共有4个练习:
练习1:配置证书模板
练习2:配置自动注册
练习3:管理证书 Revocation
练习4:配置Key Recovery
==========
练习1:
任务1:复制、安装和手动注册一个证书
1. 转到HQDC1.contoso.com服务器,添加AD CS角色。
2. 指定安装类型选择“企业”,指定CA类型选择“根CA”,设置私钥选择“新建私钥”,配置CA名称时指定此CA的公用名称为“ContosoCA”。
3. 打开“管理工具”中的“证书颁发机构”。
4. 在“新模板的属性”对话窗口,修改模板的显示名称、使用者名称、安全等属性。
任务2:配置模板
1. 新建一个“要颁发的证书模板”。
2. 在“启用证书模板”对话窗口,选择在上一任务新建的“Local User”。
任务3:验证证书已更新
1. 打开管理控制台,然后“添加/删除管理单元”。
2. 申请一个新证书。
3. 验证新证书已经更新。如果没有显示出来,请刷新。
任务4:创建、复制、替代证书模板
1. “管理”证书模板。“复制”证书模板。
2. 修改以下属性。
任务5:发布证书模板
1. 颁发
2. 查看
==========
练习2:配置自动注册
任务1:配置为自动注册
1. 打开管理控制台,“添加/删除管理单元”,添加“证书模板”。
2. 确认“在Active Directory中发布证书”。
任务2:配置域的组策略
1. 打开“组策略管理”,编辑默认的组策略。依次展开“用户配置”、“策略”、“Windows设置”、“安全设置”、“公钥策略”。
2. 编辑“证书服务客户端 - 自动注册”。
3. 编辑“证书服务客户端 - 证书注册策略”。
任务3:验证自动注册功能
1. 打开管理控制台,检查证书模板。
=========
练习3:管理证书的吊销
任务1:检查默认的CDP和CRL周期
1. 编辑“吊销的证书”的属性。
任务2:添加角色服务
1. 打开“服务器管理器”。添加角色服务。
任务3:配置AIA
1. 编辑属性
任务4:发布OCSP响应签名模板
1. “管理”证书模板。
2. 发布证书模板。
任务5:配置联机响应
1. 打开“管理工具”中的“联机响应程序管理”。添加吊销配置。
任务6:吊销一个证书
1. 查看颁发的证书。前面的练习已经为Contoso\Administrator申请了一个证书,证书模板为“Contoso Smart Card User”。
2. 吊销这个证书。
3. 查看吊销的证书。
任务7:发布CRL
任务8:确认CRL已经下载
==========
练习4:配置密钥恢复
任务1:删除“CA证书管理程序批准”
1. 打开“证书颁发机构”管理控制台。
2. 检查安全选项卡。确认只有“Domain Admis”和“Enterprise Admis”组才有权限“注册”。
任务2:颁发证书模板
任务3:申请新证书。
任务4:配置存档密钥
任务5:配置私钥存档
任务6:将用户添加到Server Operators组
任务7:验证
1. 以Contoso\ZhangS帐户登录到HQDC2.contoso.com服务器。
2. 打开管理控制台。申请新证书。
3. 检查证书已经显示在列表中。
4. 查看证书的详细信息。并且记下序列号,例如:61 4c 0c 21 00 00 00 00 00 0b 。
5. 在HQDC2服务器上注销,然后以Contoso\Administrator帐户登入。
6. 在命令提示符下面运行以下命令:
C:\Users\administrator.CONTOSO>certutil -getkey "61 4c 0c 21 00 00 00 00 00 0b"
outputblob
正在查询 HQDC1.contoso.com\ContosoCA.....................
正在查询 HQDC2.contoso.com\contoso-HQDC2-CA.....................
"HQDC1.contoso.com\ContosoCA"
序列号: 614c0c2100000000000b
使用者: [email protected], CN=张三, OU=Employees, OU=User Accounts, DC=contoso, DC=com
UPN:[email protected]
NotBefore: 2013/5/25 12:51
NotAfter: 2014/5/25 12:51
模板: ArchiveUser, Archive User
版本: 3
证书哈希(sha1): f0 e0 30 ad 12 a8 46 30 d4 c9 d3 96 f1 ec b2 c6 ed 11 d3 b7
收件人信息[0]:
CMSG_KEY_TRANS_RECIPIENT(1)
CERT_ID_ISSUER_SERIAL_NUMBER(1)
序列号: 6134bd75000000000008
颁发者: CN=ContosoCA, DC=contoso, DC=com
使用者: CN=Administrator, CN=Users, DC=contoso, DC=com
CertUtil: -GetKey 命令成功完成。
C:\Users\administrator.CONTOSO>
7. 在上一步骤中,将产生一个约6KB的名为“outputblob”的文件。将输出文件转换为 .pfx,用户在需要恢复密钥时可以导入这个文件。运行以下命令:
C:\Users\administrator.CONTOSO>Certutil -recoverkey outputblob zhangs.pfx
计算的哈希: 1b be cb 8c be ad a6 c6 6d 5a 74 06 bb 98 0e ec d7 6e e3 b9
用户证书:
序列号: 614c0c2100000000000b
颁发者: CN=ContosoCA, DC=contoso, DC=com
使用者: [email protected], CN=张三, OU=Employees, OU=User Accounts, DC=co
ntoso, DC=com
。。。。