環境:兩部Windows 2003 DC (dc01、dc02) 五大角色在dc01上,但dc01故障,必須強迫轉移五大角色到dc02上 在dc02 操作如下: C:\Program Files\Support Tools>ntdsutil ntdsutil: roles fsmo maintenance: connections server connections: connect to server dc02.example.corp 連結到 dc02.example.corp ... 使用本機登入的使用者認證來連線到 dc02.example.corp。 server connections: quit fsmo maintenance:seize schema master
模擬情形 一網域內有DC01 、DC02兩台 DomainController 五大角色在DC01上,DC02為新機器,欲轉換五大角色到DC02上 操作DC02如下:
先以 netdom query fsmo 指令查看 fsmo在那一台主機上
執行 Active Directory User and Computer
-->在example.corp 上按右鍵,選操作主機 -->轉換RID、PDC、基礎結構
Windows 2003 的CA Server 建置
一.Win 2003 CA Server:名稱為DC22
先裝IIS Web service(全球資訊網服務)
裝好再安裝Certificate Services,此後不能更改CA Server 的電腦名稱
--> 選獨立根CA --> 設定CA的名稱--> 設定憑證資料庫(下一步) -->啟動ASP -->完成
二.Win 2003 Web Server (svr222)申請憑證
網站名稱:www.example.corp
在 IIS選擇要做ssl加密的網站 --> 分頁"目錄安全設定"
點選"伺服器憑證(S)" --> 下一步 --> 選"建立新憑證(C)"
--> 準備要求,但於稍後傳送(P) --> 名稱自定、加密金鑰位元長度選 2048
--> 鍵入公司名稱、單位 --> 網站名稱:一定要是該站FQDN:www.example.corp
--> 地區 --> 存檔 c:\certreq.txt
--> 完成
三.在SVR222上用IE開啟http://dc22/certsvr/ --> 選擇 "要求憑證" --> 進階憑證要求
--> 選"用Base-64 編碼的CMC或PKCS #10檔案來提交憑證要求,或用Base-64 編碼的PKCS#7檔案提交更新要求"
--> 把步聚二的certreq.txt內容貼入"已儲存的要求下欄位"
--> 按提交
四.在CA Server上,執行系統管理工具 --> 憑證授權單位 --> 在擱置要求中 --> 選擇對應的文件
-->右鍵 --> 所有工做 --> 發行
五.回到SVR222 上,執行http://dc22/certsrv/ 選檢視擱置中的憑證要求狀態
--> 點選"已儲存要求的憑證 --> 下載憑證 --> 存檔於:c:\certnew.cer
六.在 IIS選擇要做ssl加密的網站 --> 分頁"目錄安全設定"
--> 點選"伺服器憑證(S)" --> 下一步 --> 處理擱置要求及安裝憑證
--> 鍵入c:\certnew.cer --> 選擇 443 port --> 完成
七.在 IIS選擇要做ssl加密的網站 --> 分頁"目錄安全設定"
--> 編輯 --> 將"必須使用安全通道"打勾 --> 完成
八.測試
找一台XP(client) -->IE -->打http://www.example.corp 會出現必須使用安全通道的訊息
打入https://www.example.corp會出現安全性警訊:這個安全性憑是由您尚未信任的公司所發出。
請查閱憑證來決定您是否信憑證授權單位。
原因是CA Server是自己建立的,此XP不認識
解決:在XP上打http://dc22/certsrv/ ,選"下載CA 憑證、憑證鏈結或CRL" --> 點選"下載CA憑證"
安裝後即正常
--MS SQL Server 在安裝後,若要改變Server Name ,必須做以下處理,否則會不正常 --01 檢查電腦名字 SELECT @@SERVERNAME --02 EXEC sp_dropserver 'W2K3_01原先的名稱' --03 EXEC sp_addserver '正確的伺服器名稱',@local = 'local' --04 重新啟動MS SQL Server --05 檢查電腦名字 SELECT @@SERVERNAME --改了MSSQL 的Server Name ,記得做上面的處理
配合NFS Server 的share folder使用… 備份指令 dd if=/dev/sda of=/mnt/sharedisk/hddbackup.img 還原指令 dd if=/mnt/sharedisk/hddbackup.img of=/dev/sda
echo "cat /etc/issue ================================================" >>info.log
cat /etc/issus >>info.log
HTTP OVER SSL :
☆https是走對稱式加密還是非對稱式加密?
https 的連線結構:
1.client 對server提出https請求
2.Server 端會丟出 public key
3.client 端會以亂數產生session key,接著用Server 端的public key把
session key加密,再丟回Server端
4.此時Server 端可拿到被public key 加密的session key(是session key 沒錯吧?)
再來Server 端用private key 解開
5.此時,client 與server 端擁有相同的東西(session key)
6.再來的資料透過session key 做對稱式加密
註:現在IE支援加密長度128 (128除以8等於56 byte,session key 的長度)
https 結構漏洞:
Client 請求web連線(例:web bank:Qoo .IP:1.2.3.4)
1.第一步向DNS詢問Web 位置,
2.DNS回應web 的IP
3.client 向web 提出https連線
4.Qoo回應client 的請求。
入侵:
5.而cracker 建立一部與Qoo相似的web 網站,
6.cracker 入侵DNS,把Qoo的IP改為5.6.7.8
7.此時不知情的user 因此連線到IP:5.6.7.8,輸入了ID、Password
(此時帳號密碼被抓走)
8.cracker 再連線到 net bank(Qoo) ,即獲得user 的資源
因此 CA (Certificate Authorities 產生了
CA擁有兩項能力:
一:公信力(看不見、摸不著)
二:public key 、private key 也是看不見,摸不著
(應該說是憑證,而不是public key)
CA如何處理憑證申請書?
1.製作憑證申請書(內容包含User Information、user public key、user private key)
1.把憑證申請書交由CA處理(內容包含User Information、User public key)
2.把CA的資訊放入,代表那一家CA處理
3.放入有效期限(收費用)
4.再來CA把 "User information 、Public key 、CA Information 、Begin-End (有效期限)"
這四項資訊抓出來,
過過MD5 或 SHA或SHA1任選一種雜湊演算法,做出finger printer
5.但到此時,還是不安全,因此,CA會拿出他的Private key ,把finger printer 加密起來,
當完成這些事項後,它不再是憑證申請書,而是數位憑證
.
而一般小公司架設Web server ,又希望有https 的環境,可用自己架的linux 當CA Server ,
1.首先幫 WEB Server 產生憑證申請書(內容包含User information 、User 的Public key 、
同時也會產生Private key)
cd /usr/share/ssl/misc
./CA -newreq (enter)
出現
writing new private key to 'newreq.pem'
Enter PEM pass phrase: 12345
Verifying - Enter PEM pass phrase:12345
在此結構有可能的問題,若private key 被偷,則小偷可解開資料,因此要先給private key 加上對稱式加密
再來輸入國別(一定要大寫),國家、城市、公司行號、部門
再來的CN最重要(Common Name (eg,your name or your server's hostname:))
一定要輸入Server 的URL(若與Web Server 的URL不相等,則憑證使用上會有警告訊息,
輸入管理者的email,再來按兩次enter 即可
時此,產生newreq.pem
前十八行是private key
後十二行是憑證申請書
請把他分離,但憑證申請書名字一定要是"newreq.pem"
再來先把private key名字定為private_key.pem
再來把憑證送交CA 即可
產生 Root CA的方法
cd /usr/share/ssl/misc/
執行./CA -newca (enter)
使用預設名稱(enter)
加密private key
(不可忘記此password ,否則無法簽發憑證,除非重新產生Root CA
再來輸入CA的資訊
不要輸入你網站的資訊,這是簽發憑證中心,產生Root CA
Root CA憑證位置:
/usr/share/ssl/misc/demoCA/
Root CA 的private key:
/usr/share/ssl/misc/demoCA/private
再來憑證申請書放到
CA SERVER的 /usr/share/ssl/misc/之下
Root CA 執行簽章
./CA -sign (enter)
輸入CA Server 的private key 密碼
按兩次enter
產生了憑證(newcert.pem)
此時憑證申請書可以丟了
而如何證實數位憑證是否被竄改
方法:
當拿到馮證後,把這四項資訊抓出來(User Info 、public key 、CA info 、Begin -end ),
然後針對這四頁資訊透過MD5 or SHA or SHA1做雜湊運算,就可得到finger printer (這是立即運算出來的),
再來,數位憑證是CA用private key 加密的,除非拿到CA的Private key ,才有辦法偽造
(但CA的private key 是不可能拿的到的)
如果能拿到CA的public key 就可以解開數位憑證,得到finger printer,
各大作業系統的瀏覽器中有CA的憑證(憑證中有public key),如此就能比對finger printer 了
再來是應用了:
把產生出來的憑證與private key 複製到 web server 的 /etc/httpd/conf/ssl.crt/之下
key 與憑證檔名自訂:(newcert.pem、private_key.pem)
在httpd.conf
最後加入:
<NameVirtualHost *:443>
<VirtualHost *:443>
SSLEngine on
SSLCertificateFile conf/ssl.crt/newcert.pem
SSLCertificateKeyFile conf/ssl.crt/private_key.pem
DocumentRoot /var/www/html_2 (home folder)
ErrorLog logs/errorlog-error_log
CoustomLog logs/errorlog-access_log common
</VirtualHost>
註:httpd的VirtualHost 分為name base 與ip base ,但
HTTP OVER SSL一定要用IP Base的)
service httpd reset
後輸入private key 的 密碼就ok了
如果不想每次restart 要輸入private key 密碼的話:
拿掉private key 的密碼:
openssl rsa -in private_key.pem -out private_key_ok.pem
如果不想建Root CA的話…
就讓web server 自己當Root CA,自己對自己授權:
cd /usr/share/ssl/certs/
make newcert.prm
把newcert.pem 拿到/etc/httpd/conf/ssl.crt/下用(這樣的話,private key 就沒密碼了
