WEBFTP服务器群集CA证书配置详解.doc
《WEBFTP服务器群集CA证书配置详解.doc》由会员分享,可在线阅读,更多相关《WEBFTP服务器群集CA证书配置详解.doc(59页珍藏版)》请在咨信网上搜索。
1、Windows网络服务搭建管理之3.WEB/FTP(服务器群集)CA证书配置详解O3 T* t$ ?7 N6 P3 n/ h; s2 P- H4 w4 K$ v3 O! c5 c; l3 K. T实验名称: 2.WEB/FTP(服务器群集/负载平衡)CA证书服务器的搭建和配置7 n0 w, Z& x$ |# H; Q实验任务和目标:总的目标+ D( Y/ d7 w2 v: Rv 在企业网络中实现IP地址的动态分配/ |3 I2 q. ; Q& Z+ s. ov 配置DNS服务器,完成域名解析0 G; h1 c( S2 b+ p# Sv 利用IIS6.0配置企业Web网站3 Q8 _8 J( 4
2、 n8 z- l% ov 配置和管理FTP服务器3 v+ u. W8 Z$ M. mv 实现企业网络的RAS(远程访问服务)9 RY4 S1 B, u; hv 利用证书服务实现安全性8 Y( / Le9 M9 F/ p) Lv 网络负载平衡和服务器群集提高可靠性& i q& Q+ c H4 F+ Q3 BOv 多域间的访问8 ?8 M8 V% ! e( yv 操作主机维护. y4 o. E* c5 n, Av 活动目录数据库维护, Y- c% e- O1 v 监控服务器: y4 g3 b0 E8 L2 t g, o8 d l* x有两个域一个是是公司主域另一个是收购一家公司的域用信任关系使它们
3、互相访问 ; + u5 W; ) j0 , r3 c6 1、DHCP% nw0 M5 l0 R) Z$ Sa.两个作用域+ q o |: G6 K. Jb.按80/20规则建立两台DHCP# p) R: P y0 . a6 y7 nc.授权. ; i: Z0 9 k6 |, l) q$ I2 cd.为DNS,WEB,FTP等站点保留IP地址5 f/ z; R) v! T* Ze.作用域选项( B0 C4 p1 U& X! A& Af.DHCP数据库的备份 E# T! Z& 4 t% h9 S. Z. v7 y! 4 ) f# W: _9 F- J2、DNS) z* j) U& q$ G; y!
4、 C: f! Qa.独立建立两台DNS,作为域的DNS和其它域名解析1 s; x: I J* 2 H9 b.建立辅助DNS服务器( z1 O* O x( N 4 % Jc.在每个DNS上建立转发器,互相转发解析请求( h. M2 G3 m! u6 _0 d! K! d.建立反向区域,为以后增加邮件做准备,并增加MX纪录6 C! U. o+ 3 F B: G Ie.设置区域复制要求,一个域中的DNS记录只能被它的辅助DNS复制6 + a. M! z4 BY& . ?f.假设公司马上要下设两个子公司,域名分别是和, GY) f( F3 B给sjd做子域,给wm做委派: i t5 Y! z6 i7
5、Q. B: Z# z9 k& K( f8 q! C3、web站点/ v+ y, s7 n1 k- wa.做一个外部web站点,域名是6 s: ?7 Q4 w2 F# Wb.做一个内部站点,域名是- D, e9 |. p Y9 c.为sjd域建立一个站点,通过不同的端口访问,可以达到简单的隐蔽作用! r! i/ n; Ro! M4 z6 Q2 Cd.在其它的计算机建立隐含共享,在web中建立虚拟目录,来访问其它计算机上的资源$ _5 X5 k, ?* F1 L( R; t本身站点匿名访问,虚拟目录要输入用户名和密码来进行访问,基本站点都可以访问,虚拟目录; Y4 x. * ( g只能本公司内的员
6、工访问% n3 e9 y9 v+ o: n$ u1 ?9 G- Ze.为虚拟目录加上ca证书,来保证数据传输的安全* B. * d N# Zf.使用负载均衡来保证WEB的安全 ?9 ; - J# C+ z. j- I- G6 b F6 _: c2 X* f1 X6 h4、FTP站点0 g# Y3 |5 T( U+ A2 qa.为sjdwm使用serv-u建立ftp,建立一个总目录,目录下是每部门的目录,对于总目录结构任何人不能( G3 f. * s* N3 进行修改,也不能在总目录下添加或删除东西;每部门员工只能在自己部门下上传东西,部门有一个8 N# G8 O3 # T! e; g0 O该部
7、门的目录管理人员,此人可以整理目录内容;每人使用自己的账号登录FTP服务器,对主管的上传( V y?) ( a* K下载速度限制为40k,普通员工是20k,每个用户只能打开一个FTP连接,空闲5分钟就断开连接# y$ H0 r6 P1 z2 GU: Z1 e3 g8 Jb.为sjd建立普通FTP,使用域来隔离用户- R( & W! A7 F5 ?! P& ac.使用一个服务器来对serv-u进行远程管理$ e0 . z1 B. D V% ! U! d, n- m( W3 t+ w5、DC, A# f% Z0 R7 3 # _4 K, qa.建立域8 n% M( O2 r# V8 |. Vb.为
8、每部门建立OUy! $ l9 x+ i4 H9 1 vc.OU中委派管理权2 m2 e8 G1 N+ 0 v6 m/ |) - B ld.每个部门建立一个全局组,将本部门的员工加入到全局-安全组中& . a) m9 q3 : ?% o9 n1 u1 ve.建立全局的通讯组,将本部门员工加入到全局-通讯组中,为以后的exchange做准备8 J8 G# d8 U 5 h1 N1 f.在中建立一个全局-安全组,名字是sjd,目的是为本公司支持域的人员建立组便于. q8 Y5 Z3 b( C9 w2 5 mt9 X! s! _限制这些人使用域中资源,在域中建立本地域组,把sjd加入到本组,并对某个资
9、料文件夹; V* D; Y4 S5 s8 b( 设置权限& i0 W( J0 I3 B: s9 _; W8 m. & De.建立额外DC,将基础结构主机转移到额外DC上6 J) 8 m# N6 E# S8 E( qg.在DC上使用NTBACKUP建立计划备份任务,周一进行常规,周二到周五进行差异,便于以后进行授权和0 K v. ?9 U |非授权的还原0 E1 7 F l% k; 3 9 Z% F, f* ?域要信任域! 1 y1 v) U0 - + H5 j3 . j* ) C6、建立一台VPN服务器! x3 E1 R P- R5 ja.为企业出差用户访问公司网络提供服务,IP地址由DHCP
10、提供: i3 t/ j5 Z2 b- O Mb.要求外部用户只能在周一到周五的早8点到晚6点之间进行访问,必须属于一个vpn组2 B: A9 t4 y, & Z2 p- l6 7 z4 G4 h$ 9 X$ + V% V7、CA4 j0 U& F% V$ ) y7 W/ ga.建立一个企业CA,为web站点颁发证书3 m% c! $ A# s, d3 2 # b8 A9 % M1 I8、远程管理及性能监测; I5 + F% k, C8 z1 t& $ aa.对所以上述服务器进行pcanywhere的远程管理# j- h: n9 ?3 V9 L9 m) D3 cb.在web上启+用web应答和F
11、TP的性能警报,启用三大硬件的警报;* D+ / U+ Y! _( G! |实验环境描述: $ u9 c7 a & R2台路由,3台交换机,10台服务器,3台PC机# c* T! g5 b( + G实验拓扑及网络规划:总的拓扑图 4 f* v( G6 i- K7 d* X9 y( X, N8 z& , H: w9 p% U0 w: g, N1 D( S5 z k c实验操作过程及配置说明:& o. i: v$ s H9 ! & P1、 PKI系统中的数字证书简称证书) b5 k( A8 V& e- R& A+ S- A它把公钥和拥有对应私钥的主体的标识信息(如名称、电子邮件、身证号等)捆绑在一
12、起,证书的主体可以是用户、计算机、服务等,证书可以用于很多方面,Web 用户身份验证,Web 服务器身份验证,安全电子邮件3 K9 O1 Ay5 K- Internet 协议安全(IPSec) ;数字证书是由权威公正的第三方机构即CA签发的& R) L: P2 n% f. # X( F, u# _证书包含以下信息- 8 y, a6 Z) Y8 b6 i1 Q( X* & G 使用者的公钥值% |- k. a: B. u 使用者标识信息(如名称和电子邮件地址)3 v; o7 o9 |/ y3 x. Z7 b 有效期(证书的有效时间)7 X& Y6 U! q! i! H( w4 J 颁发者标识信息
13、# u G# D+ 2 i+ F$ 5 颁发者的数字签名& A% P* * r; c0 CA的核心功能就是颁发和管理数字证书5 I4 B% Y. 3 R+ T0 X0 v: Z% e具体描述如下, z6 P$ P1 J4 r; f; Iv 处理证书申请8 b* v# . z& Qv 鉴定申请者是否有资格接收证书& & ; G$ 3 W/ I3 A1 u) y$ T& v 证书的发放9 Y1 b$ h. S) G1 M Nuv 证书的更新4 F m# I5 I4 T9 I4 iv 接收最终用户数字证书的查询、撤销& S3 H8 |1 B6 B: eX* w: sv 产生和发布证书吊销列表(CRL
14、)0 d( O1 Y8 u( p. k% E; gv 数字证书的归档) . ; E$ Z8 S O: h3 0 Kv 密钥归档xY5 e5 O8 B1 dv 历史数据归档1 x; F. y& k7 + i证书的发放过程( # m2 u1 Y3 t q: o, 5 r3 Q$ F& G& C- g1)证书申请, 3 N! q) d& l) l0 |- z 用户根据个人信息填好申请证书的信息并提交证书申请信息 J0 F3 N7 C2)RA确认用户( z/ h! w0 A s( O- j 在企业内部网中,一般使用手工验证的方式,这样更能保证用户信息的安全性和真实性6 o5 e2 S1 m3 U C9
15、 J3)证书策略处理/ L) K7 m Z! c1 K) Z 如果验证请求成功,那么,系统指定的策略就被运用到这个请求上,比如名称的约束、密钥长度的约束等+ O) z& x7 s2 N) xo4 E* t4)RA提交用户申请信息到CA; C+ k0 . # K . 3 J7 M RA用自己私钥对用户申请信息签名,保证用户申请信息是RA提交给CA的: M) U, L2 X/ a2 2 + f. J m8 u2 c_# g2.先安装CA证书服务器(这在里要注意,安装CA之前先要装好IIS因为CA要IIS的支持) s5 k3 e& p% ; q6 m; 8 E1.单击控制面板中的“添加或册除程序”,
16、在windows组件向导中勾选“证书服务”复选框,单击“下一步”按钮。. i4 V4 V& / ?5 C0 m; x5 E U2 k2 B/ N9 d8 9 2.选择CA类型为“企业根CA”,选中下面的“用自义设置生成密钥对和CA证书”复选框,单击中“下一步”按钮。) c4 J1 I6 h; B/ s/ A5 O7 J( K5 w: E f3.在出现的“公钥/私钥对”中保持默认值,单击“下一步”按钮 f/ zf4 V5 I) j( C/ U2 3 a) l. B; w& K4.证书服务安装完成( B5 . w6 F: t# S# w7 * $ ?$ V6 s+ W6 f* B, x$ h! I
17、5.生成证书申请在这之前先把WEB服务器的IIS建起来 $ Q0 v! K/ ) _8 在WEB/FTP服务器的IIS里添加证书 . W% p& S8 i0 B1 i/ H! C B8 a) r4 o4 b3 l4 g6 ) a0 J3 w! Q& e( H* U+ k! _# 8 n* b8 x4 k! e l- u$ I, f5 I, F1 M6 E$ _# G* n4 og I- d4 | # : s3 : S5 P8 C ( U; ( q/ $ e X9 , j4 S申请证书,是在WEB/FTP服务器上建好WEB服务后再申请(在域中证书服务器要设置密码)8 N5 s% X& s1 b:
18、 n9 s* C在第一台WEB/FTP服务器上申请证书( 9 8 U1 K/ J6 b, _; ; z6 E. _, O$ J% o! h$ o. AC盘下的certreq.txt文件是申请证书时所填写的个人信息,通过加密后自动存放在c盘在申请证书时要用到! 7 p1 , v qV3 + Z$ E! T, - l; w在域环境中提交申请后CA服务器会自动颁发,所以就可以直接下载证书了6 E% a6 p) f! r! JI2 E6 b, b- P8 A7 Vd( s& ?1 j- N. ) d/ 2、 下载证书后在WEB服务器上安装4 |8 K! |# & F) J4 Y. B. U# L, h
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WEBFTP 服务器 群集 CA 证书 配置 详解
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。