共有4个练习：

练习1：配置证书模板

练习2：配置自动注册

练习3：管理证书 Revocation

练习4：配置Key Recovery

==========

练习1：

任务1：复制、安装和手动注册一个证书

1. 转到HQDC1.contoso.com服务器，添加AD CS角色。

2. 指定安装类型选择“企业”，指定CA类型选择“根CA”，设置私钥选择“新建私钥”，配置CA名称时指定此CA的公用名称为“ContosoCA”。

3. 打开“管理工具”中的“证书颁发机构”。

4. 在“新模板的属性”对话窗口，修改模板的显示名称、使用者名称、安全等属性。

任务2：配置模板

1. 新建一个“要颁发的证书模板”。

2. 在“启用证书模板”对话窗口，选择在上一任务新建的“Local User”。

任务3：验证证书已更新

1. 打开管理控制台，然后“添加/删除管理单元”。

2. 申请一个新证书。

3. 验证新证书已经更新。如果没有显示出来，请刷新。

任务4：创建、复制、替代证书模板

1. “管理”证书模板。“复制”证书模板。

2. 修改以下属性。

任务5：发布证书模板

1. 颁发

2. 查看

==========

练习2：配置自动注册

任务1：配置为自动注册

1. 打开管理控制台，“添加/删除管理单元”，添加“证书模板”。

2. 确认“在Active Directory中发布证书”。

任务2：配置域的组策略

1. 打开“组策略管理”，编辑默认的组策略。依次展开“用户配置”、“策略”、“Windows设置”、“安全设置”、“公钥策略”。

2. 编辑“证书服务客户端 - 自动注册”。

3. 编辑“证书服务客户端 - 证书注册策略”。

任务3：验证自动注册功能

1. 打开管理控制台，检查证书模板。

=========

练习3：管理证书的吊销

任务1：检查默认的CDP和CRL周期

1. 编辑“吊销的证书”的属性。

任务2：添加角色服务

1. 打开“服务器管理器”。添加角色服务。

任务3：配置AIA

1. 编辑属性

任务4：发布OCSP响应签名模板

1. “管理”证书模板。

2. 发布证书模板。

任务5：配置联机响应

1. 打开“管理工具”中的“联机响应程序管理”。添加吊销配置。

任务6：吊销一个证书

1.  查看颁发的证书。前面的练习已经为Contoso\Administrator申请了一个证书，证书模板为“Contoso Smart Card User”。

2. 吊销这个证书。

3. 查看吊销的证书。

任务7：发布CRL

任务8：确认CRL已经下载

==========

练习4：配置密钥恢复

任务1：删除“CA证书管理程序批准”

1. 打开“证书颁发机构”管理控制台。

2. 检查安全选项卡。确认只有“Domain Admis”和“Enterprise Admis”组才有权限“注册”。

任务2：颁发证书模板

任务3：申请新证书。

任务4：配置存档密钥

任务5：配置私钥存档

任务6：将用户添加到Server Operators组

任务7：验证

1. 以Contoso\ZhangS帐户登录到HQDC2.contoso.com服务器。

2. 打开管理控制台。申请新证书。

3. 检查证书已经显示在列表中。

4. 查看证书的详细信息。并且记下序列号，例如：61 4c 0c 21 00 00 00 00 00 0b 。

5. 在HQDC2服务器上注销，然后以Contoso\Administrator帐户登入。

6. 在命令提示符下面运行以下命令：

C:\Users\administrator.CONTOSO>certutil -getkey "61 4c 0c 21 00 00 00 00 00 0b"
outputblob
正在查询 HQDC1.contoso.com\ContosoCA.....................
正在查询 HQDC2.contoso.com\contoso-HQDC2-CA.....................

"HQDC1.contoso.com\ContosoCA"
  序列号: 614c0c2100000000000b
  使用者: E=zhangs@contoso.com, CN=张三, OU=Employees, OU=User Accounts, DC=contoso, DC=com
  UPN:ZhangS@contoso.com
   NotBefore: 2013/5/25 12:51
   NotAfter: 2014/5/25 12:51
  模板: ArchiveUser, Archive User
  版本: 3
  证书哈希(sha1): f0 e0 30 ad 12 a8 46 30 d4 c9 d3 96 f1 ec b2 c6 ed 11 d3 b7

收件人信息[0]:
CMSG_KEY_TRANS_RECIPIENT(1)
CERT_ID_ISSUER_SERIAL_NUMBER(1)
    序列号: 6134bd75000000000008
    颁发者: CN=ContosoCA, DC=contoso, DC=com
    使用者: CN=Administrator, CN=Users, DC=contoso, DC=com
CertUtil: -GetKey 命令成功完成。

C:\Users\administrator.CONTOSO>

7. 在上一步骤中，将产生一个约6KB的名为“outputblob”的文件。将输出文件转换为 .pfx，用户在需要恢复密钥时可以导入这个文件。运行以下命令：

C:\Users\administrator.CONTOSO>Certutil -recoverkey outputblob zhangs.pfx

计算的哈希: 1b be cb 8c be ad a6 c6 6d 5a 74 06 bb 98 0e ec d7 6e e3 b9

用户证书:
    序列号: 614c0c2100000000000b
    颁发者: CN=ContosoCA, DC=contoso, DC=com
    使用者: E=zhangs@contoso.com, CN=张三, OU=Employees, OU=User Accounts, DC=co
ntoso, DC=com
。。。。