资源简介

(共35张PPT)
项目八 配置HTTPS服务器及其故障转移群集
Windows Server 2012 R2 企业级服务器搭建
01 项目描述
随着计算机网络技术的不断发展，在很多情况下都需要综合使用多种网络服务来实现一个完整的应用。以一个 Web 应用为例：前端需要专业人员进行站点内容设计，发布 Web 站点需要 IIS 等服务器端作为支撑平台，访问安全 Web 站点需要使用 HTTPS 等安全技术，提高网站数据的可靠性需要使用存储技术，存储本身也需要一定的备份技术，随着业务的增加需要使用群集技术。提高用户使用的安全性、可靠性、便捷性，是互联网发展的推动力。
本项目将以一个网络应用为例，介绍多种技术的综合应用。本项目的步骤为配置 iSCSI 存储、配置 iSCSI 的 MPIO（MultiPath I/O，多路径输入/输出）、配置 HTTP 服务器、配置证书服务器实现 HTTPS、配置 HTTPS 故障转移群集。
Windows Server 2012 R2 企业级服务器搭建
1. 了解 iSCSI 存储的作用和特点。
2. 理解虚拟磁盘、发起程序、目标和门户的概念。
3. 理解存储多路径的概念和作用。
4. 了解 Web 服务器和 IIS 的概念。
5. 理解证书服务的作用。
6. 理解故障转移群集的概念和作用。
项目目标
知识目标
1
Windows Server 2012 R2 企业级服务器搭建
1. 能正确安装 iSCSI、MPIO、Web 服务器、证书服务器和故障转移群集。
2. 能熟练配置 iSCSI 和 MPIO。
3. 能熟练配置带证书的 Web 服务器。
4. 能熟练配置故障转移群集。
5. 能对故障转移群集进行测试。
项目目标
能力目标
Windows Server 2012 R2 企业级服务器搭建
2
1. 能主动收集客户需求，按需配置服务器，逐步养成爱岗敬业精神和服务意识。
2. 具有信息安全意识，可以使用安全技术配置网络服务，并能通过群集技术保障重要业务不间断运行。
项目目标
思政目标
Windows Server 2012 R2 企业级服务器搭建
3
Windows Server 2012 R2 企业级服务器搭建
思维导图
Windows Server 2012 R2 企业级服务器搭建
项目拓扑
任务2.
配置 iSCSI 的 MPIO
项目八 配置HTTPS故障转移群集
配置 iSCSI 存储
任务 1.
项目实训
Windows Server 2012 R2 企业级服务器搭建
任务3.
配置 HTTP 服务器
任务4.
配置证书服务器实现 HTTPS
任务5.
配置 HTTPS 故障转移群集
Configure the certificate server to
implement HTTPS
任务 4
职业教育校企合作新形态教材
配置 HTTPS 服务器
配置证书服务器实现 HTTPS
天驿公司的 Web 站点已建立完成，但在应用时发现有些用户信息在通信过程中被泄露。因此，网络管理员决定采用更加可靠的 HTTPS 方式进行通信，并利用证书服务在一定程度上保证访问 Web 站点的安全性。
任务描述
Windows Server 2012 R2 企业级服务器搭建
针对天驿公司的需求，网络管理员决定使用证书服务建立认证体系。在通常情况下，证书需要向客户端信任的权威证书颁发机构申请（如 Verisign），但这种方式的成本比较高。为降低使用成本，网络管理员可以建立公司内部的证书颁发机构（Certificate Authority，CA），利用公司内部的 CA 为 Web 服务器颁发“Web 服务器证书”，从而认证 Web 站点。
在本任务中，使用服务器 S1 作为 CA，在服务器 S5 上为 IIS 申请“Web 服务器证书”。
Windows Server 2012 R2 企业级服务器搭建
任务分析
1. 安装证书服务
任务实现
步骤 1：在“选择服务器角色”界面中，使用向导方式安装“Active Directory 证书服务”，然后单击“下一步”按钮，如图 8-4-1 所示。
步骤 2：在“选择角色服务”界面中，除默认已勾选的“证书颁发机构”复选框外，还要勾选“证书颁发机构 Web 注册”复选框，然后按向导完成证书服务安装，如图 8-4-2 所示。
图 8-4-1 选择服务器角色
Windows Server 2012 R2 企业级服务器搭建
图 8-4-2 选择角色服务
2. 配置证书颁发机构
任务实现
步骤 1：在“服务器管理器”窗口中选择“AD CS”角色，然后单击黄色警告信息后的“更多…”链接，如图 8-4-3 所示。
步骤 2：在“所有服务器 任务详细信息”窗口中，单击“配置目标服务器上的 Active Directory 证书服务”链接，如图 8-4-4 所示。
图 8-4-3 AD CS 管理器
Windows Server 2012 R2 企业级服务器搭建
图 8-4-4 所有服务器 任务详细信息
2. 配置证书颁发机构
任务实现
步骤 3：在“凭据”界面中，单击“下一步”按钮，如图 8-4-5 所示。
步骤 4：在“角色服务”界面中，勾选“证书颁发机构”和“证书颁发机构 Web 注册” 复选框，然后单击“下一步”按钮，如图 8-4-6 所示。
图 8-4-6 选择要配置的角色服务
Windows Server 2012 R2 企业级服务器搭建
图 8-4-5 配置 AD CS 的凭据
2. 配置证书颁发机构
任务实现
步骤 5：在“设置类型”界面中，指定 CA 的设置类型为“企业 CA”，然后单击“下一步”按钮，如图 8-4-7 所示。
Windows Server 2012 R2 企业级服务器搭建
图 8-4-7 指定 CA 的设置类型
企业 CA 必须是域成员，企业 CA 会自动处理域成员的证书申请并颁发证书，因此需要安装 AD CS 服务。
独立 CA 则可不受域的限制，因此可不安装 AD CS 服务，但需要手动处理证书申请，如颁发、吊销证书。
2. 配置证书颁发机构
任务实现
步骤 6：在“CA 类型”界面中，指定 CA 类型为“根 CA”，然后单击“下一步”按钮，如图 8-4-8 所示。
步骤 7：在“私钥”界面中，指定私钥类型为“创建新的私钥”，然后单击“下一步”按钮，如图 8-4-9 所示。
Windows Server 2012 R2 企业级服务器搭建
图 8-4-8 指定 CA 类型
图 8-4-9 指定私钥类型
2. 配置证书颁发机构
任务实现
步骤 8：在“CA 的加密”界面中使用默认的加密选项，直接单击“下一步”按钮，如图 8-4-10 所示。
步骤 9：在“CA 名称”界面中指定 CA 名称为“tianyi-root”，然后单击“下一步”按钮，如图 8-4-11 所示。
Windows Server 2012 R2 企业级服务器搭建
图 8-4-10 指定加密选项
图 8-4-11 指定 CA 名称
2. 配置证书颁发机构
任务实现
步骤 10：在“有效期”界面中，指定有效期为“5”，然后单击“下一步”按钮，如图 8-4-12 所示。
步骤 11：在“CA 数据库”界面中使用默认设置，直接单击“下一步”按钮，如图 8-4-13所示。
Windows Server 2012 R2 企业级服务器搭建
图 8-4-12 指定 CA 生成证书的有效期
图 8-4-13 指定数据库位置
2. 配置证书颁发机构
任务实现
步骤 12：在“确认”界面中，查看汇总信息，确认无误后单击“配置”按钮，如图 8-4-14 所示。
步骤 13：在“结果”界面中，单击“关闭”按钮，如图 8-4-15 所示。
Windows Server 2012 R2 企业级服务器搭建
图 8-4-14 确认 CA 信息
图 8-4-15 角色服务配置完成
3.申请和下载 Web 服务器证书
任务实现
步骤 1：在 Web 服务器 S5 上打开“Internet Information Services（IIS）管理器”窗口， 双击服务器“S5”选项，然后在“S5 主页”工作区中双击“服务器证书”选项，Web 服务器设置项如图 8-4-16 所示。
步骤 2：在“服务器证书”工作区中，单击右侧的“创建证书申请”操作项，如图 8-4-17所示。
Windows Server 2012 R2 企业级服务器搭建
图 8-4-16 Web 服务器设置项
图 8-4-17 创建证书申请
3.申请和下载 Web 服务器证书
任务实现
步骤 3：在“可分辨名称属性”对话框中，输入证书的必要信息，可按天驿公司的实际情况填写，填写完毕后单击“下一步”按钮，如图 8-4-18 所示。
步骤 4：在“加密服务提供程序属性”对话框中，直接单击“下一步”按钮，如图 8-4-19 所示。
Windows Server 2012 R2 企业级服务器搭建
图 8-4-18 设置证书可分辨名称属性
图 8-4-19 设置加密服务提供程序属性
3.申请和下载 Web 服务器证书
任务实现
步骤 5 ：在“文件名”对话框中输入申请文件的名称和存储路径，本任务使用“C:\shenqing.txt”，设置完毕后，单击“下一步”按钮，如图 8-4-20 所示。
步骤 6：在 IE 浏览器的地址栏中输入网址“http://10.10.10.101/certsrv”，打开证书颁发机构（证书服务器）的 Web 注册页面，在弹出的“Windows 安全”对话框中输入凭据的账户信息，此处使用“administrator”账户，输入完毕后单击“确定”按钮，如图 8-4-21 所示。
Windows Server 2012 R2 企业级服务器搭建
图8-4-20 指定证书申请文件名
图 8-4-21 输入访问证书 Web 注册页面的凭据
3.申请和下载 Web 服务器证书
任务实现
步骤 7：在证书服务的“欢迎使用”页面中，单击“申请证书”链接，如图 8-4-22所示。
步骤 8：在“申请一个证书”页面中，选择证书申请类型，单击“高级证书申请”链接，如图 8-4-23 所示。
Windows Server 2012 R2 企业级服务器搭建
图 8-4-22 申请证书
图 8-4-23 选择证书申请类型
3.申请和下载 Web 服务器证书
任务实现
步骤 9：在“高级证书申请”页面中，选择证书申请策略，单击“使用 base64 编码的CMC 或 PKCS #10 文件提交一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请。”链接，如图 8-4-24 所示。
步骤 10：打开之前的证书申请文件，复制文件的全部内容，如图 8-4-25 所示。
Windows Server 2012 R2 企业级服务器搭建
图 8-4-24 选择证书申请策略
图 8-4-25 复制证书申请文件内容
3.申请和下载 Web 服务器证书
任务实现
步骤 11：将申请文件中的全部内容粘贴到申请页面的“Base-64 编码的证书申请”后的文本框中，选择证书模板的类型为“Web 服务器”，然后单击“提交”按钮，如图 8-4-26 所示。
Windows Server 2012 R2 企业级服务器搭建
图 8-4-26 输入申请文件内容、选择证书模板类型
Web 服务器证书是用来证明 Web 服务器的身份和进行通信加密的，一般用来实现
Web 服务器的 SSL 访问，即实现 HTTPS，因此也称为 SSL 证书。大多数操作系统默认信任根证书机构 VeriSign，该机构也是 Web 服务器证书的主要认证机构。
3.申请和下载 Web 服务器证书
任务实现
步骤 12：在“证书已颁发”页面中，单击“下载证书”链接，如图 8-4-27 所示。
步骤 13：在下载方式提示框中，单击“保存”按钮，如图 8-4-28 所示。
步骤 14：打开保存证书的位置后，可看到证书文件 certnew.cer，如图 8-4-29 所示。
Windows Server 2012 R2 企业级服务器搭建
图 8-4-27 选择已颁发证书的处理方式
图 8-4-29 查看已下载的证书文件
图 8-4-28 下载方式
4. 完成 Web 服务器证书申请
任务实现
步骤 1：在服务器 S5 的“服务器证书”工作区中，单击右侧的“完成证书申请”操作项，如图 8-4-30 所示。
步骤 2：在“指定证书颁发机构响应”对话框中的“包含证书颁发机构响应的文件名” 下的文本框中，指定已下载 Web 服务器证书的完整路径，并在“好记名称”下的文本框中输入“s5-web”，然后单击“确定”按钮，如图 8-4-31 所示。
Windows Server 2012 R2 企业级服务器搭建
图 8-4-30 完成证书申请
图 8-4-31 指定证书位置
4. 完成 Web 服务器证书申请
任务实现
步骤 3：返回“服务器证书”工作区，可看到该服务器已经获得了 Web 服务器证书 s5-web，如图 8-4-32 所示。
Windows Server 2012 R2 企业级服务器搭建
图 8-4-32 查看 Web 服务器证书
5. 在 Web 站点上绑定证书
任务实现
步骤 1：双击需绑定证书的 Web 站点“s5-”选项，然后单击右侧的“绑定” 操作项，修改 Web 站点设置如图 8-4-33 所示。
步骤 2：在“网站绑定”对话框中，单击“添加”按钮，如图 8-4-34 所示。
Windows Server 2012 R2 企业级服务器搭建
图 8-4-33 修改 Web 站点设置
图 8-4-34 设置网站绑定
5. 在 Web 站点上绑定证书
任务实现
步骤 3：在“添加网站绑定”对话框中，添加类型为“https”、对应端口为“443”的绑定条目，选择 SSL 证书为“s5-web”，然后单击“确定”按钮，如图 8-4-35 所示。
步骤 4：若要禁止该站点的非安全访问，则可选择类型为“http”的绑定，然后单击“删除”按钮，如图 8-4-36 所示。
Windows Server 2012 R2 企业级服务器搭建
图 8-4-35 添加 https 绑定
图 8-4-36 删除 http 绑定
5. 在 Web 站点上绑定证书
任务实现
步骤 5：在删除提示框中，单击“是”按钮，如图 8-4-37 所示。
步骤 6：返回“网站绑定”对话框后，可看到只有一个 https 绑定，然后单击“关闭” 按钮，如图 8-4-38 所示。
Windows Server 2012 R2 企业级服务器搭建
图 8-4-37 删除绑定确认
图 8-4-38 查看绑定信息
5. 在 Web 站点上绑定证书
任务实现
步骤 7：返回站点工作区后，单击右侧的“重新启动”操作项，如图 8-4-39 所示。
Windows Server 2012 R2 企业级服务器搭建
图 8-4-39 重新启动站点
6. 测试 HTTPS
任务实现
步骤 1：使用 HTTP 方式访问网站，出现“无法显示此页”提示，如图 8-4-40 所示。
步骤 2：使用 HTTPS 方式访问网站，由于访问的客户端中并未安装客户端证书，因此页面会出现“此网站的安全证书存在问题。”提示，单击“继续浏览此网站（不推荐）。”链接，如图 8-4-41 所示。
Windows Server 2012 R2 企业级服务器搭建
图 8-4-40 使用 HTTP 方式打开页面
图 8-4-41 证书提示
5. 在 Web 站点上绑定证书
任务实现
步骤 3：打开后的 HTTPS 页面如图 8-4-42 所示，可看到通过证书访问 Web 站点能正常显示。
Windows Server 2012 R2 企业级服务器搭建
图 8-4-42 使用 HTTPS 方式打开页面
任务小结
本任务以为一个 Web 站点实现 HTTPS 为例，完成了公司内部证书服务体系的构建。首先，需要在一台服务器中安装证书服务并配置证书颁发机构；然后，在 Web 服务器上申请证书，获得申请文件，进而使用 Base-64 编码的方式申请证书并下载；最后，在 Web 站点上绑定证书并测试 HTTPS。
Windows Server 2012 R2 企业级服务器搭建

展开更多......

收起↑