(gòu)化的CA，即將CA分為根CA（RootCA）和從屬CA（SubordinateCA）。

根CA。根CA位于系統(tǒng)的最上層，它既可以用來(lái)發(fā)放證書(shū)，也可以用來(lái)頒發(fā)證書(shū)給其他的從屬CA。從屬CA。從屬CA主要用來(lái)發(fā)放證書(shū)；也可以頒發(fā)證書(shū)給其下一層的從屬CA。從屬CA必須先向其父CA（可能是根CA，也可能是從屬CA）取得證書(shū)后，才可以頒發(fā)證書(shū)。

項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理2.CA的基礎(chǔ)知識(shí)（2）CA的結(jié)構(gòu)及信任關(guān)系③CA的信任關(guān)系。在PKI架構(gòu)之下，當(dāng)用戶(hù)利用某CA所發(fā)放的證書(shū)來(lái)發(fā)送一份簽名的電子郵件時(shí)，接收方的計(jì)算機(jī)應(yīng)該信任由此CA所發(fā)放的證書(shū)，否則接收方的計(jì)算機(jī)會(huì)將此電子郵件視為有問(wèn)題的郵件。WindowsServer2012等操作系統(tǒng)默認(rèn)已經(jīng)信任了一些知名CA所發(fā)放的證書(shū)，可以通過(guò)證書(shū)管理器或?yàn)g覽器進(jìn)行查看。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理2.CA的基礎(chǔ)知識(shí)（3）CA的分類(lèi)①企業(yè)CA。企業(yè)CA發(fā)放證書(shū)的對(duì)象是域內(nèi)的所有用戶(hù)和計(jì)算機(jī)，非本域內(nèi)的用戶(hù)或計(jì)算機(jī)是無(wú)法向該企業(yè)CA申請(qǐng)證書(shū)的。企業(yè)CA可以分為企業(yè)根CA（EnterpriseRootCA）和企業(yè)從屬CA（EnterpriseSubordinateCA）兩種類(lèi)型。在大多數(shù)情況下，企業(yè)根CA主要用來(lái)向企業(yè)從屬CA發(fā)放證書(shū)；而企業(yè)從屬CA必須先向企業(yè)根CA取得證書(shū)，然后才可以向其域內(nèi)的用戶(hù)或計(jì)算機(jī)以及其下屬的企業(yè)從屬CA發(fā)放證書(shū)。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理2.CA的基礎(chǔ)知識(shí)（3）CA的分類(lèi)②獨(dú)立CA。獨(dú)立CA不需要ActiveDirectory域，扮演獨(dú)立CA的計(jì)算機(jī)既可以是運(yùn)行WindowsServer2012的獨(dú)立服務(wù)器，也可以是成員服務(wù)器或域控制器。由于用戶(hù)在向獨(dú)立CA申請(qǐng)證書(shū)時(shí)，不像企業(yè)CA首先通過(guò)ActiveDirectory來(lái)驗(yàn)證其身份，所以用戶(hù)需要自行輸入申請(qǐng)者的詳細(xì)信息和所要申請(qǐng)的證書(shū)類(lèi)型。獨(dú)立CA也分為獨(dú)立根CA（Stand-aloneRootCA）和獨(dú)立從屬CA（Stand-aloneSubordinateCA）兩種類(lèi)型。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理課堂練習(xí)1．練習(xí)場(chǎng)景為方便公司員工安全高效地訪(fǎng)問(wèn)企業(yè)信息，網(wǎng)堅(jiān)公司建立了證書(shū)頒發(fā)服務(wù)器及統(tǒng)一身份認(rèn)證、單點(diǎn)登錄服務(wù)器。網(wǎng)堅(jiān)公司合肥分公司新入職的員工小李需要在公司配備的計(jì)算機(jī)中查看已經(jīng)安裝的數(shù)字證書(shū)，以防止證書(shū)過(guò)期，影響訪(fǎng)問(wèn)公司內(nèi)部信息。2．練習(xí)目標(biāo)①理解CA的概念。②熟練掌握查看證書(shū)的方法。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理任務(wù)2安裝與配置證書(shū)服務(wù)

任務(wù)描述Internet網(wǎng)堅(jiān)公司北京總部為了在北京總公司各分公司，企業(yè)合作伙伴、供應(yīng)商與客戶(hù)之間，能夠安全地通過(guò)因特網(wǎng)發(fā)送數(shù)據(jù)，決定在公司網(wǎng)絡(luò)中部署證書(shū)服務(wù)，通過(guò)此CA發(fā)放證書(shū)給員工、客戶(hù)與供應(yīng)商等。部署證書(shū)服務(wù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖9-3所示。角色：防火墻角色：默認(rèn)網(wǎng)關(guān)主機(jī)名：GatewayIP地址：/24角色：CA客戶(hù)端主機(jī)名：CAClientIP地址：3/24操作系統(tǒng)：Windows10角色：域控制器、DNS服務(wù)器、證書(shū)服務(wù)器主機(jī)名：CaServerIP地址：2/24操作系統(tǒng)：WindowsServer2012R2圖9-3部署證書(shū)服務(wù)網(wǎng)絡(luò)拓?fù)鋱D項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理任務(wù)2安裝與配置證書(shū)服務(wù)

任務(wù)分析

ActiveDirectory證書(shū)服務(wù)角色是WindowsServer2012中的一個(gè)組件，默認(rèn)情況下沒(méi)有安裝，需要先進(jìn)行安裝。證書(shū)服務(wù)安裝完成后，通過(guò)“服務(wù)器管理器”查看安裝的證書(shū)服務(wù)，然后在客戶(hù)端以域用戶(hù)身份登錄，并申請(qǐng)企業(yè)CA證書(shū)。在本案例中，選擇IP地址為2子網(wǎng)掩碼為的計(jì)算機(jī)作為證書(shū)服務(wù)器。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理相關(guān)知識(shí)與技能1.安裝“ActiveDirectory證書(shū)服務(wù)”角色2.配置“ActiveDirectory證書(shū)服務(wù)”角色3.驗(yàn)證證書(shū)服務(wù)4.申請(qǐng)企業(yè)CA證書(shū)項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理1.安裝“ActiveDirectory證書(shū)服務(wù)”角色①打開(kāi)服務(wù)器管理器，單擊“添加角色和功能”。②系統(tǒng)彈出“添加角色和功能向?qū)А?，此?duì)話(huà)框?qū)⒁龑?dǎo)用戶(hù)一步步安裝自己所需要的服務(wù)和功能。在默認(rèn)情況下“開(kāi)始之前”對(duì)話(huà)框是不顯示的，用戶(hù)可以點(diǎn)擊向?qū)ё筮叺膶?dǎo)航欄查看提示信息。③單擊“下一步”按鈕進(jìn)入“選擇安裝類(lèi)型”對(duì)話(huà)框，用戶(hù)可以選擇在當(dāng)前正在運(yùn)行的物理計(jì)算機(jī)上安裝角色和功能，也可以選擇在遠(yuǎn)程虛擬機(jī)或脫機(jī)虛擬硬盤(pán)上安裝。在列表框中選擇“基于角色或基于功能的安裝”選項(xiàng)。④單擊“下一步”按鈕，系統(tǒng)彈出“選擇目標(biāo)服務(wù)器”對(duì)話(huà)框，在選擇要安裝角色和功能的服務(wù)器和虛擬磁盤(pán)列表中，選擇“從服務(wù)器池中選擇服務(wù)器”選項(xiàng)，系統(tǒng)會(huì)自動(dòng)列出當(dāng)前服務(wù)器的名稱(chēng)、IP地址和操作系統(tǒng)。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理1.安裝“ActiveDirectory證書(shū)服務(wù)”角色⑤單擊“下一步”按鈕，系統(tǒng)彈出“選擇服務(wù)器角色”對(duì)話(huà)框，在角色列表中，選擇“ActiveDirectory證書(shū)服務(wù)”選項(xiàng)。當(dāng)選中選項(xiàng)時(shí)，系統(tǒng)自動(dòng)彈出“添加ActiveDirectory證書(shū)服務(wù)所需的功能？”提示對(duì)話(huà)框，提醒用戶(hù)必須要安裝列表中的工具才能管理ActiveDirectory證書(shū)服務(wù)功能。單擊“添加功能”按鈕，返回到“選擇服務(wù)器角色”對(duì)話(huà)框，此時(shí)“ActiveDirectory證書(shū)服務(wù)”選項(xiàng)已被選中。⑥單擊“下一步”按鈕，系統(tǒng)彈出“選擇功能”對(duì)話(huà)框，在“功能”列表框中，用戶(hù)可以選擇除了ActiveDirectory證書(shū)服務(wù)角色之外，還想要服務(wù)器對(duì)網(wǎng)絡(luò)中的客戶(hù)端提供的其他功能，這里按照默認(rèn)選項(xiàng)即可。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理1.安裝“ActiveDirectory證書(shū)服務(wù)”角色⑦單擊“下一步”按鈕，系統(tǒng)彈出“ActiveDirectory證書(shū)服務(wù)”對(duì)話(huà)框，系統(tǒng)列出了使用ActiveDirectory證書(shū)服務(wù)（ADCS）的注意事項(xiàng)。在安裝CA后，將無(wú)法更改當(dāng)前計(jì)算機(jī)的名稱(chēng)和域設(shè)置，如果用戶(hù)需要修改這些參數(shù)，可以單擊“取消”按鈕，取消ActiveDirectory證書(shū)服務(wù)的安裝，配置好相應(yīng)參數(shù)后再進(jìn)行安裝。⑧在“選擇角色服務(wù)”對(duì)話(huà)框的“角色服務(wù)”列表中，選擇“證書(shū)頒發(fā)機(jī)構(gòu)”、“證書(shū)頒發(fā)機(jī)構(gòu)WEB注冊(cè)”、“證書(shū)注冊(cè)WEB服務(wù)”和“證書(shū)注冊(cè)策略WEB服務(wù)”四個(gè)選項(xiàng)。其中“證書(shū)注冊(cè)WEB服務(wù)”和“證書(shū)注冊(cè)策略WEB服務(wù)”同時(shí)運(yùn)行可以為域成員以外的用戶(hù)提供自動(dòng)證書(shū)注冊(cè)和續(xù)訂服務(wù)，如果企業(yè)不允許其他人員注冊(cè)證書(shū)，則可以不選擇此兩項(xiàng)。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理1.安裝“ActiveDirectory證書(shū)服務(wù)”角色當(dāng)選擇“證書(shū)注冊(cè)WEB服務(wù)”和“證書(shū)注冊(cè)策略WEB服務(wù)”選項(xiàng)的時(shí)候，系統(tǒng)會(huì)自動(dòng)彈出安裝這兩項(xiàng)服務(wù)所必須添加的功能如圖9-13和圖9-14所示，在彈出的對(duì)話(huà)框中分別單擊“添加功能”即可。圖9-13添加證書(shū)注冊(cè)web服務(wù)功能圖9-14添加證書(shū)頒發(fā)機(jī)構(gòu)Web注冊(cè)功能項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理1.安裝“ActiveDirectory證書(shū)服務(wù)”角色?在“確認(rèn)安裝所選內(nèi)容”對(duì)話(huà)框中，系統(tǒng)列出了本次添加角色和功能向?qū)е杏脩?hù)所做出的所有選項(xiàng)，確認(rèn)無(wú)誤后單擊“安裝”按鈕。?系統(tǒng)將ActiveDirectory證書(shū)服務(wù)角色安裝到服務(wù)器中，安裝結(jié)束后單擊“關(guān)閉”按鈕即可完成證書(shū)服務(wù)的安裝。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理2.配置“ActiveDirectory證書(shū)服務(wù)”角色①打開(kāi)“服務(wù)器管理器”，在服務(wù)器管理器上有一個(gè)黃色的嘆號(hào)標(biāo)志，單擊該標(biāo)志系統(tǒng)會(huì)彈出提醒對(duì)話(huà)框，提醒用戶(hù)需要配置目標(biāo)服務(wù)器上的ActiveDirectory證書(shū)服務(wù)。單擊對(duì)話(huà)框中的“配置目標(biāo)服務(wù)器上的ActiveDirectory證書(shū)服務(wù)”超鏈接，打開(kāi)ADCS（ActiveDirectory證書(shū)服務(wù)）配置向?qū)?。②在ACCS配置向?qū)У摹皯{據(jù)”對(duì)話(huà)框中選擇配置證書(shū)服務(wù)的賬號(hào)。由于本次安裝的時(shí)企業(yè)CA，必須指定ActiveDirectory域下的企業(yè)管理員組賬號(hào)作為管理賬號(hào)，如果安裝的是獨(dú)立CA，只需要設(shè)置管理員組的賬號(hào)即可。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理2.配置“ActiveDirectory證書(shū)服務(wù)”角色③單擊“下一步”按鈕，系統(tǒng)彈出“角色服務(wù)”對(duì)話(huà)框，在“選擇要配置的角色服務(wù)”復(fù)選框中，依次選中“證書(shū)頒發(fā)機(jī)構(gòu)”、“證書(shū)頒發(fā)機(jī)構(gòu)Web注冊(cè)”、“證書(shū)注冊(cè)策略Web服務(wù)”三個(gè)選項(xiàng)。④單擊“下一步”按鈕，系統(tǒng)彈出“設(shè)置類(lèi)型”對(duì)話(huà)框，在“指定CA設(shè)置類(lèi)型”列表中選擇“企業(yè)CA”選項(xiàng)。⑤單擊“下一步”按鈕，在“CA類(lèi)型”對(duì)話(huà)框中配置“指定CA類(lèi)型”選項(xiàng)。如果當(dāng)前服務(wù)器時(shí)企業(yè)域中的根CA服務(wù)器，選擇“根CA”選項(xiàng)；如果企業(yè)域中已經(jīng)包含了根CA，當(dāng)前服務(wù)器只是作為根CA的從屬CA，則選擇“從屬CA”選項(xiàng)。這里選擇“根CA”選項(xiàng)。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理2.配置“ActiveDirectory證書(shū)服務(wù)”角色⑥單擊“下一步”按鈕，系統(tǒng)彈出“私鑰”對(duì)話(huà)框，在“指定私鑰類(lèi)型”列表中選擇“創(chuàng)建新的私鑰”選項(xiàng)。如果已經(jīng)有企業(yè)私鑰，可以將企業(yè)私鑰復(fù)制到當(dāng)前服務(wù)器中，然后選擇“使用現(xiàn)有私鑰”選項(xiàng)，在“選擇此計(jì)算機(jī)上的現(xiàn)有私鑰”中選擇企業(yè)私鑰。⑦在“CA的加密”對(duì)話(huà)框中“指定加密選項(xiàng)”的選項(xiàng)中，用戶(hù)可以設(shè)置合適的加密程序，系統(tǒng)默認(rèn)采用“RSA#MicrosoftSoftwareKeyStorageProvider”程序提供加密服務(wù)，這種加密程序有四種密鑰長(zhǎng)度和七種加密算法可供選擇。如果不符合企業(yè)實(shí)際需求，也可以在“選擇加密提供程序”下拉列表中選擇其他加密程序，本次配置采用默認(rèn)加密選項(xiàng)。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理2.配置“ActiveDirectory證書(shū)服務(wù)”角色⑧單擊“下一步”按鈕，系統(tǒng)彈出“CA名稱(chēng)”對(duì)話(huà)框，在“指定CA名稱(chēng)”選項(xiàng)中，系統(tǒng)自動(dòng)根據(jù)AD域設(shè)置生成了CA公用名稱(chēng)、名稱(chēng)后綴，也可以根據(jù)需要對(duì)其進(jìn)行修改。⑨單擊“下一步”按鈕，系統(tǒng)彈出“有效期”對(duì)話(huà)框，在“指定有效期”選項(xiàng)中設(shè)置當(dāng)前CA生成的證書(shū)的有效期，證書(shū)默認(rèn)有效期為5年。⑩單擊“下一步”按鈕，系統(tǒng)彈出“CA數(shù)據(jù)庫(kù)”對(duì)話(huà)框，在“指定數(shù)據(jù)庫(kù)位置”選項(xiàng)中，輸入證書(shū)數(shù)據(jù)庫(kù)位置和證書(shū)數(shù)據(jù)庫(kù)日志位置。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理2.配置“ActiveDirectory證書(shū)服務(wù)”角色?單擊“下一步”按鈕，系統(tǒng)彈出“CEP的身份驗(yàn)證類(lèi)型”對(duì)話(huà)框，在“選擇身份驗(yàn)證類(lèi)型”選項(xiàng)列表中，選擇“Windows集成身份驗(yàn)證”選項(xiàng)。如果企業(yè)內(nèi)部配置了第三方認(rèn)證服務(wù)器，并且與域控制器完成了對(duì)接，可以根據(jù)實(shí)際情況選擇“客戶(hù)端證書(shū)身份驗(yàn)證”或“用戶(hù)名和密碼”選項(xiàng)。?單擊“下一步”按鈕，系統(tǒng)彈出“服務(wù)器證書(shū)”對(duì)話(huà)框，在“指定服務(wù)器身份驗(yàn)證證書(shū)”選項(xiàng)列表中，選擇“選擇證書(shū)并稍后為SSL分配”選項(xiàng)。證書(shū)的頒發(fā)是由CA來(lái)完成的，在初次配置企業(yè)根CA時(shí)，并沒(méi)有現(xiàn)有證書(shū)，所以無(wú)法選擇“為SSL加密選擇現(xiàn)有證書(shū)”選項(xiàng)。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理2.配置“ActiveDirectory證書(shū)服務(wù)”角色?單擊“下一步”按鈕，系統(tǒng)彈出“確認(rèn)”對(duì)話(huà)框，在當(dāng)前對(duì)話(huà)框中，系統(tǒng)自動(dòng)列出用戶(hù)對(duì)ActiveDirectory證書(shū)服務(wù)所做的所有配置，用戶(hù)確認(rèn)無(wú)誤后，單擊“配置”按鈕。系統(tǒng)自動(dòng)完成所有配置，最后配置顯示結(jié)果，單擊“關(guān)閉”按鈕即可完成證書(shū)服務(wù)配置。在完成ActiveDirectory證書(shū)服務(wù)配置后，系統(tǒng)自動(dòng)彈出提示窗口，詢(xún)問(wèn)是否配置其他角色服務(wù)，單擊“是”按鈕，系統(tǒng)再次彈出“ADCS配置”向?qū)?，用?hù)可以參考前面的設(shè)置完成“證書(shū)注冊(cè)Web服務(wù)”的配置。由于已經(jīng)完成了ActiveDirectory證書(shū)服務(wù)配置，在配置證書(shū)注冊(cè)Web服務(wù)的“指定服務(wù)器身份驗(yàn)證證書(shū)”時(shí)，系統(tǒng)會(huì)自動(dòng)列出為SSL加密選擇現(xiàn)有證書(shū)的證書(shū)列表，選中列表中的證書(shū)后即可完成后續(xù)證書(shū)注冊(cè)Web服務(wù)的配置。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理3．驗(yàn)證證書(shū)服務(wù)①打開(kāi)“服務(wù)器管理器”窗口，單擊“ADCS”導(dǎo)航按鈕，在服務(wù)器列表中，選擇服務(wù)器名稱(chēng)為“CA-SERVER”的服務(wù)器，右鍵單擊該服務(wù)器，在彈出的快捷命令列表中單擊“證書(shū)頒發(fā)機(jī)構(gòu)”選項(xiàng)。②系統(tǒng)自動(dòng)彈出“certsrv-[證書(shū)頒發(fā)機(jī)構(gòu)（CA-SERVER.WJNET.COM）]”管理控制臺(tái)，控制臺(tái)中名為“wjnet-CA-SERVER-CA”服務(wù)器就是剛剛安裝配置完成的證書(shū)頒發(fā)機(jī)構(gòu)服務(wù)器。單擊“wjnet-CA-SERVER-CA”證書(shū)服務(wù)器，可以看到“吊銷(xiāo)的證書(shū)”、“頒發(fā)的證書(shū)”、“掛起的申請(qǐng)”、“失敗的申請(qǐng)”和“證書(shū)模板”五個(gè)文件夾。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理3．驗(yàn)證證書(shū)服務(wù)當(dāng)域內(nèi)用戶(hù)向企業(yè)根CA申請(qǐng)證書(shū)時(shí)，企業(yè)根CA會(huì)通過(guò)ActiveDirectory來(lái)獲取用戶(hù)的信息，并自動(dòng)核準(zhǔn)、發(fā)放用戶(hù)所要求的證書(shū)，所有頒發(fā)過(guò)的證書(shū)都可以通過(guò)“頒發(fā)的證書(shū)”文件夾查看和管理。企業(yè)根CA根據(jù)“證書(shū)模板”文件夾中的模板發(fā)放證書(shū)，除了模板中列出的證書(shū)外，通過(guò)對(duì)證書(shū)模板的管理，可以添加或創(chuàng)建企業(yè)需要的證書(shū)模板。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理4．申請(qǐng)企業(yè)CA證書(shū)在訪(fǎng)問(wèn)CA服務(wù)器的申請(qǐng)證書(shū)頁(yè)面前，首先打開(kāi)瀏覽器的“工具”→“Internet選項(xiàng)”→“安全”選項(xiàng)卡中的“Internet”→“自定義級(jí)別”將所有的ActiveX控件執(zhí)行腳本都設(shè)置為啟用，確認(rèn)客戶(hù)端瀏覽器的能夠運(yùn)行ActiveX控件，否則將無(wú)法申請(qǐng)用戶(hù)證書(shū)。（1）申請(qǐng)并安裝用戶(hù)證書(shū)①打開(kāi)瀏覽器，在地址欄中輸入證書(shū)服務(wù)器的地址，2/certsrv，彈出登錄對(duì)話(huà)框，輸入具有登錄證書(shū)服務(wù)器權(quán)限的用戶(hù)名和密碼，域用戶(hù)可以直接輸入域賬號(hào)和密碼。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理4．申請(qǐng)企業(yè)CA證書(shū)（1）申請(qǐng)并安裝用戶(hù)證書(shū)②單擊“確定”按鈕，瀏覽器跳轉(zhuǎn)到如圖9-36所示的“MicrosoftActiveDirectory證書(shū)服務(wù)”窗口。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理4．申請(qǐng)企業(yè)CA證書(shū)（1）申請(qǐng)并安裝用戶(hù)證書(shū)③在“歡迎使用”窗口中單擊“申請(qǐng)證書(shū)”鏈接，瀏覽器跳轉(zhuǎn)到“申請(qǐng)一個(gè)證書(shū)”窗口。④單擊“用戶(hù)證書(shū)”鏈接，跳轉(zhuǎn)到“用戶(hù)證書(shū)-識(shí)別信息”窗口，用戶(hù)可以單擊“更多選項(xiàng)”鏈接，選擇不同的加密程序和證書(shū)申請(qǐng)格式。此時(shí)如果瀏覽器提示需要配置和使用HTTPS認(rèn)證，說(shuō)明CA服務(wù)器開(kāi)啟了SSL安全協(xié)議，用戶(hù)是需要在瀏覽器中輸入CA服務(wù)器的HTTPS地址，如“2/certsrv”，重新登錄，申請(qǐng)證書(shū)即可。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理4．申請(qǐng)企業(yè)CA證書(shū)（1）申請(qǐng)并安裝用戶(hù)證書(shū)⑤單擊“提交”按鈕，瀏覽器彈出“web訪(fǎng)問(wèn)確認(rèn)”警示框，提醒操作人員此網(wǎng)站正代表向用戶(hù)執(zhí)行證書(shū)操作。確認(rèn)證書(shū)服務(wù)器地址無(wú)誤后，單擊“是”按鈕，向證書(shū)服務(wù)器申請(qǐng)證書(shū)。證書(shū)服務(wù)器收到用戶(hù)的申請(qǐng)，驗(yàn)證用戶(hù)身份后自動(dòng)頒發(fā)證書(shū)。⑥CA服務(wù)器完成自動(dòng)頒發(fā)證書(shū)后，瀏覽器跳轉(zhuǎn)到“證書(shū)已頒發(fā)”窗口，單擊“安裝此證書(shū)”鏈接完成證書(shū)的申請(qǐng)及安裝。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理4．申請(qǐng)企業(yè)CA證書(shū)（2）下載并安裝根證書(shū)CA服務(wù)器配置完成后，域用戶(hù)在客戶(hù)端可以通過(guò)上述的操作申請(qǐng)并安裝用戶(hù)證書(shū)，但當(dāng)前情況下用戶(hù)下載的證書(shū)還不是可信證書(shū)。要信任CA簽名的服務(wù)器證書(shū)，必須安裝證書(shū)頒發(fā)機(jī)構(gòu)證書(shū)，即CA根證書(shū)，具體操作過(guò)程如下。①打開(kāi)瀏覽器，在地址欄中輸入證書(shū)服務(wù)器的地址2/certsrv，登錄到“MicrosoftActiveDirectory證書(shū)服務(wù)”窗口。②在“選擇一個(gè)任務(wù)”列表中單擊“下載CA證書(shū)、證書(shū)鏈或CRL”鏈接，瀏覽器跳轉(zhuǎn)到“下載CA證書(shū)、證書(shū)鏈或CRL”窗口。在當(dāng)前窗口下，用戶(hù)可以直接安裝證書(shū)，也可以下載根證書(shū)保存到計(jì)算機(jī)中。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理4．申請(qǐng)企業(yè)CA證書(shū)（2）下載并安裝根證書(shū)③單擊“下載CA證書(shū)、證書(shū)鏈或CRL”鏈接，彈出“要打開(kāi)或保存來(lái)自2的certnew.cer嗎？”系統(tǒng)提示框，提示用戶(hù)將證書(shū)保存到計(jì)算機(jī)。單擊保存按鈕，將證書(shū)文件保存到計(jì)算機(jī)中。④證書(shū)保存完成后，雙擊打開(kāi)證書(shū)文件，系統(tǒng)彈出“打開(kāi)文件-安全警告”警示框，提醒用戶(hù)是否要打開(kāi)證書(shū)文件。單擊“打開(kāi)”按鈕，彈出“證書(shū)導(dǎo)入向?qū)А睂?duì)話(huà)框。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理4．申請(qǐng)企業(yè)CA證書(shū)（2）下載并安裝根證書(shū)⑤單擊“下一步”按鈕，系統(tǒng)彈出“證書(shū)存儲(chǔ)”對(duì)話(huà)框，設(shè)置保存證書(shū)的系統(tǒng)區(qū)域。Windows系統(tǒng)可以根據(jù)證書(shū)類(lèi)型自動(dòng)選擇證書(shū)存儲(chǔ)區(qū)，用戶(hù)也可以手動(dòng)為證書(shū)指定一個(gè)位置。由于本次下載的是根證書(shū)，選中“將所有證書(shū)放入下列存儲(chǔ)區(qū)”選項(xiàng)，單擊“瀏覽”按鈕。在彈出的“選擇證書(shū)存儲(chǔ)”對(duì)話(huà)框中，選中列表中“受信任的根證書(shū)頒發(fā)機(jī)構(gòu)”選項(xiàng)，單擊“確定”按鈕。⑥單擊“下一步”按鈕，系統(tǒng)彈出“正在完成證書(shū)導(dǎo)入向?qū)А睂?duì)話(huà)框，對(duì)話(huà)框中列出了用戶(hù)準(zhǔn)備安裝的證書(shū)存放位置、內(nèi)容和文件名等信息，單擊“完成”按鈕，顯示“導(dǎo)入成功”提示框，根證書(shū)就安裝完成了。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理4．申請(qǐng)企業(yè)CA證書(shū)（3）查看證書(shū)①打開(kāi)IE瀏覽器，選擇“工具”菜單下的“Internet選項(xiàng)”命令，在彈出的“Internet選項(xiàng)”對(duì)話(huà)框中單擊“內(nèi)容”標(biāo)簽頁(yè)下的“證書(shū)”按鈕。②在“證書(shū)”對(duì)話(huà)框中單擊“受信任的根證書(shū)頒發(fā)機(jī)構(gòu)”標(biāo)簽頁(yè)，可以查看到本次配置的CA證書(shū)服務(wù)器“wjnet-CA-SERVER-CA”頒發(fā)的根證書(shū)，在“個(gè)人”標(biāo)簽頁(yè)中可以查看到證書(shū)服務(wù)器頒發(fā)給CAtest用戶(hù)的用戶(hù)證書(shū)。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理課堂練習(xí)1．練習(xí)場(chǎng)景為了確保數(shù)據(jù)傳輸過(guò)程的安全，網(wǎng)堅(jiān)公司擬對(duì)公司內(nèi)部網(wǎng)站配置SSL協(xié)議，公司已經(jīng)架設(shè)了企業(yè)根CA服務(wù)器，服務(wù)器IP地址為2。你作為公司的網(wǎng)絡(luò)管理員，請(qǐng)為公司內(nèi)部網(wǎng)站服務(wù)器申請(qǐng)數(shù)字證書(shū)，進(jìn)行安全設(shè)置，并通過(guò)客戶(hù)端訪(fǎng)問(wèn)啟用了SSL協(xié)議的網(wǎng)站。2．練習(xí)目標(biāo)

掌握申請(qǐng)Web服務(wù)器證書(shū)的方法。

掌握搭建安全網(wǎng)站的方法。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理任務(wù)3管理與維護(hù)證書(shū)服務(wù)

任務(wù)描述

網(wǎng)堅(jiān)公司總部與各分公司之間由于業(yè)務(wù)關(guān)系調(diào)整，人員也隨之發(fā)生了變動(dòng)，為了防止因人事變動(dòng)、用戶(hù)操作不當(dāng)或證書(shū)服務(wù)器意外等原因，導(dǎo)致證書(shū)丟失、損壞或過(guò)期等，管理員需要定期對(duì)證書(shū)進(jìn)行管理與維護(hù)，確保證書(shū)安全有效。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理任務(wù)3管理與維護(hù)證書(shū)服務(wù)

任務(wù)分析

為了確保證書(shū)服務(wù)的穩(wěn)定運(yùn)行，用戶(hù)安全有效的使用證書(shū)訪(fǎng)問(wèn)公司內(nèi)部管理系統(tǒng)，管理員和用戶(hù)都需要定期備份證書(shū)，以便在證書(shū)丟失或損壞時(shí)能夠及時(shí)還原，而不必再重新申請(qǐng)。

當(dāng)員工離開(kāi)公司或調(diào)到其他部門(mén)時(shí)，該員工原來(lái)申請(qǐng)的證書(shū)將不再使用，此時(shí)網(wǎng)絡(luò)管理員應(yīng)及時(shí)吊銷(xiāo)其證書(shū)。同時(shí)，數(shù)字證書(shū)具有一定的有效期，超過(guò)證書(shū)有效期后，證書(shū)將不能再使用。因此，為了保證數(shù)字證書(shū)再過(guò)了有效期后還能夠繼續(xù)使用，應(yīng)及時(shí)更新或續(xù)訂證書(shū)。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理1．啟動(dòng)與停止證書(shū)服務(wù)①打開(kāi)“服務(wù)器管理器”窗口，單擊“ADCS”導(dǎo)航按鈕，在服務(wù)器列表中，選擇服務(wù)器名稱(chēng)為“CA-SERVER”的服務(wù)器，右鍵單擊該服務(wù)器，在彈出的快捷命令列表中單擊“證書(shū)頒發(fā)機(jī)構(gòu)”選項(xiàng)。②系統(tǒng)自動(dòng)彈出“certsrv-[證書(shū)頒發(fā)機(jī)構(gòu)（CA-SERVER.WJNET.COM）]”管理控制臺(tái)，控制臺(tái)中名為“wjnet-CA-SERVER-CA”服務(wù)器就是證書(shū)頒發(fā)服務(wù)器，右擊該服務(wù)器，在彈出的快捷命令菜單中選擇“所有任務(wù)”→“停止服務(wù)”命令，即可停止證書(shū)服務(wù)。③如果要啟動(dòng)證書(shū)服務(wù)，右鍵單擊證書(shū)頒發(fā)服務(wù)器，在彈出的快捷命令菜單中選擇“所有任務(wù)”→“啟動(dòng)服務(wù)”命令，即可啟動(dòng)證書(shū)服務(wù)。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理1．啟動(dòng)與停止證書(shū)服務(wù)④點(diǎn)開(kāi)證書(shū)服務(wù)器的下來(lái)列表，可以看到“吊銷(xiāo)的證書(shū)”、“頒發(fā)的證書(shū)”、“掛起的申請(qǐng)”、“失敗的申請(qǐng)”和“證書(shū)模板”五個(gè)文件夾，其中“吊銷(xiāo)的證書(shū)”文件夾中存放被吊銷(xiāo)的所有證書(shū)列表；“頒發(fā)的證書(shū)”文件夾中存放審核通過(guò)并已經(jīng)頒發(fā)的證書(shū)列表；“掛起的申請(qǐng)”文件夾中保存著用戶(hù)已經(jīng)提交申請(qǐng)，需要人工進(jìn)行審核的申請(qǐng)列表；“失敗的申請(qǐng)”文件夾中存放因各種原因未能申請(qǐng)成功的證書(shū)申請(qǐng)列表；“證書(shū)模板”文件夾中存放證書(shū)服務(wù)器中已經(jīng)啟用的證書(shū)模板，通過(guò)右擊證書(shū)模板文件夾，在彈出的快捷命令菜單中選擇“新建”→“要頒發(fā)的證書(shū)模板”命令，選擇需要啟用的證書(shū)模板。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理2．備份與還原證書(shū)（1）備份證書(shū)①打開(kāi)“服務(wù)器管理器”窗口，單擊“ADCS”導(dǎo)航按鈕，在服務(wù)器列表中，選擇服務(wù)器名稱(chēng)為“CA-SERVER”的服務(wù)器，右鍵單擊該服務(wù)器，在彈出的快捷命令列表中單擊“證書(shū)頒發(fā)機(jī)構(gòu)”選項(xiàng)。②系統(tǒng)自動(dòng)彈出“certsrv-[證書(shū)頒發(fā)機(jī)構(gòu)（CA-SERVER.WJNET.COM）]”管理控制臺(tái)，右擊控制臺(tái)中名為“wjnet-CA-SERVER-CA”服務(wù)器，在彈出的快捷命令菜單中選擇“所有任務(wù)”→“備份CA”命令，彈出“證書(shū)頒發(fā)機(jī)構(gòu)備份向?qū)А薄ｍ?xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理2．備份與還原證書(shū)（1）備份證書(shū)③單擊“下一步”按鈕，在“要備份的項(xiàng)目”對(duì)話(huà)框中選中“私鑰和CA證書(shū)”和“證書(shū)數(shù)據(jù)庫(kù)和證書(shū)數(shù)據(jù)庫(kù)日志”復(fù)選框，在“備份到這個(gè)位置”文本框中輸入備份目標(biāo)文件夾。④單擊“下一步”按鈕，系統(tǒng)彈出“選擇密碼”對(duì)話(huà)框，輸入后期訪(fǎng)問(wèn)私鑰和CA證書(shū)文件所需要的密碼。⑤單擊“下一步”按鈕，系統(tǒng)彈出“完成證書(shū)頒發(fā)機(jī)構(gòu)備份向?qū)А睂?duì)話(huà)框，單擊“完成”按鈕，系統(tǒng)自動(dòng)執(zhí)行證書(shū)備份。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理2．備份與還原證書(shū)（2）還原證書(shū)①打開(kāi)“服務(wù)器管理器”窗口，單擊“ADCS”導(dǎo)航按鈕，在服務(wù)器列表中，選擇服務(wù)器名稱(chēng)為“CA-SERVER”的服務(wù)器，右鍵單擊該服務(wù)器，在彈出的快捷命令列表中單擊“證書(shū)頒發(fā)機(jī)構(gòu)”選項(xiàng)。②系統(tǒng)自動(dòng)彈出“certsrv-[證書(shū)頒發(fā)機(jī)構(gòu)（CA-SERVER.WJNET.COM）]”管理控制臺(tái)，右擊控制臺(tái)中名為“wjnet-CA-SERVER-CA”服務(wù)器，在彈出的快捷命令菜單中選擇“所有任務(wù)”→“還原CA”命令。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理2．備份與還原證書(shū)（2）還原證書(shū)③系統(tǒng)彈出“證書(shū)頒發(fā)機(jī)構(gòu)還原向?qū)А保€原向?qū)紫忍嵝延脩?hù)證書(shū)還原過(guò)程中不能運(yùn)行證書(shū)服務(wù)，需要立即停止證書(shū)服務(wù)，單擊“確定”按鈕。證書(shū)服務(wù)停止后，系統(tǒng)彈出“歡迎使用證書(shū)頒發(fā)機(jī)構(gòu)還原向?qū)А睂?duì)話(huà)框。④單擊“下一步”按鈕，系統(tǒng)彈出“要還原的項(xiàng)目”對(duì)話(huà)框，選中“私鑰和CA證書(shū)”和“證書(shū)數(shù)據(jù)庫(kù)和證書(shū)數(shù)據(jù)庫(kù)日志”復(fù)選框，在“從這個(gè)位置還原”文本框中輸入證書(shū)文件和數(shù)據(jù)庫(kù)所在的文件夾。⑤單擊“下一步”按鈕，在“提供密碼”對(duì)話(huà)框中輸入備份證書(shū)文件和數(shù)據(jù)庫(kù)時(shí)輸入的密碼。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理2．備份與還原證書(shū)（2）還原證書(shū)⑥單擊“下一步”按鈕，系統(tǒng)彈出“完成證書(shū)頒發(fā)機(jī)構(gòu)還原向?qū)А睂?duì)話(huà)框，單擊“完成”按鈕，如圖9-57所示，系統(tǒng)自動(dòng)執(zhí)行證書(shū)文件和數(shù)據(jù)庫(kù)的還原工作。還原結(jié)束后，系統(tǒng)提示是否啟動(dòng)ActiveDirectory證書(shū)服務(wù)，單擊“是”按鈕，啟動(dòng)證書(shū)服務(wù)，完成證書(shū)和數(shù)據(jù)庫(kù)的還原。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理3．吊銷(xiāo)與解除吊銷(xiāo)證書(shū)（1）吊銷(xiāo)證書(shū)①打開(kāi)“服務(wù)器管理器”窗口，單擊“ADCS”導(dǎo)航按鈕，在服務(wù)器列表中，選擇服務(wù)器名稱(chēng)為“CA-SERVER”的服務(wù)器，右鍵單擊該服務(wù)器，在彈出的快捷命令列表中單擊“證書(shū)頒發(fā)機(jī)構(gòu)”選項(xiàng)。②系統(tǒng)自動(dòng)彈出“certsrv-[證書(shū)頒發(fā)機(jī)構(gòu)（CA-SERVER.WJNET.COM）]”管理控制臺(tái)，選擇控制臺(tái)中“wjnet-CA-SERVER-CA”→“頒發(fā)的證書(shū)”選項(xiàng)，顯示所有已頒發(fā)的證書(shū)列表。項(xiàng)目9使用證書(shū)服務(wù)保護(hù)網(wǎng)絡(luò)通信服務(wù)器配置與管理3．吊銷(xiāo)與解除吊銷(xiāo)證書(shū)（1）吊銷(xiāo)證