实验：VMware上 Windows 数字证书制作与HTTPS部署

大家吼啊，这篇文章才是真正意义上今天写的，前两篇算是库存了哈哈哈

这个实验分为证书的签发和网站的部署两大部分。包含了网络基础设施的配置、 DNS 服务的安装配置、IIS 服务的安装和配置，WEB 搭建以及AD证书服务（AD CS）的安装和配置。

由于涉及的部分比较多，所以看着内容和步骤会有点多，但其实很多都是傻瓜式过程，很多默认选项，我会把每个过程详细地展现出来，通过这个实验的学习，相信大家能够同时掌握 DNS 和 IIS 的安装配置以及网站搭建的操作！相信自己相信我！

下面就正式开始实验噜！

---

实验环境

虚拟机：VMware Workstation Pro 16

服务器：Windows Server 2019

IP 地址：192.168.10.10（根据所选网卡所在的网段进行手动配置）

实验须知

该实验我们的主机既是 DNS 服务器，也是Web 服务器

服务器则需要我们配置静态的 IP 地址

注意点：IIS 服务配置好后，要检查一下默认网站（Default Web Site）不能停止不能删除，必须在运行状态。

 实验步骤

1.检查网络配置情况

       首先我们要提前查看虚拟机网卡，我这里是VMnet1，大家可以任意选，但是要保证选择仅主机模式（可以避免外网的干扰），并且要关闭网卡自带的 DHCP 服务（这在我的另一篇文章中讲过）。

       然后我们查看VMnet1处于哪个网段，以我的为例：192.168.10.10/24，之后配置 IP 地址就以此为参考。

2.配置静态IP 地址 

       打开主机配置静态 IP，步骤为打开“控制面板”-->选择“网络和Internet”-->选择“网络和共享中心”-->点击“更改适配器设置”，然后如图所示步骤操作即可（查看和配置 IP 地址的步骤之后不再详述）。

       进行手动配置，IP 地址我配置为192.168.10.10，该实验与网关无关，不需要配置。

DNS 地址配置为127.0.0.1，修改完后一定要把所有的”确定“都点完！以保证修改成功。

127.0.0.1为本地回环地址，因为这个实验我们需要在本机上搭建 WEB 网站，而同时这台主机本身也充当了 DNS 服务器，所以 DNS 地址指向自己即可，所以这里也可以写自己的 IP 地址，以我为例就是192.168.10.10。

但是我们还是要确认一下看看是否成功修改信息，如图示步骤可以查看网络配置信息。

也可以用另一种方法查看：打开命令行（Win + R --> "cmd"），输入”ipconfig“口令。

    ipconfig

3.安装 DNS 服务 

接下来我们需要打开”服务管理器“

因为之前做了AD DC的降级和删除实验，所以我的桌面空空如也，不给大家展示了，就口述一下吧

大家可以通过右击“此电脑”或“计算机”，选择“管理”来打开服务管理器 。

然后进行以下操作打开添加角色和功能向导。

老规矩，向导页面没有截图说明可以直接“下一页”，后续不再讲啦！

一直“下一页”直至安装。

这样 DNS 服务就安装好了，我们开始配置。

首先是新建正向查找区域，即我们可以通过域名来查找到对应的 IP 地址。

打开 DNS 管理器，步骤如图：

右击本地主机下的“正向查找区域”，点击“新建区域”

选择“主要区域”

辅助区域相当于一个备份，这里我们做主要区域。

区域名称格式为www.domain.com，此处domain就是大家可以发挥的域名。我这里是www.gu.com

这里选择“不允许动态更新”，因为动态更新是不安全的。

“下一页”直至“完成”

接下来在查找区域中新建主机，步骤如下：

名称可以空下，IP 地址写 DNS 服务器（即本地主机）的 IP 。

新建成功后，我们检查一下是否能够解析成功。打开命令行输入命令，出现如图所示，即正向解析成功。

# nslookup  域名
nslookup www.gu.com

接着，我们创建反向查找区域。具体步骤和正向其实差不多。

和正向一样，一直点击“下一页”，到这里，我们输入网络号，即前24位。

之后也和正向一样，一直“下一页”直到“完成”。

新建指针，用来指向我们上面建好的主机，这样的话正反向就都通了，就是说通过域名可以找到 IP 地址，通过 IP 地址也可以找到对应的域名。

这个页面我们需要将主机号补齐，以我的为例就是.10，点击“浏览”定位我们之前建好的主机。

一直点击目录，直至点完图中的主机（A），可以发现，该路径就是管理器左侧列表目录的顺序。

选择到底后，就会如图所示，点“确定”，指针就建好了。

我们再次测试一下，出现图上所示情况及证明反向解析成功。

# nslookup  IP地址
nslookup 192.168.10.10

4.安装 WEB 服务

安装 WEB 服务其实和安装 DNS 服务大差不差，大家跟着我给的步骤就好了。

这里选择 Web 服务器（IIS）。

“角色服务”页面要将“安全性”下的所有服务都勾上，然后下拉，找到“应用程序开发”，按照图片勾选服务。

“下一页”至“安装”完成。

5.创建网站 ，测试 http://www.gu.com

现在我们就要开始创建网站了，打开 IIS管理器。

打开目录，找到“网站”，右击，点击“添加网站”

 网站名称随意，这个名称只是用来显示在管理器左侧目录里供我们查看，叫什么都不影响，大家可以直接写成自己的域名“www.domain.com”，这样会更方便，不容易混淆。

物理路径的选择，我建议选择 D 盘，因为桌面是属于某个用户的，其他用户登录该主机可能无法查看桌面文件，而 D 盘是公共的。我们在 D 盘下新建一个文件夹，名字也无所谓。这个文件夹就用于存放我们之后会建立的网页文件。

然后绑定http协议（这里还没有涉及到证书，所以暂时先绑定http），端口号 80，主机名就写我们的域名。

下一步是新建文档，我们先到这个网站的默认文档里查看，默认文档中的文件名是我们可以使用的文件名，其他名字皆无效，这个文件就存放在刚刚新建的文件夹下。

我们任选一个名字作为我们即将创建的文件名，这里我选择index.html

 我根据刚刚选择的物理路径打开文件夹“gu”，在里面新建“index.txt”，然后编辑文本，这个文本将成为 HTML 文件，用来显示在浏览器网页上。

保存编辑好的文件，将文件后缀名改为.html

默认文档对你的文件名（不仅是文件类型）是有约束的！文件名必须和默认文档中某一个文件名字完全相同。

默认文档中位置越靠上的文件优先级越高，也就是说如果文件夹下存在 index.htm 和 index.html 两个文件，网页会选择优先打开前者（ index.htm ）。

 这个时候，我们可以尝试通过域名打开网站了，测试操作如图所示，网页页面成功打开。

这一步操作我们给该网站绑定 IP 地址，使网站可以通过输入 IP 地址打开。

这里我们不要填主机名！只填 IP 地址！

测试，网页成功打开。Web 网站就算搭建完成了！

6.安装AD证书服务

再一次安装服务，哈哈大家不要失去耐心，人生嘛，就是一次又一次的重复...

向导前面的部分都同上！

一直“下一页”，这里选择“证书颁发机构”和“证书颁发机构 Web 注册”。

点击“安装”则完成安装步骤。

7.配置AD证书服务

安装完成后，服务管理器右上角的小旗子会有一个黄色警示符，点击，选择“配置目标服务器上的AD证书服务”。

之后的每个页面我都截出来了，大家按照图片继续就好了，没有什么需要特殊说明的，基本都是默认选项，直接点击“下一页”。

配置完成则出现以下页面：

8.服务器证书申请

现在我们再次打开 IIS 管理器，选择本地主机Local Host（注意，不是选我们刚刚创建的网站），然后点击“服务器证书”。

如图操作即可。

这里的名称其实随便写什么都可以，我为了方便观察写了主机名，由于我们在虚拟机里做实验，下面的信息也都可以随便写，这些不是重点。

默认选项，不用管，下一步即可。

这里需要我们找到一个位置存放证书申请（CSR），我选在了“下载”里，按照图中所示在此路径下新建一个文件csr.txt（文件名随意）。

下载完成后，我们打开该路径即可看到这个文件，打开后如下图所示，注意不要改动这个文件！

9.打开浏览器访问，申请证书

打开浏览器，输入 URL 127.0.0.1/certsrv 就可以打开这个页面。

注意这里能成功打开的前提是默认网站（Default Web Site）不能停止不能删除，必须在运行状态。如果默认网站被删除或如下图所示已停止，则会出现错误。解决方法就是点击“启动”。

 

这种情况下，通过回环地址搜索页面会报 404 。

 

通过本地主机 IP 搜索会报 403 .

按照步骤继续。

这里打开之前的CSR文件，将内容全部一字不差的 copy 到这个文本框里，点击“提交”。

耐心等待~出现这个页面则已成功提交证书申请。

10.颁发证书

加油！实验马上结束！

打开“服务管理器”，选择“证书颁发机构”，点击“挂起的申请”，右击我们刚提交的申请，点“所有任务”，点“颁发”。在这里我们可以看到这个申请的详细信息，正是我们刚刚填写的信息。

等待，刷新就能看到刚刚的申请已经从“挂起的申请”转移到“颁发的证书”里了。

11.下载证书

再次打开证书服务网页（输入 URL ），按照图中所示操作

点击“下载证书”，点击下方的“保存”，接着点“打开文件夹”

这样我们就在文件夹中看到了这个证书，到这里，我们就成功获取证书了。

12.WEB服务器证书申请

这一步是要将证书绑定到我们的 WEB 网站上。

还是打开 IIS 管理器，点击本地主机，选择“服务器证书”

如图所示操作

这里的路径就是上一步证书所下载的位置，名称也是按照自己的心意取一个。

这样就下载完成了！

13.发布网站

终于终于到最后一步啦！

最后需要绑定 https 协议了，点击我们搭建的网站，点击“绑定”

选择协议类型为 https，这里端口号应该会自动更改为 443，主机名写我们的主机名（写对写对写对！），SSL 证书选择刚刚绑定的证书，名字就是我们自己取得“好记”名称。

最后打开浏览器，成功！URL 也可以看到成功变为 https 协议。

---

啊啊啊终于写完了，因为今天做作业所以开始的有点晚了，但是不想把今天的事拖到明天，否则明天的是有要做不完，所以还是熬夜把这篇肝完了TT 但是还是蛮有成就感的，这个实验是今天下午我边做边写的，过程中没有遇到问题，感觉只是看着吓人，其实细心一点还是很好做的，写到这里脑子已经不清楚了，有什么问题请指正哦~希望能够帮助到大家吧！一起加油！

感谢阅读 bye~~~