AD域的安装和ssl证书站点的架设

一、安装条件∙∙∙∙∙∙∙ 安装者必须具有本地管理员权限 操作系统版本必须满足条件（windows server 2003 除WEB 版外都满足） 本地磁盘至少有一个NTFS 文件系统 有TC

一、安装条件

∙

∙

∙

∙

∙

∙

∙ 安装者必须具有本地管理员权限 操作系统版本必须满足条件（windows server 2003 除WEB 版外都满足） 本地磁盘至少有一个NTFS 文件系统 有TCP/IP设置（IP 地址、子网掩码等） 有相应的DNS 服务器支持 有足够的可用空间

二、安装

安装活动目录：

1、插入系统光盘。

2、打开【开始】菜单，单击【运行】命令，键入“Dcpromo ”后单击【确定】按钮。

3、在出现的AD 安装向导窗口中，单击【下一步】按钮。

4、出现操作系统兼容窗口，单击【下一步】按钮。

5、出现域控制器类型窗口，选中【新域的域控制器】，单击【下一步】按钮。

6、出现选择创建域的类型窗口，选中【在新林中的域】，单击【下一步】按钮。

7、出现新建域名窗口，键入要创建的域的域名，单击【下一步】按钮。

8、出现域NetBIOS 名窗口，键入域的NetBIOS 名，单击【下一步】按钮，向导会自动创建。

9、出现数据库和日志文件窗口，保持默认位置即可，单击【下一步】按钮。

10、出现共享的系统卷窗口，注意，文件夹所在分区必须是NTFS 分区，保持默认位置即可，单击【下一步】按钮。

11、如果当前设置的DNS 无法解析的话，会出现一个DNS 注册诊断的窗口，可以选择第二项，把本机装成DNS 服务器，单击

【下一步】按钮。

12、在弹出的权限窗口中，保持默认选项即可，单击【下一步】按钮。

13、出现要输入目录还原模式的管理员密码，此密码用于【目录服务还原模式】下，单击【下一步】按钮。

14、向导会显示摘要，单击【下一步】按钮。

15、向导开始安装活动目录。

16、出现安装完成窗口，单击【完成】按钮，重新启动计算机即可。

卸载活动目录：

1、 打开【开始】菜单，单击【运行】命令，键入“Dcpromo ”后单击【确定】按钮。

2、 在出现的AD 安装向导窗口中，单击【下一步】按钮。

3、 向导会询问此服务器是否是域中最后一个域控制器。如果域中没有其他的域控制器，选中它，单击【下一步】按钮。

4、 向导会显示应用程序目录分区，单击【下一步】按钮。

5、 向导要求确认删除，单击【下一步】按钮。

6、 确认信息摘要，单击【下一步】按钮。

7、 向导显示正在删除。

8、 向导提示删除完成窗口，单击【完成】按钮，重新启动计算机即可。

客户机加入域：

1、 客户机的DNS 服务器指向正确的DNS 服务器地址。

2、 在客户机的桌面上，右击【我的电脑】，选择【属性】，在【系统特性】窗口中选中【网络标识】选项卡，单击【属性】

按钮，在打开的【标识更改】对话框中，键入要加入的域，单击【确定】按钮，系统会提示用户输入具有相应权限的账户和密码（注意此用户为域控制器中有权限的账户），键入后，单击【确定】按钮，成功后重启计算机即可。（各客户端的操作系统不同，界面不太一样）

验证：在域控制器中，打开管理工具，选中【Active Directory用户和计算机】，在computers 容器里，可以看到该计算机的账户。

**********************

在Web 服务器上建立SSL

**********************

环境准备：

打开虚拟机serverA 和clientA ，并分别配置为192.168.1.1/24和192.168.1.2/24. 在serverA 上将SSL 测试站点复制到c:inetpubwwwroot下

1. 安装证书服务：

在本机控制面板添加/删除程序→添加/删除WINDOWS 组件→增加证书服务。安装证书服务。 在安装证书过程中，选择 “根证书”类型。 （企业根证书需要AD 活动目录）

设置“可分辨名称后缀”时，不属于域网络可留空

2．创建服务器证书：

a. 请打开IIS

b. 右键单击需要建立SSL 的站点，并单击属性.

c. 单击目录安全性, 然后单击“服务器证书”，这将会弹出一个向导窗口

d. 单击下一步 ->创建一张新证书.

e. 单击下一步->现在申请证书, 但以后发送.

f. 单击下一步, 填入证书名字.

g. 单击下一步, 键入 机构 和机构单元.

h. 单击下一步, 如果属于域网络，填入通用名. 通用名必须与服务器的FQDN 名字相同. 如果URL 是 https://www.mydomain.com/securedir,

则通用名需为 www.mydomain.com.

i. 单击下一步, 填入国家 等信息

j. 单击下一步, and保存该文件，并继续直至结束

3. 通过web 向CA 发送证书申请请求并颁发下载该证书:

a. 在IE 中打开 http:///certsrv, 选择“申请一个证书”.

b. 单击“高级证书申请”.

c. 单击“使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请，或使用 base64 编码的PKCS #7文件续定证书申请”.

d. 单击后打开您上面已保存的文件，将该文件中所有的内容复制填入“Base-64 的编码证书申请(CMC或PKCS#10或PKCS #7)”文本框.

e. 单击提交. 可能会出现挂起的证书。 如果出现要您下载, 请跳到步骤 3－j.

f. 打开管理工具中的“证书颁发机构”.

g. 单击“挂起的申请” 右键单击您申请的请求，选择 所有任务－> 颁发.

h. 在IE 中打开 http:///certsrv ，选择“检查挂起的证书”.

i. 单击 Next, 选择您所申请的证书

j. 单击Next, 选择Base64 encoded, 然后单击 “下载一个CA 证书” 将该证书保存在web server的本地硬盘上。

4. Web服务器建立SSL 安全通道

a. 打开IIS ，右键单击需要建立SSL 的站点，并单击属性

b. 单击目录安全性, 然后单击 服务器证书，这将会弹出一个向导窗口

c. 选择”处理挂起的请求并安装证书”

d. 单击下一步，选择已下载的证书，继续直至完成所有的操作

5. 打开IIS ，打开web 站点的属性，打开“目录安全性“，点击最下面的“编辑”按钮，在跳出对话框中选中" 要求安全通道（SSL ）" 复选框

6. 从clientA 上访问https://192.168.1.1 验证是否可以打开

7. 通过sniffer 抓包对比，看网站数据传输是否被加密