資源簡介

(共35張PPT)
項目八 配置HTTPS服務器及其故障轉移群集
Windows Server 2012 R2 企業級服務器搭建
01 項目描述
隨著計算機網絡技術的不斷發展，在很多情況下都需要綜合使用多種網絡服務來實現一個完整的應用。以一個 Web 應用為例：前端需要專業人員進行站點內容設計，發布 Web 站點需要 IIS 等服務器端作為支撐平臺，訪問安全 Web 站點需要使用 HTTPS 等安全技術，提高網站數據的可靠性需要使用存儲技術，存儲本身也需要一定的備份技術，隨著業務的增加需要使用群集技術。提高用戶使用的安全性、可靠性、便捷性，是互聯網發展的推動力。
本項目將以一個網絡應用為例，介紹多種技術的綜合應用。本項目的步驟為配置 iSCSI 存儲、配置 iSCSI 的 MPIO（MultiPath I/O，多路徑輸入/輸出）、配置 HTTP 服務器、配置證書服務器實現 HTTPS、配置 HTTPS 故障轉移群集。
Windows Server 2012 R2 企業級服務器搭建
1. 了解 iSCSI 存儲的作用和特點。
2. 理解虛擬磁盤、發起程序、目標和門戶的概念。
3. 理解存儲多路徑的概念和作用。
4. 了解 Web 服務器和 IIS 的概念。
5. 理解證書服務的作用。
6. 理解故障轉移群集的概念和作用。
項目目標
知識目標
1
Windows Server 2012 R2 企業級服務器搭建
1. 能正確安裝 iSCSI、MPIO、Web 服務器、證書服務器和故障轉移群集。
2. 能熟練配置 iSCSI 和 MPIO。
3. 能熟練配置帶證書的 Web 服務器。
4. 能熟練配置故障轉移群集。
5. 能對故障轉移群集進行測試。
項目目標
能力目標
Windows Server 2012 R2 企業級服務器搭建
2
1. 能主動收集客戶需求，按需配置服務器，逐步養成愛崗敬業精神和服務意識。
2. 具有信息安全意識，可以使用安全技術配置網絡服務，并能通過群集技術保障重要業務不間斷運行。
項目目標
思政目標
Windows Server 2012 R2 企業級服務器搭建
3
Windows Server 2012 R2 企業級服務器搭建
思維導圖
Windows Server 2012 R2 企業級服務器搭建
項目拓撲
任務2.
配置 iSCSI 的 MPIO
項目八 配置HTTPS故障轉移群集
配置 iSCSI 存儲
任務 1.
項目實訓
Windows Server 2012 R2 企業級服務器搭建
任務3.
配置 HTTP 服務器
任務4.
配置證書服務器實現 HTTPS
任務5.
配置 HTTPS 故障轉移群集
Configure the certificate server to
implement HTTPS
任務 4
職業教育校企合作新形態教材
配置 HTTPS 服務器
配置證書服務器實現 HTTPS
天驛公司的 Web 站點已建立完成，但在應用時發現有些用戶信息在通信過程中被泄露。因此，網絡管理員決定采用更加可靠的 HTTPS 方式進行通信，并利用證書服務在一定程度上保證訪問 Web 站點的安全性。
任務描述
Windows Server 2012 R2 企業級服務器搭建
針對天驛公司的需求，網絡管理員決定使用證書服務建立認證體系。在通常情況下，證書需要向客戶端信任的權威證書頒發機構申請（如 Verisign），但這種方式的成本比較高。為降低使用成本，網絡管理員可以建立公司內部的證書頒發機構（Certificate Authority，CA），利用公司內部的 CA 為 Web 服務器頒發“Web 服務器證書”，從而認證 Web 站點。
在本任務中，使用服務器 S1 作為 CA，在服務器 S5 上為 IIS 申請“Web 服務器證書”。
Windows Server 2012 R2 企業級服務器搭建
任務分析
1. 安裝證書服務
任務實現
步驟 1：在“選擇服務器角色”界面中，使用向導方式安裝“Active Directory 證書服務”，然后單擊“下一步”按鈕，如圖 8-4-1 所示。
步驟 2：在“選擇角色服務”界面中，除默認已勾選的“證書頒發機構”復選框外，還要勾選“證書頒發機構 Web 注冊”復選框，然后按向導完成證書服務安裝，如圖 8-4-2 所示。
圖 8-4-1 選擇服務器角色
Windows Server 2012 R2 企業級服務器搭建
圖 8-4-2 選擇角色服務
2. 配置證書頒發機構
任務實現
步驟 1：在“服務器管理器”窗口中選擇“AD CS”角色，然后單擊黃色警告信息后的“更多…”鏈接，如圖 8-4-3 所示。
步驟 2：在“所有服務器 任務詳細信息”窗口中，單擊“配置目標服務器上的 Active Directory 證書服務”鏈接，如圖 8-4-4 所示。
圖 8-4-3 AD CS 管理器
Windows Server 2012 R2 企業級服務器搭建
圖 8-4-4 所有服務器 任務詳細信息
2. 配置證書頒發機構
任務實現
步驟 3：在“憑據”界面中，單擊“下一步”按鈕，如圖 8-4-5 所示。
步驟 4：在“角色服務”界面中，勾選“證書頒發機構”和“證書頒發機構 Web 注冊” 復選框，然后單擊“下一步”按鈕，如圖 8-4-6 所示。
圖 8-4-6 選擇要配置的角色服務
Windows Server 2012 R2 企業級服務器搭建
圖 8-4-5 配置 AD CS 的憑據
2. 配置證書頒發機構
任務實現
步驟 5：在“設置類型”界面中，指定 CA 的設置類型為“企業 CA”，然后單擊“下一步”按鈕，如圖 8-4-7 所示。
Windows Server 2012 R2 企業級服務器搭建
圖 8-4-7 指定 CA 的設置類型
企業 CA 必須是域成員，企業 CA 會自動處理域成員的證書申請并頒發證書，因此需要安裝 AD CS 服務。
獨立 CA 則可不受域的限制，因此可不安裝 AD CS 服務，但需要手動處理證書申請，如頒發、吊銷證書。
2. 配置證書頒發機構
任務實現
步驟 6：在“CA 類型”界面中，指定 CA 類型為“根 CA”，然后單擊“下一步”按鈕，如圖 8-4-8 所示。
步驟 7：在“私鑰”界面中，指定私鑰類型為“創建新的私鑰”，然后單擊“下一步”按鈕，如圖 8-4-9 所示。
Windows Server 2012 R2 企業級服務器搭建
圖 8-4-8 指定 CA 類型
圖 8-4-9 指定私鑰類型
2. 配置證書頒發機構
任務實現
步驟 8：在“CA 的加密”界面中使用默認的加密選項，直接單擊“下一步”按鈕，如圖 8-4-10 所示。
步驟 9：在“CA 名稱”界面中指定 CA 名稱為“tianyi-root”，然后單擊“下一步”按鈕，如圖 8-4-11 所示。
Windows Server 2012 R2 企業級服務器搭建
圖 8-4-10 指定加密選項
圖 8-4-11 指定 CA 名稱
2. 配置證書頒發機構
任務實現
步驟 10：在“有效期”界面中，指定有效期為“5”，然后單擊“下一步”按鈕，如圖 8-4-12 所示。
步驟 11：在“CA 數據庫”界面中使用默認設置，直接單擊“下一步”按鈕，如圖 8-4-13所示。
Windows Server 2012 R2 企業級服務器搭建
圖 8-4-12 指定 CA 生成證書的有效期
圖 8-4-13 指定數據庫位置
2. 配置證書頒發機構
任務實現
步驟 12：在“確認”界面中，查看匯總信息，確認無誤后單擊“配置”按鈕，如圖 8-4-14 所示。
步驟 13：在“結果”界面中，單擊“關閉”按鈕，如圖 8-4-15 所示。
Windows Server 2012 R2 企業級服務器搭建
圖 8-4-14 確認 CA 信息
圖 8-4-15 角色服務配置完成
3.申請和下載 Web 服務器證書
任務實現
步驟 1：在 Web 服務器 S5 上打開“Internet Information Services（IIS）管理器”窗口， 雙擊服務器“S5”選項，然后在“S5 主頁”工作區中雙擊“服務器證書”選項，Web 服務器設置項如圖 8-4-16 所示。
步驟 2：在“服務器證書”工作區中，單擊右側的“創建證書申請”操作項，如圖 8-4-17所示。
Windows Server 2012 R2 企業級服務器搭建
圖 8-4-16 Web 服務器設置項
圖 8-4-17 創建證書申請
3.申請和下載 Web 服務器證書
任務實現
步驟 3：在“可分辨名稱屬性”對話框中，輸入證書的必要信息，可按天驛公司的實際情況填寫，填寫完畢后單擊“下一步”按鈕，如圖 8-4-18 所示。
步驟 4：在“加密服務提供程序屬性”對話框中，直接單擊“下一步”按鈕，如圖 8-4-19 所示。
Windows Server 2012 R2 企業級服務器搭建
圖 8-4-18 設置證書可分辨名稱屬性
圖 8-4-19 設置加密服務提供程序屬性
3.申請和下載 Web 服務器證書
任務實現
步驟 5 ：在“文件名”對話框中輸入申請文件的名稱和存儲路徑，本任務使用“C:\shenqing.txt”，設置完畢后，單擊“下一步”按鈕，如圖 8-4-20 所示。
步驟 6：在 IE 瀏覽器的地址欄中輸入網址“http://10.10.10.101/certsrv”，打開證書頒發機構（證書服務器）的 Web 注冊頁面，在彈出的“Windows 安全”對話框中輸入憑據的賬戶信息，此處使用“administrator”賬戶，輸入完畢后單擊“確定”按鈕，如圖 8-4-21 所示。
Windows Server 2012 R2 企業級服務器搭建
圖8-4-20 指定證書申請文件名
圖 8-4-21 輸入訪問證書 Web 注冊頁面的憑據
3.申請和下載 Web 服務器證書
任務實現
步驟 7：在證書服務的“歡迎使用”頁面中，單擊“申請證書”鏈接，如圖 8-4-22所示。
步驟 8：在“申請一個證書”頁面中，選擇證書申請類型，單擊“高級證書申請”鏈接，如圖 8-4-23 所示。
Windows Server 2012 R2 企業級服務器搭建
圖 8-4-22 申請證書
圖 8-4-23 選擇證書申請類型
3.申請和下載 Web 服務器證書
任務實現
步驟 9：在“高級證書申請”頁面中，選擇證書申請策略，單擊“使用 base64 編碼的CMC 或 PKCS #10 文件提交一個證書申請，或使用 base64 編碼的 PKCS #7 文件續訂證書申請。”鏈接，如圖 8-4-24 所示。
步驟 10：打開之前的證書申請文件，復制文件的全部內容，如圖 8-4-25 所示。
Windows Server 2012 R2 企業級服務器搭建
圖 8-4-24 選擇證書申請策略
圖 8-4-25 復制證書申請文件內容
3.申請和下載 Web 服務器證書
任務實現
步驟 11：將申請文件中的全部內容粘貼到申請頁面的“Base-64 編碼的證書申請”后的文本框中，選擇證書模板的類型為“Web 服務器”，然后單擊“提交”按鈕，如圖 8-4-26 所示。
Windows Server 2012 R2 企業級服務器搭建
圖 8-4-26 輸入申請文件內容、選擇證書模板類型
Web 服務器證書是用來證明 Web 服務器的身份和進行通信加密的，一般用來實現
Web 服務器的 SSL 訪問，即實現 HTTPS，因此也稱為 SSL 證書。大多數操作系統默認信任根證書機構 VeriSign，該機構也是 Web 服務器證書的主要認證機構。
3.申請和下載 Web 服務器證書
任務實現
步驟 12：在“證書已頒發”頁面中，單擊“下載證書”鏈接，如圖 8-4-27 所示。
步驟 13：在下載方式提示框中，單擊“保存”按鈕，如圖 8-4-28 所示。
步驟 14：打開保存證書的位置后，可看到證書文件 certnew.cer，如圖 8-4-29 所示。
Windows Server 2012 R2 企業級服務器搭建
圖 8-4-27 選擇已頒發證書的處理方式
圖 8-4-29 查看已下載的證書文件
圖 8-4-28 下載方式
4. 完成 Web 服務器證書申請
任務實現
步驟 1：在服務器 S5 的“服務器證書”工作區中，單擊右側的“完成證書申請”操作項，如圖 8-4-30 所示。
步驟 2：在“指定證書頒發機構響應”對話框中的“包含證書頒發機構響應的文件名” 下的文本框中，指定已下載 Web 服務器證書的完整路徑，并在“好記名稱”下的文本框中輸入“s5-web”，然后單擊“確定”按鈕，如圖 8-4-31 所示。
Windows Server 2012 R2 企業級服務器搭建
圖 8-4-30 完成證書申請
圖 8-4-31 指定證書位置
4. 完成 Web 服務器證書申請
任務實現
步驟 3：返回“服務器證書”工作區，可看到該服務器已經獲得了 Web 服務器證書 s5-web，如圖 8-4-32 所示。
Windows Server 2012 R2 企業級服務器搭建
圖 8-4-32 查看 Web 服務器證書
5. 在 Web 站點上綁定證書
任務實現
步驟 1：雙擊需綁定證書的 Web 站點“s5-”選項，然后單擊右側的“綁定” 操作項，修改 Web 站點設置如圖 8-4-33 所示。
步驟 2：在“網站綁定”對話框中，單擊“添加”按鈕，如圖 8-4-34 所示。
Windows Server 2012 R2 企業級服務器搭建
圖 8-4-33 修改 Web 站點設置
圖 8-4-34 設置網站綁定
5. 在 Web 站點上綁定證書
任務實現
步驟 3：在“添加網站綁定”對話框中，添加類型為“https”、對應端口為“443”的綁定條目，選擇 SSL 證書為“s5-web”，然后單擊“確定”按鈕，如圖 8-4-35 所示。
步驟 4：若要禁止該站點的非安全訪問，則可選擇類型為“http”的綁定，然后單擊“刪除”按鈕，如圖 8-4-36 所示。
Windows Server 2012 R2 企業級服務器搭建
圖 8-4-35 添加 https 綁定
圖 8-4-36 刪除 http 綁定
5. 在 Web 站點上綁定證書
任務實現
步驟 5：在刪除提示框中，單擊“是”按鈕，如圖 8-4-37 所示。
步驟 6：返回“網站綁定”對話框后，可看到只有一個 https 綁定，然后單擊“關閉” 按鈕，如圖 8-4-38 所示。
Windows Server 2012 R2 企業級服務器搭建
圖 8-4-37 刪除綁定確認
圖 8-4-38 查看綁定信息
5. 在 Web 站點上綁定證書
任務實現
步驟 7：返回站點工作區后，單擊右側的“重新啟動”操作項，如圖 8-4-39 所示。
Windows Server 2012 R2 企業級服務器搭建
圖 8-4-39 重新啟動站點
6. 測試 HTTPS
任務實現
步驟 1：使用 HTTP 方式訪問網站，出現“無法顯示此頁”提示，如圖 8-4-40 所示。
步驟 2：使用 HTTPS 方式訪問網站，由于訪問的客戶端中并未安裝客戶端證書，因此頁面會出現“此網站的安全證書存在問題。”提示，單擊“繼續瀏覽此網站（不推薦）。”鏈接，如圖 8-4-41 所示。
Windows Server 2012 R2 企業級服務器搭建
圖 8-4-40 使用 HTTP 方式打開頁面
圖 8-4-41 證書提示
5. 在 Web 站點上綁定證書
任務實現
步驟 3：打開后的 HTTPS 頁面如圖 8-4-42 所示，可看到通過證書訪問 Web 站點能正常顯示。
Windows Server 2012 R2 企業級服務器搭建
圖 8-4-42 使用 HTTPS 方式打開頁面
任務小結
本任務以為一個 Web 站點實現 HTTPS 為例，完成了公司內部證書服務體系的構建。首先，需要在一臺服務器中安裝證書服務并配置證書頒發機構；然后，在 Web 服務器上申請證書，獲得申請文件，進而使用 Base-64 編碼的方式申請證書并下載；最后，在 Web 站點上綁定證書并測試 HTTPS。
Windows Server 2012 R2 企業級服務器搭建

展開更多......

收起↑