menu Alkaid #二进制初学者 / 网络安全 / 大龄CTF退役选手
暑期网工实训第三天——根本不可能成功的DHCP和传说中的HTTPS
276 浏览 | 2018-07-11 | 分类:心路历程,网络运维 | 标签:网络工程

DHCP服务器的搭建、配置与管理

一、 实验目的
(1) 了解TCP/IP网络中IP地址的分配方式及特点
(2) 熟悉DHCP的工作原理
(3) 熟悉DHCP中IP地址的租用方式
(4) 掌握Windows Server 2003中 DHCP 服务器的安装和配置方法
二、 实验环境
(1) 运行Windows Server 2003 服务器(1台)
(2) 测试用PC(至少2台)

三、实验内容:

(一)DHCP服务器的安装与配置

(1) DHCP指的是由服务器控制一段IP地址范围,是为其它计算机提供配置信息的服务器,提供的信息包括:IP地址、子网掩码、默认网关、DNS服务器地址等。客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。

 

(2)DHCP服务器的IP规划:选择一个IP地址区段作为本DHCP服务器的地址池,请填写下面的表格:(现在的内容是个例子,请根据情况进行修改,其中默认网关和DNS服务器地址都是假设的值。)

本机IP地址

子网掩码

默认网关
作用域

名称
分配的IP地址范围和子网掩码 排除的IP地址范围 租约期限 默认网关 DNS服务器地址
192.168.10.10 255.255.255.0

192.168.10.1
student.com 192.168.10.1~192.168.10.254
子网掩码255.255.255.0
192.168.10.10~192.168.10.50 2天 192.168.10.1 192.168.10.10

(3)在要担任DHCP服务器的计算机上按照预先规划的设置静态IP地址、子网掩码、默认网关等内容。

(4)安装与配置DHCP服务器

默认情况下,DHCP作为Windows Server 2003的一个服务组件不会被系统自动安装,必须把它添加进来。

参照课本P90安装DHCP的步骤进行DHCP服务器的安装与配置,注意在安装的时候如果出现插入Windows Server 2003安装光盘时,选择D盘下的I386文件夹进行DHCP服务组件的安装,安装与配置的过程中出现的作用域名称、IP地址范围、子网掩码、排除的IP地址范围、租约期限、默认网关、DNS服务器地址等信息都按照事先所规划的信息进行设置。其中,WINS服务器的IP地址不用设置,父域名称可输入作用域名称或者不填写。

(5)DHCP服务器的授权

如果是在Active Directory(活动目录)域中部署DHCP服务器,还需要进行授权才能使DHCP服务器生效。如果是基于工作组管理模式,则无需进行授权操作即可进行创建IP作用域的操作。

对DHCP服务器授权操作的过程如下:

依次点击“开始→程序→管理工具→DHCP”,打开DHCP控制台窗口。

在控制台窗口中,用鼠标左键点击选中服务器名,然后单击右键,在快捷菜单中选中“授权”,此时需要几分钟的等待时间。注意:如果系统长时间没有反应,可以按F5键或选择菜单工具中的“操作”下的“刷新”进行屏幕刷新,或先关闭DHCP控制台,在服务器名上用鼠标右键点击。如果快捷菜单中的“授权”已经变为“撤消授权”,则表示对DHCP服务器授权成功。此时,最明显的标记是服务器名前面红色向下的箭头变成了绿色向上的箭头。这样,这台被授权的DHCP服务器就有分配IP的权利了。

(6)配置保留:保留用于给指定的客户机分配固定的IP地址。

用“ipconfig/all”查看指定的客户机的MAC地址,方法为通过“开始”—“运行”,输入cmd进入命令窗口,输入命令“ipconfig/all”。

在DHCP服务器上为该客户机配置保留,使它能从DHCP服务器上获取固定的IP地址。

(7)测试DHCP服务器:

进入自己机器虚拟机的Windows Server 2003系统,进行自动获取IP地址的测试。

通过“开始”—“运行”,输入cmd进入命令窗口,输入命令“ipconfig/all”,查看客户机能否从DHCP服务器上获得IP地址。(说明:由于客户机是用广播方式向DHCP服务器发出请求的,当网络中有多台DHCP服务器时,客户机可能从任一台DHCP服务器上获取配置信息。)

如果要释放自动获得的IP地址,可以通过“开始”—“运行”,输入cmd进入命令窗口,输入ipconfig/release释放IP。

如果想再重新自动获得IP地址,可以通过“开始”—“运行”,输入cmd进入命令窗口,输入ipconfig/renew重新获得IP地址。

(二)结束实验:

(1) 停用DHCP服务器;

(2) 卸载DHCP服务器。

 

HTTPS服务器搭建:

一:安装Windows 2003的证书服务。
1:暂停IIS,依次打开“控制面板”-“添加/删除程序”-“windows组件”,如下图:系统会提示安装完“证书服务”不能再更改计算机名或域成员身份,我们单击‘’是‘’。

2:选择CA的类型,选择独立根CA。
3:输入CA的识别信息。

 

4:单击“下一步”,生成密钥。
5:配置证书数据库的存放位置,我采用默认值就可以了,如下图:
6:单击“下一步”系统完成“证书服务”的安装。
二、SSL HTTP配置:
1:打开IIS管理器,右键单击“默认网站”,在弹出的快捷菜单中单击“属性”,在“默认网站”属性的“目录安全性”选项卡中,单击“服务器证书”按钮:

 

根据证书向导来建立和安装证书,第一步,选择“新建证书”如下图:

 

2:单击“下一步”,在这一步骤中默认的选项为是第一项。
3:单击“下一步”,在这步骤中,为新建的证书起一个名字。
4:单击“下一步”,为新建的证书设置“单位”和“部门”名称。
5:单击“下一步”,这一步骤中为新建的证设置一个公用的名称。
6:单击“下一步”,这一步设置地理信息。所在国家、省份和城市。
7:单击“下一步”,这一步输入证书请求的文件和选择保存的位置。按默认值保存的文件名是:certreq.txt,保存在c盘根目录下。
8:单击“下一步”,在这时显示证书摘要信息。然后单击“下一步”,再单击“完成”。
9:打开IE浏览器,在地址栏里输入:http://ip/certsrv,打开如下的页面:
10:在“选择一个任务”下面单击“申请一个证书”的链接,开始申请证书。

11:在打开的如下图的页面上,单击“高级证书申请”。
12:在“高级证书申请”的页面上单击第二个链接:"使用base64编码..",如下图:

 

13:浏览进刚才生成的certreq.txt文件。然后提交,如下图:

 

14:系统生成证书,不过此进证书被挂起,等管理员颁发,打开“证书颁发机构”,单击“挂起的申请”,我们可以看到刚才申请的证书

15:“颁发证书”。,右键单击刚才申请的证书,在快捷菜单中选择“所有任务”然后单击“颁发”。
16:此时我们就可以在“颁发的证书”中看到刚才颁发的证书,如下图:
17:在“颁发的证书”中双击刚才申请的证书,打开证书对话框,单击“详细信息“选项卡。然后单击“复制到文件..”按钮,导出证书。按默认值,就可以。如下图:

 

18:为导出的证书分配一个名称和位置。我们证保存c盘根目录下。名字为aa.cer

19:在“默认网站”属性的“目录安全性”选项卡中,单击“服务器证书”按钮,提示存在挂起的证书。
20:单击“下一步”,在这一步骤里询问对挂起的证书请求,如何处理。在这里选“处理挂起的请求并安装证书。
21:在这一步里,要求输入证书的名字和路径,c:\aa.cer
22:这一步,配置SSL端口,默认值:443。一般无需更改。
23:这一步骤列出证书的详细信息。单击“下一步”开始安装证书。这样,我们的IIS支持SSL,客户端与服务器可以安装传输数据了。在IE浏览器地址栏输入https://ip,打开网页时,会弹出一个如下和对话框,单击“是”按钮继续。

 

HTTPS网站的架设方法:
Kevin Zu 200905

服务器端:
=========

1、建立IIS服务器;

2、建立CA服务器;

3、生成证书申请:在IIS服务器上-->目录安全性-->服务器证书-->向导生成证书申请(certreq.txt注意网站“公用名称”,一般为DNS或NetBIOS名,即用户在浏览您的站点时键入的名称);

4、提交证书申请:IIS服务器上-->IE-->CA网页-->申请一个证书-->高级证书申请-->使用 base64 编码的...-->导入certreq.txt内容-->证书模板:WEB服务器-->提交;

5、颁发证书:CA服务器上-->“证书颁发机构”-->颁发证书(自动颁发则直接下载即可,略过);

6、取得证书:CA服务器上-->“证书颁发机构”-->“颁发的证书”-->双击相关证书-->复制到文件(自动颁发则直接下载即可,也可在此取得证书);

7、安装证书:在IIS服务器上-->目录安全性-->服务器证书-->安装导入(BASE64)

8、配置SSL访问:在IIS服务器上-->目录安全性-->编辑-->要求安全通道SSL

9、Enjoy

客户端:
=======

客户端浏览:客户端-->IE-->CA网页---“下载一个CA 证书,证书链或CRL”-->“安装此CA证书路径”(或“下载CA证书”然后安装到受信任的根证书颁发机构)

总结:
======

"CA服务器根证书"
= "安装此 CA 证书路径" (ca网站上:下载一个 CA 证书,证书链或 CRL->安装此 CA 证书路径)
= "下载 CA 证书" (ca网站上:下载一个 CA 证书,证书链或 CRL->下载 CA 证书)

安装了"CA服务器根证书"后,访问SSL网站不用安装由它颁发的证书就可以直接访问了,且不会提示证书问题。安装颁发的子证书而不安装根证书是无效的

客户端自动选择保存证书位置,则证书会被保存在当前用户下,即注册表中

如果要把证书保存在计算机中(非用户下),在选择存储位置时选择“显示物理存储区”,即可选择本机计算机(或Local Computer)

 

温柔正确的人总是难以生存,因为这世界既不温柔,也不正确

发表评论

email
web

全部评论 (暂无评论)

info 还没有任何评论,你来说两句呐!