6426C Lab3 部署证书和管理注册

共有4个练习:

练习1:配置证书模板

练习2:配置自动注册

练习3:管理证书 Revocation

练习4:配置Key Recovery

==========

 

练习1:

任务1:复制、安装和手动注册一个证书

1. 转到HQDC1.contoso.com服务器,添加AD CS角色。

 

2. 指定安装类型选择“企业”,指定CA类型选择“根CA”,设置私钥选择“新建私钥”,配置CA名称时指定此CA的公用名称为“ContosoCA”。

3. 打开“管理工具”中的“证书颁发机构”。 

 

4. 在“新模板的属性”对话窗口,修改模板的显示名称、使用者名称、安全等属性。

 

任务2:配置模板

1. 新建一个“要颁发的证书模板”。

2. 在“启用证书模板”对话窗口,选择在上一任务新建的“Local User”。

 

任务3:验证证书已更新

1. 打开管理控制台,然后“添加/删除管理单元”。

 

2. 申请一个新证书。

 

3. 验证新证书已经更新。如果没有显示出来,请刷新。

 

 

任务4:创建、复制、替代证书模板

1. “管理”证书模板。“复制”证书模板。

 

2. 修改以下属性。

 

任务5:发布证书模板

1. 颁发

 

2. 查看

 

 

==========

练习2:配置自动注册

任务1:配置为自动注册

1. 打开管理控制台,“添加/删除管理单元”,添加“证书模板”。

 

2. 确认“在Active Directory中发布证书”。

 

任务2:配置域的组策略

1. 打开“组策略管理”,编辑默认的组策略。依次展开“用户配置”、“策略”、“Windows设置”、“安全设置”、“公钥策略”。

2. 编辑“证书服务客户端 - 自动注册”。

 

3. 编辑“证书服务客户端 - 证书注册策略”。

 

任务3:验证自动注册功能

1. 打开管理控制台,检查证书模板。

 

=========

练习3:管理证书的吊销

任务1:检查默认的CDP和CRL周期

1. 编辑“吊销的证书”的属性。

 

任务2:添加角色服务

1. 打开“服务器管理器”。添加角色服务。

 

任务3:配置AIA

1. 编辑属性

 

任务4:发布OCSP响应签名模板

1. “管理”证书模板。

 

2. 发布证书模板。

 

任务5:配置联机响应

1. 打开“管理工具”中的“联机响应程序管理”。添加吊销配置。

 

任务6:吊销一个证书

1.  查看颁发的证书。前面的练习已经为Contoso\Administrator申请了一个证书,证书模板为“Contoso Smart Card User”。

 

2. 吊销这个证书。

 

3. 查看吊销的证书。

 

 

任务7:发布CRL

 

 

任务8:确认CRL已经下载

 

==========

练习4:配置密钥恢复

任务1:删除“CA证书管理程序批准”

1. 打开“证书颁发机构”管理控制台。

 

2. 检查安全选项卡。确认只有“Domain Admis”和“Enterprise Admis”组才有权限“注册”。

 

任务2:颁发证书模板

 

任务3:申请新证书。

 

任务4:配置存档密钥

 

任务5:配置私钥存档

 

任务6:将用户添加到Server Operators组

 

任务7:验证

1. 以Contoso\ZhangS帐户登录到HQDC2.contoso.com服务器。

2. 打开管理控制台。申请新证书。

 

3. 检查证书已经显示在列表中。

 

4. 查看证书的详细信息。并且记下序列号,例如:61 4c 0c 21 00 00 00 00 00 0b 。

 

5. 在HQDC2服务器上注销,然后以Contoso\Administrator帐户登入。

6. 在命令提示符下面运行以下命令:

C:\Users\administrator.CONTOSO>certutil -getkey "61 4c 0c 21 00 00 00 00 00 0b"
outputblob

正在查询 HQDC1.contoso.com\ContosoCA.....................
正在查询 HQDC2.contoso.com\contoso-HQDC2-CA.....................

"HQDC1.contoso.com\ContosoCA"
  序列号: 614c0c2100000000000b
  使用者: [email protected], CN=张三, OU=Employees, OU=User Accounts, DC=contoso, DC=com
  UPN:[email protected]
   NotBefore: 2013/5/25 12:51
   NotAfter: 2014/5/25 12:51
  模板: ArchiveUser, Archive User
  版本: 3
  证书哈希(sha1): f0 e0 30 ad 12 a8 46 30 d4 c9 d3 96 f1 ec b2 c6 ed 11 d3 b7


收件人信息[0]:
CMSG_KEY_TRANS_RECIPIENT(1)
CERT_ID_ISSUER_SERIAL_NUMBER(1)
    序列号: 6134bd75000000000008
    颁发者: CN=ContosoCA, DC=contoso, DC=com
    使用者: CN=Administrator, CN=Users, DC=contoso, DC=com
CertUtil: -GetKey 命令成功完成。

C:\Users\administrator.CONTOSO>

 

7. 在上一步骤中,将产生一个约6KB的名为“outputblob”的文件。将输出文件转换为 .pfx,用户在需要恢复密钥时可以导入这个文件。运行以下命令:

C:\Users\administrator.CONTOSO>Certutil -recoverkey outputblob zhangs.pfx

计算的哈希: 1b be cb 8c be ad a6 c6 6d 5a 74 06 bb 98 0e ec d7 6e e3 b9

用户证书:
    序列号: 614c0c2100000000000b
    颁发者: CN=ContosoCA, DC=contoso, DC=com
    使用者: 
[email protected], CN=张三, OU=Employees, OU=User Accounts, DC=co
ntoso, DC=com
。。。。

 

 

你可能感兴趣的:(ad,cs)