1:为Exchange Server 2010安装并配置证书服务器
打开开始菜单,点击管理工具,然后点击服务器管理器
1.添加Active Directory
证书服务,并点击下一步
2.勾选证书颁发机构
Web注册
3.在指定安装类型页面,选择企业(E),并点击下一步
4.在指定CA类型页面,选择根CA(R),并点击下一步
5.在设置私钥页面,选择新建私钥,并点击下一步
6.在为CA配置加密页面,点击下一步
7.在配置CA名称页面,查看此CA的公用名称(C)为contoso-WS2008R2DC-CA,点击下
一步
8.在设置有效期页面,保持证书选择有效期为5年,点击下一步
9.在配置证书数据库页面,点击下一步
?在生产环境中,建议将证书的数据库及数据库日志位置设置在非系统分区,非系统
磁盘阵列上面,以便于数据的备份和灾难恢复
10.在Web服务器(IIS)页面,点击下一步
?角色添加向导会自动将所需角色服务的添加过程加入到当前安装过程中
11.在选择角色服务页面,点击下一步
12.在确认安装选择页面,核对之前所配置及选择的信息是否正确,在核实准确无误后,点
击安装,开始IIS、远程服务器管理工具及AD证书服务的安装
13.在安装结果页面,点击关闭,并重新启动WS2008R2DC虚拟计算机
为Exchange Server 2010服务器申请证书
Ex2010A
1、打开开始菜单,点击所有程序,在Microsoft Exchange Server 2010中选择Exchange
Management Console
2、在Exchange管理控制台中,展开Microsoft Exchange的内部部署,在弹出的Exchange
2010服务器许可中,点击确定
3、点击服务器配置,在Exchange证书窗口中,查看当前已有一张自签名的Microsoft
Exchange证书
4、在控制台右侧的操作窗口中,选择新建Exchange证书
5、在新建Exchange证书页面,输入证书的友好名称(E)中,输入Exchange2010CA,并点
击下一步
?证书的友好名称可以根据需要自行设定
6、在域作用域页面中,确认没有勾选启用通配符证书(E),点击下一步
?因为本实验环境为单域结构,没有子域环境,且没有其他特殊需求,因此无需为服
务器申请通配符证书。
7、在Exchange配置页面,展开客户端访问服务器(Outlook Web App),选中Outlook Web
App已连接到Intranet,在用于内部访问Outlook Web App的域名中,输入
https://www.doczj.com/doc/aa307870.html,
选中Outlook Web App已连接到Internet,在用于访问Outlook Web App的域名中,输入https://www.doczj.com/doc/aa307870.html,
8、展开客户端访问服务器(Exchange ActiveSync),选中已启用Exchange活动同步,在用
户访问Exchange ActiveSync的域名中,输入https://www.doczj.com/doc/aa307870.html,
9、展开客户端访问服务器(Web服务、Outlook Anywhere和自动发现),确认选中已启用
Exchange Web服务、已启用Outlook Anywhere,在组织的外部主机名输入
https://www.doczj.com/doc/aa307870.html,,在Internet上使用的自动发现设置为长URL,要使用的自动发现URL 设置为https://www.doczj.com/doc/aa307870.html,
?可以展开其他服务器证书配置选项,如集线器传输服务器、旧版本Exchange服务器
等,为集线器传输服务器、旧版本Exchange服务器或者统一消息服务器设置证书
10、点击下一步,进入证书域页面
11、在证书域页面,确认证书的域列表中包含https://www.doczj.com/doc/aa307870.html,、
https://www.doczj.com/doc/aa307870.html,和https://www.doczj.com/doc/aa307870.html,,点击下一步
12、在组织和位置页面,依下表输入
13.在证书请求文件路径中,选择浏览,选择桌面,将证书请求文件保存在桌面,输入文件
名为CARequest,点击保存
14.点击下一步进入证书配置页面
15.查看证书的配置是否与之前的设置相同,如无问题选择新建
16.点击完成,完成证书申请文件的创建。
17.打开开始菜单,选择所有程序,打开Internet Explorer
18.在IE浏览器中地址栏中,输入https://www.doczj.com/doc/aa307870.html,/certsrv
19.在弹出的Windows安全对话框中,输入用户名administrator,密码password01!
20.在弹出的安全警告中,点击添加,将https://www.doczj.com/doc/aa307870.html,添加到可信站点中
21.进入AD证书Web申请页面,选择申请证书
22.选择高级证书申请
23.选择使用base64编码的CMC或PKCS#10文件提交一个证书申请,或使用base64编码
的PKCS#7文件续订证书申请
24.找到桌面上之前创建的证书申请文件carequest.req,使用记事本打开该文件
25.选中如下图所示选中的内容,并复制所选中的内容
26.在IE浏览器提交一个证书申请或续订申请页面,将复制的内容粘贴到Base-64编码的证
书申请(CMC或PKCS#10或PKCS#7)中,并在证书模板中,选择Web服务器,点击提交
27.证书会自动颁发,选择下载证书,将证书certnew.cer保存到桌面,关闭IE浏览器。
Exchange证书的Web申请完成,因为此证书是向之前搭建的WS2008R2DC证书颁发机构所申请的,该证书颁发机构默认是不被其他服务器所信任的,因此需要将该证书颁发机构导入到Exchange服务器的受信任的根证书颁发机构
28.打开IE浏览器,在地址栏中输入https://www.doczj.com/doc/aa307870.html,/certsrv,使用用户
administrator,密码password01!登录
29.选择下载CA证书、证书链或CRL
30.选择下载CA证书,将CA证书保存到桌面,命名为CA.cer
31.打开开始菜单,选择运行,输入MMC
32.在控制台中,选择文件,添加/删除管理单元,并将证书添加到所选管理单元,选择计
算机账户,点击下一步,选择本地计算机(运行此控制台的计算机),点击完成,点击确定
33.展开证书(本地计算机)--受信任的根证书颁发机构—证书,右键证书,选择所有任务
—导入
34.在欢迎使用证书导入向导页面,点击下一步
35.在要导入的文件页面,选择浏览,并选择桌面的ca.cer文件,点击下一步
36.在证书存储页面,点击下一步,并点击完成,将WS2008R2加入到Exchange服务器的
受信任的根证书颁发机构,关闭控制台
37.打开Exchange管理控制台,在服务器配置界面,Exchange证书中,右键点击
Exchange2010CA证书,选择完成搁置请求。
38.在完成搁置请求页面,选择浏览,打开桌面上的certnew.cer文件,点击完成,完成
Exchange服务器证书的申请及导入操作
39.在Exchange证书页面,确认Exchange2010ca证书已经变更为不是自签名证书
为客户端访问分配证书
在此任务中,将为客户端访问分配之前申请的证书,客户端对Exchange Server 2010的各种方式访问均通过证书加密完成,保证数据传输的安全性。
1.在Exchange管理控制台服务器配置页面中,右键点击之前申请和导入的证书
Exchange2010CA,选择为证书分配服务
2.在将服务分配到证书页面中,确认已经添加了服务器Ex2010A,点击下一步
3.在选择服务页面中,选中简单邮件传输协议和Internet信息服务,并点击下一步
4.在分配服务页面,点击分配,在弹出的确认框中选择是,使申请的证书覆盖默认的证书
5.点击完成,从而完成服务的证书分配
6.
7.WS2008R2DC
8.点击开始菜单,选择管理工具,选择DNS
9.在DNS管理器中,展开WS2008R2DC—正向查找区域—https://www.doczj.com/doc/aa307870.html,,右键点击
https://www.doczj.com/doc/aa307870.html,区域,选择新建别名(CNAME)
10.在新建资源记录中,设置别名为mail,在目标主机的完全合格的域名(FQDN)选择浏
览,进入WS2008R2DC—正向查找区域—https://www.doczj.com/doc/aa307870.html,,选中Ex2010A,点击确定。为https://www.doczj.com/doc/aa307870.html,创建一条别名记录https://www.doczj.com/doc/aa307870.html,
为https://www.doczj.com/doc/aa307870.html,创建别名记录https://www.doczj.com/doc/aa307870.html,是为了便于客户端对Exchange服务器访问,客户端对Exchange进行访问均连接https://www.doczj.com/doc/aa307870.html,即可
11.以用户contoso\administrator,密码password01!登录到虚拟机Ex2010A
12.点击开始菜单,选择管理工具,选择Internet信息服务(IIS)管理器
13.在IIS管理器中,点击Ex2010A,展开网站—Default Web Site
14.在页面中间功能视图中,选择HTTP重定向
15.在HTTP重定向页面中,选中将请求重定向到此目标,并输入
https://https://www.doczj.com/doc/aa307870.html,/owa,并且选中将所有请求重定向到确切的目标(而不是相对于目标)、仅将请求重定向到此目录(非子目录)中的内容,在右侧操作窗格中选择应用
16.打开虚拟机Windows 7,默认会以admin用户登录
17.在虚拟机Windows7中,打开IE浏览器,在地址栏输入
https://www.doczj.com/doc/aa307870.html,/certsrv,以用户contoso\administrator和密码
password01!登录
18.选择下载CA证书、证书链或CRL
19.选择下载CA证书,将证书certnew.cer保存至桌面
20.双击桌面上的证书certnew.cer,选择安装证书,点击下一步,选择将所有的证书放入
下列存储,浏览找到受信任的根证书颁发机构,点击确定,点击下一步,点击完成,在弹出窗口中选择是
将证书颁发机构导入到虚拟机Windows7的受信任的根证书颁发机构,以使客户端能够正常访问Exchange服务器
21.打开IE浏览器,在地址栏输入https://https://www.doczj.com/doc/aa307870.html,,准备登录Exchange服务器的
OWA页面
服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名 Administrator普通用户,设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名;——启动 交互式登录:回话锁定时显示用户信息;——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问:可匿名访问的共享;——清空 网络访问:可匿名访问的命名管道;——清空 网络访问:可远程访问的注册表路径;——清空 网络访问:可远程访问的注册表路径和子路径;——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户(****代表计算机名)ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注:用户添加查找如下图:
(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下: (8)
CA(证书颁发机构)配置概述图解过程 一.CA(证书颁发机构)配置概述 由于现在安全问题日益严重,为了保证数据传输的性,交易者双方身份的确定性等问题,我们需要采用一种安全机制来实现这些功能,在这里我们来探讨以下PKI体系中的“证书”,也就是如何来构建一个CA的环境来保证安全性。 CA(证书颁发机构)主要负责证书的颁发、管理以及归档和吊销,我们可以把证书认为是我们开车需要使用的驾驶执照。证书包含了拥有证书者的、地址、电子、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能:加密、签名、身份验证。这里不在具体阐述加密相关知识,这里主要讨论如何来实现CA的环境。 CA的架构是一种层次结构的部署模式,分为“根CA”和“从属CA”:“根CA”位于此架构中的最上层,一般它是被用来发放证书给其他的CA(从属CA)。在windows系统中,我们可以构建4种CA:企业根CA和企业从属CA(这两种CA只能在域环境中);独立根CA 和独立从属CA。 安装CA:通过控制面板--添加删除程序--添加删除windows组件--证书服务,在安装过程中选择安装的CA类型,再这里我们选择独立根CA,输入CA名称以及设置有效期限,完成向导即可。(在这里注意:安装证书服务前先安装IIS)申请证书:CA服务装好以后就可以直接申请证书了,申请证书有两种方法:通过MMC控制台(此方法只适用于企业根CA和企业从属CA)和通过WEB浏览器。在这里我们只能选择WEB浏览器的方式,找到一台客户端计算机,在IE浏览器中输入[url]ca[/url]服务器的IP地址或者计算机名/certsrv 即可。然后选择申请新证书,选择证书的类型,输入正确的信息,即可获得证书。 使用证书:我们可以自己架设一个最简单的POP3服务器,来实现服务。现在假设lily 要向lucy发送一封加密和签名电子,在lily这边的outlook中选择工具----,选择lily的,再单击属性--安全,选择证书就可以了。在lucy处做同样的操作。 二.证书服务器图解过程试验拓扑:
服务器证书安装配置指南(Tomcat 6) 一、生成证书请求 1. 安装JDK 安装Tomcat需要JDK支持。如果您还没有JDK的安装,则可以参考Java SE Development Kit (JDK) 下载。下载地址: https://www.doczj.com/doc/aa307870.html,/javase/downloads/index.jsp 2. 生成keystore文件 生成密钥库文件keystore.jks需要使用JDK的keytool工具。命令行进入JDK下的bin目录,运行keytool命令。(示例中粗体部分为可自
定义部分,请根据实际配置情况作相应调整) keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore keystore.jks -storepass password 以上命令中,server为私钥别名(-alias),生成的keystore.jks文件默认放在命令行当前路径下。 3. 生成证书请求文件(CSR) Keytool -certreq -alias server -sigalg MD5withRSA -file certreq.csr -keystore keystore.jks -keypass password -storepass password
备份密钥库文件keystore.jks,并稍后提交证书请求文件certreq.csr,等待证书签发。 二、导入服务器证书 1. 获取服务器证书中级CA证书 为保障服务器证书在客户端的兼容性,服务器证书需要安装两张中级CA 证书(不同品牌证书,可能只有一张中级证书)。 从邮件中获取中级CA证书: 将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)分别粘贴到记事本等文本编辑器中,并修改文件扩展名,保存为intermediate1.cer和intermediate2.cer文件。 2. 获取服务器证书 您的keystore密码 将证书签发邮件中的从BEGIN到 END结束的服务器证书内容(包括
文件服务器配置 1、以系统管理员身份登录Windows Server 2003系统,在开始菜单中依次单击【管理工具】→【管 理您的服务器】菜单项,打开“管理您的服务器”窗口。在“添加角色到您的服务器”区域中单击【添加或删除角色】按钮,进入配置向导并单击【下一步】按钮,如图7-1所示。 2、配置向导完成网络设置的检测后,如果是第一次使用该向导,则会进入“配置选项”对话框。选 中【自定义配置】单选钮,并单击【下一步】按钮,如图7-2。 3、打开“服务器角色”对话框,在“服务器角色”列表中选中【文件服务器】选项,并单击【下一步】 按钮,如图7-3所示。 4、在打开的“文件服务器磁盘配额”对话框中选中【为此服务器的新用户设置默认磁盘空间配额】复 选框,并根据磁盘存储空间及用户实际需要在【将磁盘空间限制为】和【将警告级别设置为】编辑框中输入合适的数值(如500M)。另外,选中【拒绝将磁盘空间给超过配额限制的用户】复选框,可以禁止用户在其已用磁盘空间达到限额后向服务器写入数据。单击【下一步】按钮,如图7-4所示。
5、打开“文件服务器索引服务”对话框中,选中【是,启用索引服务】单选钮,启用对共享文件夹的索引服务。单击【下一步】按钮,如图7-5所示。 6、添加向导开始启用所选服务,完成后会自动打开“共享文件夹向导”对话框。单击【下一步】按钮,如图7-6所示。 7、在打开的“文件夹路径”对话框中单击【浏览】按钮,打开“浏览文件夹”对话框。在本地磁盘中找到准备设置为公共资源的文件夹,并依次单击【确定】→【下一步】按钮,如图7-7所示。
8、打开“名称、描述和设置”对话框,在这里可以设置共享名和描述该共享文件夹的语言。设置完毕后单击【下一步】按钮,如图7-8所示 9、在打开的“权限”对话框中选中【管理员有完全访问权限;其他用户有只读访问权限】单选钮,并依次单击【完成】按钮,如图7-9所示。 10、打开“共享成功”对话框,在“摘要”文本框中显示出了共享文件夹路径、共享名和共享路径。其中共享名和共享路径用来向网络用户公布。单击【关闭】按钮即可,如图7-10所示。搭建文件服务器的目的之一就是要设置用户对共享资源的访问权限,用户需要有合法的账户才能访问这些资源,因此需要在服务器中创建用户账户。
Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装安装准备:插入Windows Server 2003 系统安装光盘 添加IIS组件: 点击‘确定’,安装完毕后,查看IIS管理器,如下: 添加‘证书服务’组件:
如果您的机器没有安装活动目录,在勾选以上‘证书服务’时,将弹出如下窗口: 由于我们将要安装的是独立CA,所以不需要安装活动目录,点击‘是’,窗口跳向如下:
默认情况下,‘用自定义设置生成密钥对和CA证书’没有勾选,我们勾选之后点击‘下一步’可以进行密钥算法的选择:
Microsoft 证书服务的默认CSP为:Microsoft Strong Cryptographic Provider,默认散列算法:SHA-1,密钥长度:2048——您可以根据需要做相应的选择,这里我们使用默认。点击‘下一步’: 填写CA的公用名称(以AAAAA为例),其他信息(如邮件、单位、部门等)可在‘可分辨名称后缀’中添加,有效期限默认为5年(可根据需要作相应改动,此处默认)。 点击‘下一步’:
点击‘下一步’进入组件的安装,安装过程中可能弹出如下窗口: 单击‘是’,继续安装,可能再弹出如下窗口: 由于安装证书服务的时候系统会自动在IIS中(这也是为什么必须先安装IIS 的原因)添加证书申请服务,该服务系统用ASP写就,所以必须为IIS启用ASP 功能,点击‘是’继续安装:
‘完成’证书服务的安装。 开始》》》管理工具》》》证书颁发机构,打开如下窗口: 我们已经为服务器成功配置完公用名为AAAAA的独立根CA,Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。 此时该服务器(CA)的IIS下多出以下几项:
在IE地址栏中输入证书服务系统的地址,进入服务主页: 点击‘申请一个证书’进入申请页面: 如果证书用作客户端身份认证,则可点击‘Web浏览器证书’或‘高级证书申请’,一般用户申请‘Web浏览器证书’即可,‘高级证书申请’里有更多选项,也就有很多专业术语,高级用户也可点击进入进行申请。 这里我们以点击申请‘Web浏览器证书’为例: 申请‘Web浏览器证书’,‘姓名’是必填项,其他项目可不填,但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的,所以请尽量多填,并且填写真实信息,因为CA管理员会验证申请人的真实信息,然后进行颁发。 需注意的一点是,‘国家(地区)’需用国际代码填写,CN代表中国。 如果想查看更多选项,请点击‘更多选项’: 在‘更多选项’里,默认的CSP为Microsoft Enhanced Cryptographic Provider ,选择其他CSP不会对认证产生影响。 默认情况下‘启用强私钥保护’并没有勾选上,建议将它勾选上,点击提交后就会让申请人
设置证书的安全级别,如果不将安全级别设置为高级并用口令进行保护,则只要机器上装有该证书,任何人都可以用它作为认证,所以建议将证书设置为高级安全级别,用口令进行保护。以下将作相应操作,点击‘提交’: 单击‘是’: 单击‘设置安全级别’: 将安全级别设置为‘高’,单击‘下一步’后会弹出口令设置窗口: 输入口令,对证书进行加密,并记住密码,因为在以后调用该证书的时候,浏览器会弹出输入密码的窗口。 单击‘完成’: 单击‘确定’,浏览器页面跳向如下: 到这一步,申请人已经向CA服务器发送证书信息,并等待CA管理员对其进行核对,然后决定是否要颁发,如果CA管理员核对信息后决定颁发此证书,则申请人在其颁发之后再次访
C A服务器配置原理与图 解过程 SANY GROUP system office room 【SANYUA16H-
CA(证书颁发机构)配置概述图解过程 一.CA(证书颁发机构)配置概述 由于现在安全问题日益严重,为了保证数据传输的机密性,交易者双方身份的确定性等问题,我们需要采用一种安全机制来实现这些功能,在这里我们来探讨以下PKI体系中的“证书”,也就是如何来构建一个CA的环境来保证安全性。 CA(证书颁发机构)主要负责证书的颁发、管理以及归档和吊销,我们可以把证书认为是我们开车需要使用的驾驶执照。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能:加密、签名、身份验证。这里不在具体阐述加密相关知识,这里主要讨论如何来实现CA的环境。 CA的架构是一种层次结构的部署模式,分为“根CA”和“从属CA”:“根CA”位于此架构中的最上层,一般它是被用来发放证书给其他的CA(从属CA)。在windows系统中,我们可以构建4种CA:企业根CA和企业从属CA(这两种CA只能在域环境中);独立根CA和独立从属CA。 安装CA:通过控制面板--添加删除程序--添加删除windows组件--证书服务,在安装过程中选择安装的CA类型,再这里我们选择独立根CA,输入CA名称以及设置有效期限,完成向导即可。(在这里注意:安装证书服务前先安装IIS)申请证书:CA服务装好以后就可以直接申请证书了,申请证书有两种方法:通过MMC控制台(此方法只适用于企业根CA和企业从属CA)和通过WEB浏览器。在这里我们只能选择WEB浏览器的方式,找到一台客户端计算机,在IE浏览器中输入服务器的IP地址或者计算机名/certsrv即可。然后选择申请新证书,选择证书的类型,输入正确的信息,即可获得证书。 使用证书:我们可以自己架设一个最简单的POP3服务器,来实现邮件服务。现在假设lily要向lucy发送一封加密和签名电子邮件,在lily这边的outlook中选择工具--帐户--邮件,选择lily的帐户,再单击属性--安全,选择证书就可以了。在lucy处做同样的操作。 二.证书服务器图解过程试验拓扑: 试验内容以及拓扑说明:
Windows CA 证书服务器配置(二) ——申请数字证书在IE地址栏中输入证书服务系统的地址,进入服务主页: 点击‘申请一个证书’进入申请页面:
如果证书用作客户端身份认证,则可点击‘Web浏览器证书’或‘高级证书申请’,一般用户申请‘Web浏览器证书’即可,‘高级证书申请’里有更多选项,也就有很多专业术语,高级用户也可点击进入进行申请。 这里我们以点击申请‘Web浏览器证书’为例:
申请‘Web浏览器证书’,‘姓名’是必填项,其他项目可不填,但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的,所以请尽量多填,并且填写真实信息,因为CA管理员会验证申请人的真实信息,然后进行颁发。 需注意的一点是,‘国家(地区)’需用国际代码填写,CN代表中国。 如果想查看更多选项,请点击‘更多选项’:
在‘更多选项’里,默认的CSP为Microsoft Enhanced Cryptographic Provider ,选择其他CSP 不会对认证产生影响。 默认情况下‘启用强私钥保护’并没有勾选上,建议将它勾选上,点击提交后就会让申请人设置证书的安全级别,如果不将安全级别设置为高级并用口令进行保护,则只要机器上装有该证书,任何人都可以用它作为认证,所以建议将证书设置为高级安全级别,用口令进行保护。以下将作相应操作,点击‘提交’:
单击‘是’: 单击‘设置安全级别’: 将安全级别设置为‘高’,单击‘下一步’后会弹出口令设置窗口:
输入口令,对证书进行加密,并记住密码,因为在以后调用该证书的时候,浏览器会弹出输入密码的窗口。 单击‘完成’: 单击‘确定’,浏览器页面跳向如下:
服务器基础知识【初学者必看】 1. 什么是服务器 就像他的名字一样,服务器在网络上为不同用户提供不同内容的信息、资料和文件。可以说服务器就是Internet网络上的资源仓库,正是因为有着种类繁多数量庞大内容丰富的服务器的存在,才使得Internet如此的绚丽多彩。 2. 服务器的种类和功能 (1) WWW服务器(WWW Server) WWW服务器也称为Web服务器(Web Server)或HTTP服务器(HTTP Server),它是Internet上最常见也是使用最频繁的服务器之一,WWW服务器能够为用户提供网页浏览、论坛访问等等服务。比如:我们在使用浏览器访问https://www.doczj.com/doc/aa307870.html,的时候,实际上就是在访问Discuz!的WWW服务器,从该WWW服务器获取需要的论坛资料和网页。 (2) FTP服务器(FTP Server) FTP服务器是专门为用户提供各种文件(File)的服务器,FTP服务器上往往存储大量的文件,例如:软件、MP3、电影、程序等等。用户只要使用FTP客户端软件登录到FTP服务器上就可以从FTP服务器下载所需文件和资源到自己的电脑上,同时,
你也可以把自己电话上的文件上传到FTP上供其他用户下载,以实现文件资源的共享。 (3) 邮件服务器(Mail Server) e-mail是Internet上应用最频繁的服务之一,而Internet上每天数亿百亿计的电子邮件的收发都是通过邮件服务器实现的。邮件服务器就像邮局一样,可以为用户提供电子邮件的接收存储和发送服务。 除了以上介绍的3种主要服务器之外,还有很多其他类型的网络服务器,例如:数据库服务器(DatabaseServer)、代理服务器(Proxy Server)、域名服务器(Domain Name Server)等等…… 3. 服务器的操作系统 目前服务器中使用的操作系统主要有两类:Windows和Unix。 (1) Windows Windows是美国微软公司(Microsoft)开发的操作系统,在服务器领域,主要有Windows2000Server/Advanced Server/Data Center与Windows2003 Standard Edition/EnterpriseEdition操作系统,Windows的优点是操作简 单,由于Windows使用图形界面进行操作,因而对各种服务器软件功能配置简
Windows Server 2008上使用IIS搭建WEB服务器、客户端的数字证书应用(一)一、什么是数字证书及作用? 数字证书就是互联网通讯中标志(证明)通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA 机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。常用的密钥包括一个公开的密钥和一个私有的密钥即一组密钥对,当信息使用公钥加密并通过网络传输到目标主机后,目标主机必需使用对应的私钥才能解密使用。使用它主要是为了提高IT系统在敏感数据应用领域的安全性,为用户业务提供更高安全保障; 注:数字证书,下面均简称证书; 二、如何搭建证书服务器? 搭建证书服务器步骤如下: 1、登陆Windows Server 2008服务器; 2、打开【服务器管理器】; (图2) 3、点击【添加角色】,之后点击【下一步】;
(图3) 4、找到【Active Directory证书服务】勾选此选项,之后点击【下一步】;
(图4) 5、进入证书服务简介界面,点击【下一步】; (图5) 6、将证书颁发机构、证书颁发机构WEB注册勾选上,然后点击【下一步】;
(图6) 7、勾选【独立】选项,点击【下一步】;(由于不在域管理中创建,直接默认为:“独立”) (图7) 8、首次创建,勾选【根CA】,之后点击【下一步】;
《服务器配置与管理》课程标准 一、概述 (一)课程性质 本课程为计算机网络技术专业的专业必修课,是一门实践性很强的理论实践一体化课程。 本课程以计算机应用基础作为前期基础课程,通过本课程的学习,让学生掌握计算机网络的基本理论,让学生掌握构建局域网的能力,并为学生将来进一步学习网络知识打下基础。同时使学生养成对常用的计算机网 工作“连接网络之联网设备”“认识计算机网络之网络协议”“连接网络之网络寻址”,最后,学习“组建小型交换网络-配置交换机”“连接互联网之配置路由器”,由浅到深,一步步学习组建局域网及管理。
,培 总结计算机网络的概念和主要组成部分;会使用计算机网络所能提供的各种服务(www/mail/ftp等);简单描述各种不同的网络环境。 2.进行网络的物理连接 按需要选择网络传输介质,并制作、测试网络线,把计算机与网络设备连接起来,并能根据设备面板的批示灯,确定网络的工作状态。能利用无线设备组建无线网络。 3.网络逻辑连接 根据小型网络的特点,规划网络的IP地址,并按照子网隔离的要求,
进行子网划分。知道MAC地址在局域网通信中的作用,并能实现MAC地址与IP地址的绑定。 4.交换机的配置 利用交换机连接网络,并对交换机进行基本的配置、测试,初步掌握IOS命令的使用及交换机的工作过程,为构建交换式网络打下基础。 5.互联网连接 根据小型网络的特点,选择宽带路由器,并对宽带路由器进行基本配置,实现互联网的接入,对宽带路由器进行高级配置,实现互联网接入的
(一)教学建议 由于本课程的主要教学内容涉及家庭及办公网络调研,网络的组建连
《Windows服务器配置与管理》期末考试试题 一、考试环境: 说明:在完成考试题目的时候,不需要同时开所有虚拟机系统。根据题目要求开启相应的虚拟机,并按照题目说明修改虚拟机参数(参考上课时的实验环境),为了避免前面的操作对后面产生影响,请记得先为虚拟机创建快照。 为了方便识别,请在所有虚拟机名称后面加上自己姓名拼音大写字母和学号,假设1号的同学名叫刘卓华,就要设置成“局域网服务器(LZH01)”、“双网卡服务器(LZH01)”。截图的时候,截取VMWARE 的界面,要能看到完整的实验环境。如下图所示: 二、考试工作场景描述: LZH01公司的网络是一家典型的中等规模的企业网络环境,公司已经完成了网络架构的设计和施工工作,现在需要完成企业网络服务的设计、架设和实施工作。通过对公司企业网络服务功能的设计及实施,要求在公司网络实现DNS、DHCP、WEB、FTP、MAIL、MEDIA、PRINT、AD、CA、安全的WEB服务等系统服务,在局域网出口的双网卡服务器上架设NAT 和VPN服务,并对局域网服务器的系统进行相应管理。网络环境如上面考试环境图所示。 三、考试题目:(下面凡是出现https://www.doczj.com/doc/aa307870.html,、lzh的地方,都要参考这种格式改成自己的姓名学号信息) 1、在局域网服务器(2008)搭建DHCP服务。 1)创建作用域:192.168.1.1-192.168.1.254 2)设置作用域选项:路由器192.168.1.1、DNS服务器192.168.1.2 3)设置保留地址:为XP客户机创建保留地址192.168.1.10。 4)设置排除地址:192.168.1.1-192.168.1.2 5)设置服务器选项:DNS服务器202.96.128.68。
学校 班级 姓名 学号______________________ ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆装◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆订◆◆◆◆◆◆◆◆◆◆◆◆◆线◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ 第 1 页 共 6 页 课程: 服务器配置与管理 (期末卷) (答卷时间 90 分钟) 一、单选题(本题包含30小题,每题1分,共30分) 1.因特网中的主机可以分为服务器和客户机,其中( )。 A. 服务器是服务和信息资源的提供者,客户机是服务和信息资源的使用者 B. 服务器是服务和信息资源的使用者,客户机是服务和信息资源的提供者 C. 服务器和客户机都是服务和信息资源的提供者 D. 服务器和客户机都是服务和信息资源的使用者 2. 如果要通过局域网接入Internet ,那么首先需要为计算机安装( ): A.调制解调器 B.声卡 C.网卡 D.集线器 3.以下哪个选项是正确的Ethernet MAC 地址?( ) A. 00-01-AA-08 B. 00-01-AA-08-0D-80 C. 1203 D.192.2.0.1 4. Windows 2003 Sever 中具有最高权限的用户是( ) A. administrator B. root C. supervisor D. guest 5.活动目录与下面( )服务集成。 A.WWW B.DHCP C.FTP D.DNS 6.IP 地址是计算机在网络中的地址,它是由( )。 A. 16位二进制数组成 B. 32位二进制数组成 C. 32位十进制数组成 D.4位十六进制数组成 7.只有( )卷上的文件或文件夹才能被加密。 A. DOS B. FAT16 C. FAT32 D. NTFS 8.下面( )命令用于测试网络是否连通。 A. telnet B. nslookup C. ping D. ftp 9. 现在局域网采用的双绞线一般为( )。 A.3类UTP B.4类UTP C.5类UTP D.6类UTP 10. 关于以太网网卡地址的说法正确的是( )。 A.在世界范围内唯一 B.在世界范围内不唯一 C.在一定范围内唯一 D.在一定范围内不唯一
服务器配置方案 本文转自:傲龙网络 在日常工作中,经常给客户进行硬件配置建议,发现很多客户基本的信息化基础的知识都不是太懂,比如服务器配置数选择和用户数关系等等。甚至很多IT专业人士,比如erp,crm顾问都不是很清楚。当然也有可能这些顾问只专注于他自己工作的那一块,认为这些是售前干的事情,不需要了解太多。在我看来我觉得多了解一些,碰到不懂的客户也可以给人家说个所以然出来,至少也没有什么坏处嘛。下面这篇文章也是平常的工作总结,贴出来给大家分享一下,也许还用的着。 第一章服务器选择 1.1 服务器选择和用户数关系
注册用户数在线用 户数APPserver1建议配置(主要参数)Appserver2建议配置(主要参数) 100 50以下 CPU Xeon 3.0G×1 CPU Xeon 3.0G×1 内存2G 内存2G 硬盘73G×3,RAID5 硬盘73G×3,RAID5 <300 50~ 150 CPU Xeon 3.0G×2 CPU Xeon 3.0G×2 内存2G 内存2G 硬盘73G×3,RAID5 硬盘73G×3,RAID5 <600 150~ 300 CPU Xeon 3.0G×2 CPU Xeon 3.0G×2 内存4G 内存4G 硬盘73G×4,RAID5 硬盘73G×4,RAID5 <1000 300~ 500 CPU Xeon 3.16G×4 CPU Xeon 3.16G×4 内存4G 内存4G 硬盘73G×6,RAID5 硬盘73G×6,RAID5 机型小型机或高端PC服务器机型小型机或高端PC服务器内存4G~8G 内存4G~8G
说明: 首选原则:在初期给客户提供硬件配置参考时,在线用户数建议按注册用户数(或工作站数量)的50%计算。 备用原则:根据企业的行业特点、用户使用频度、应用特点、硬件投入等综合因素考虑,在线用户数比例可以适当下调,由售前/销售人员在对客户的具体情况进行了解后做出适当的建议。 服务器推荐选择品牌:IBM、DELL(戴尔)、HP(惠普)、Sun 、Lenovo (联想)、浪潮、曙光等品牌机型。 CPU:如果因为选择不同品牌服务器或双核处理器导致CPU型号/主频变动,只要求达到同级别或该级别以上处理能力。 硬盘:对于硬盘方面,推荐选择SCSI硬盘,并做RAID5;对于小企业可以如果由于采购成本的考虑也可采用SATA。对于2000注册用户数以上企业,强烈推荐采用磁盘阵列。 硬盘容量=每用户分配容量×注册用户数+操作系统容量+部分冗
Windows CA 证书服务器配置(一) ——Microsoft 证书服务安装 放入Windows Server 2003 系统安装光盘 添加IIS组件: 点击‘确定’,安装完毕后,查看IIS管理器,如下:
添加‘证书服务’组件: 如果您的机器没有安装活动目录,在勾选以上‘证书服务’时,将弹出如下窗口: 由于我们将要安装的是独立CA,所以不需要安装活动目录,点击‘是’,窗口跳向如下:
默认情况下,‘用自定义设置生成密钥对和CA证书’没有勾选,我们勾选之后点击‘下一步’可以进行密钥算法的选择: Microsoft 证书服务的默认CSP为:Microsoft Strong Cryptographic Provider,默认散列算法:SHA-1,密钥长度:2048——您可以根据需要做相应的选择,这里我们使用默认。点击‘下一步’:
填写CA的公用名称(以AAAAA为例),其他信息(如邮件、单位、部门等)可在‘可分辨名称后缀’中添加,有效期限默认为5年(可根据需要作相应改动,此处默认)。 点击‘下一步’:
点击‘下一步’进入组件的安装,安装过程中可能弹出如下窗口: 单击‘是’,继续安装,可能再弹出如下窗口: 由于安装证书服务的时候系统会自动在IIS中(这也是为什么必须先安装IIS的原因)添加证书申请服务,该服务系统用ASP写就,所以必须为IIS启用ASP功能,点击‘是’继续安装:
‘完成’证书服务的安装。 开始——管理工具——证书颁发机构,打开如下窗口: 我们已经为服务器成功配置完公用名为AAAAA的独立根CA,Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。 此时该服务器(CA)的IIS下多出以下几项:
连云港职业技术学院 信息工程学院《Windows服务器配置与管理》 大作业文档 题目:终端服务的管理与配置 姓名: 学号: 29号 专业:计算机网络技术 导师: 连云港职业技术学院信息工程学院 2010 年12 月
摘要 客户端通过终端服务客户端软件连接到终端服务器,在客户端的显示器上将显示出终端服务器使用的操作系统的界面。客户端软件讲客户鼠标和键盘的操作传送给服务器,然后将服务器显示的界面传送给客户端。对客户端而言,就像操作本地计算机一样。 Windows server 2003终端服务器可用来管理每个客户远程登录的资源,它提供了一个基于远程桌面协议的服务,使windows server 2003成为真正的多会话环境操作系统,并让用户能使用服务器上的各种合法资源。也可以让使用配置较低计算机的用户,通过终端服务使用服务器上最新的操作系统或者软件。 【关键字】终端服务器远程桌面远程协助配置 目录 摘要 (2) 第1章引言 (4) 第2章系统实现 (5) 2.1 安装终端服务器 (5) 2.2 windows XP的设置 (11) 2.3 终端服务器的连接配置 (15) 2.4 配置和使用“远程桌面” (20) 2.5 配置远程协助 (25) 2.6使用基于HTTP协议的终端服务器 (32) (32) (34) 第3章总结 (38)
参考文献 (39) 第1章引言 Windows server 2003操作系统提供了可用于从远程位置管理服务器的工具。这些工具包括“远程桌面”管理单元、终端服务器、远程协助、Telnet服务等远程管理工具。了解每种工具的优点和安全性需要后,就可以为远程管理和管理任务选择最合适的工具了。 终端服务器是通过网路服务器来提供一种有效和可靠的方法,分发基于windows的程序。它通过网络处理从客户端远程桌面传递的命令,运行后将结果传回远程桌面。通过终端服务器,可允许多个用户同时访问运行windows server 2003家族操作系统之一的服务器上的桌面。可以运行程序、保存文件和使用网络资源,就像坐在那台计算机前一样。 远程桌面是安装在网络中的客户端上的一种瘦客户端软件,它授权远程访问运行windows server 2003家族操作之一的任何计算机桌面,而并不对管理员下达的指令进行任何处理。允许用户实际通过网络中的任何计算机管理服务器——甚至是Microsoft Windows Server 2003服务器。 使用终端服务的优点是:将windows server 2003家族操作系统更快的引入桌面;充分利用已有的硬件;可以使用终端服务器集中部署程序;使用终端服务器远程桌面。 Windows server 2003终端服务新增功能:程序的集中部署;对应用程序的远程访问;单应用程序访问;终端服务管理器;远程控制;音频重定向;组策略集成;分辨率和颜色增强功能。 第2章系统实现 2.1安装终端服务器 方法一:使用【添加或删除程序】来安装终端服务器 (1).在【控制面板】中单击【添加或删除程序】图标打开【添加或删除程序】对话框。
基本配置如何填写服务器配置 工具/原料 电脑 微信 方法/步骤 【开发】=》【基础设置】 服务器配置 点击这个地方进行设置 这个是【服务器配置】的界面 说面一下一些细节 url:这个地方不是要你随便填写一个网址,而是要填写自己服务器的上接受token数据的页面路径。 Token:这个是自己填写的一个验证内容。 EncodingAESKey:这个是一个加密的密钥。(可以自己设置,最好随机生成。) 选择安全模式要注意下 填写的URL需要正确响应微信发送的Token验证 define("TOKEN","这是你在微信填的token"); functioncheckSignature() { //从GET参数中读取三个字段的值
$signature=$_GET["signature"]; $timestamp=$_GET["timestamp"]; $nonce=$_GET["nonce"]; //读取预定义的TOKEN $token=TOKEN; //对数组进行排序 $tmpArr=array($token,$timestamp,$nonce); sort($tmpArr,SORT_STRING); //对三个字段进行sha1运算 $tmpStr=implode($tmpArr); $tmpStr=sha1($tmpStr); //判断我方计算的结果是否和微信端计算的结果相符 //这样利用只有微信端和我方了解的token作对比,验证访问是否来自微信官方. if($tmpStr==$signature){ returntrue; }else{ returnfalse; } } if(checkSignature()){ echo$_GET["echostr"]; }
WindowsCA证书服务器配置(二)——申请数字证书 在IE地址栏中输入证书服务系统的地址,进入服务主页:点击‘申请一个证书’进入申请页面:
如果证书用作客户端身份认证,则可点击‘浏览器W证e书b’或‘高级证书申请’,一般用户申请‘We浏b览器证书’即可,‘高级证书申请’里有更多选项,也就有很多专业术语,高级用户也可点击进入进行申请。 这里我们以点击申请‘浏W览eb器证书’为例:
申请‘Web浏览器证书’,‘姓名’是必填项,其他项目可不填,但由于CA服务器的管 理员是根据申请人的详细信息决定是否颁发的,所以请尽量多填,并且填写真实信息,因为CA管理员会验证申请人的真实信息,然后进行颁发。 需注意的一点是,‘国家(地区)’需用国际代码填写,CN代表中国。 如果想查看更多选项,请点击‘更多选项’:
在‘更多选项’里,默认的CSP为MicrosoftEnhancedCryptographicProviderv1.0, 选择其他CSP不会对认证产生影响。 默认情况下‘启用强私钥保护’并没有勾选上,建议将它勾选上,点击提交后就会让申请人设置证书的安全级别,如果不将安全级别设置为高级并用口令进行保护,则只要机器上装有
该证书,任何人都可以用它作为认证,所以建议将证书设置为高级安全级别,用口令进行保护。以下将作相应操作,点击‘提交’: 单击‘是’: 单击‘设置安全级别’:
将安全级别设置为‘高’,单击‘下一步’后会弹出口令设置窗口: 输入口令,对证书进行加密,并记住密码,因为在以后调用该证书的时候,浏览器会弹出输入密码的窗口。
机房托管服务器: 产品型号PowerEdge R610(E5506/8G/3×300G) 产品类型机架式 1U 产品结构 处理器 CPU型号E5506 CPU主频 2.13GHz 三级缓存4M 标配CPU数目1个 最大CPU数目2个 主板 主板芯片组Intel 5520 内存 标配内存8G 内存插槽数12 最大内存容量96G 存储 标配硬盘1万转3×2.5寸 SAS 300G 最大硬盘容量3TB Raid 6 硬盘阵列 硬盘热插拔支持硬盘热插拔 DVD-ROM光驱 光驱 其它 网卡4个1000M 操作系统Microsoft Windows Server,Microsoft Windows Server 2008,装有 Hyp
erV,Microsoft Windows Storage Server,Novell Netware,Novell SUSE Linux,Red Hat Linux Enterprise,Sun SolarisTM 售后服务三年银牌服务 产品质保信息 客服电话800-858-0960;400-884-5117 质保政策全国联保,享受三包服务 质保时间3年面向IT和关键任务的专业技术支持 详细内容售后服务由品牌厂商提供,支持全国联保,可享有三包服务。如出现产品质量问题或故障,您可查询最近的维修点,由厂商售后解决。通过电话诊断故障后,如有必要,戴尔将向客户现场派遣技术人员,或派送替换部件或整机(视服务合同条款而定)。服务根据部件供货情况、地域限制(某些地区不提供上门和/或下一工作日服务)和服务合同条款,可能有所不同。 工厂用服务器: 基本资料产品型号PowerEdge T610(E5506/2G×4/500G×2) 产品类型塔式 处理器CPU型号5506 CPU主频 2.13GHz 三级缓存4M 标配CPU数目1个 最大CPU数目2个 主板 内存内存类型DDR3 1066MHz ECC 2R 标配内存4×2G 存储标配硬盘SAS 500G 硬盘阵列 Raid 1
Server 2016 + Win10 搭建CA证书登录环境 手记。 1.启动服务器管理器,添加角色和功能。 2.选择AD证书服务。 3.选择证书颁发机构Web注册。 4.IIS一般默认,或者再勾上.Net/CGI相应部分,WCF则需要在添加功能时选择http 激活。 5.安装等好。 6.CA配置: 7.选择证书颁发服务器; 8.右键属性,选择扩展选项卡; 9.CRL添加:其他删掉,留下http部分,参照http项添加一个,替换掉
18.关键:现在打开网页申请证书,密钥用法只有交换,申请格式只能PKCS10,需要 修改asp代码; 19.搜索certrqma.asp,检索if (0 == nSupportedKeyUsages),在前面插入一行代码 nSupportedKeyUsages = 3;,注意修改权限,将该asp文件所有者改为管理员,再将管理员的所有操作权限赋上; 20.CMC打开是在certsgcl.inc,检索isClientAbleToCreateCMC,将 sUserAgent.indexOf("Windows NT 10.0")!=-1也返回true; 21.此处申请格式必须为PKCS10; 22.在网页中申请客户端验证证书,服务器颁发,将SSL设置为必需。 23.打开IE测试。
精心整理服务器基础知识【初学者必看】 1. 什么是服务器? ?? 就像他的名字一样,服务器在网络上为不同用户提供不同内容的信息、资料和文件。可以说服 2. ?? WWW服务器也称为Web服务器(Web Server)或HTTP服务器(HTTP Server),它是Internet上最常见也是使用最频繁的服务器之一,WWW服务器能够为用户提供网页浏览、论坛访问等等服务。比如:我们在使用浏览器访问?
? (2) FTP服务器(FTP Server)? 以从 (3)
?? e-mail是Internet上应用最频繁的服务之一,而Internet上每天数亿百亿计的电子邮件的收发都是通过邮件服务器实现的。邮件服务器就像邮局一样,可以为用户提供电子邮件的接收存储和发送服务。? ?? ……? 3. ? ?? Windows是美国微软公司(Microsoft)开发的操作系统,在服务器领域,主要有Windows2000Server/Advanced?Server/Data Center与Windows2003 Standard Edition/EnterpriseEdition操作系统,Windows的优点是操作简?
单,由于Windows使用图形界面进行操作,因而对各种服务器软件功能配置简便。但它的缺点也不可忽视,例如:Windows操? 作系统成本较高;安全性相对较低;能承受的访问量较低等等。? Linux, Linux 企业(包括电信企业和Google、百度、新浪、搜狐等等)的服务器都运行在Unix/Linux系统之上。?
4. Apache与IIS? ?Apache与IIS都属于WWW服务器,是世界上使用最多的两种WWW服务器。? ?IIS操议 协议 但IIS 的性能和安全性相对较差,并且IIS只能在Windows中使用,无法在UNIX中运行。? (2) Apache?