Windows Server 2003CA_證書服務(wù)器配置

1、Windows CA 證書服務(wù)器配置(一) Microsoft 證書服務(wù)安裝安裝準(zhǔn)備：插入Windows Server 2003 系統(tǒng)安裝光盤添加IIS組件：點(diǎn)擊確定，安裝完畢后，查看IIS管理器，如下：添加證書服務(wù)組件：如果您的機(jī)器沒有安裝活動(dòng)目錄，在勾選以上證書服務(wù)時(shí)，將彈出如下窗口：由于我們將要安裝的是獨(dú)立CA，所以不需要安裝活動(dòng)目錄，點(diǎn)擊是，窗口跳向如下：默認(rèn)情況下，用自定義設(shè)置生成密鑰對(duì)和CA證書沒有勾選，我們勾選之后點(diǎn)擊下一步可以進(jìn)行密鑰算法的選擇：Microsoft 證書服務(wù)的默認(rèn)CSP為：Microsoft Strong Cryptographic Provider，默認(rèn)散列算

2、法：SHA-1，密鑰長(zhǎng)度：2048您可以根據(jù)需要做相應(yīng)的選擇，這里我們使用默認(rèn)。點(diǎn)擊下一步：填寫CA的公用名稱（以AAAAA為例），其他信息（如郵件、單位、部門等）可在可分辨名稱后綴中添加，有效期限默認(rèn)為5年（可根據(jù)需要作相應(yīng)改動(dòng)，此處默認(rèn)）。點(diǎn)擊下一步：點(diǎn)擊下一步進(jìn)入組件的安裝，安裝過程中可能彈出如下窗口：?jiǎn)螕羰?，繼續(xù)安裝，可能再彈出如下窗口：由于安裝證書服務(wù)的時(shí)候系統(tǒng)會(huì)自動(dòng)在IIS中（這也是為什么必須先安裝IIS的原因）添加證書申請(qǐng)服務(wù)，該服務(wù)系統(tǒng)用ASP寫就，所以必須為IIS啟用ASP功能，點(diǎn)擊是繼續(xù)安裝：完成證書服務(wù)的安裝。開始 管理工具 證書頒發(fā)機(jī)構(gòu)，打開如下窗口：我們已經(jīng)為服務(wù)器成

3、功配置完公用名為AAAAA的獨(dú)立根CA，Web服務(wù)器和客戶端可以通過訪問該服務(wù)器的IIS證書申請(qǐng)服務(wù)申請(qǐng)相關(guān)證書。此時(shí)該服務(wù)器（CA）的IIS下多出以下幾項(xiàng)：我們可以通過在瀏覽器中輸入以下網(wǎng)址進(jìn)行數(shù)字證書的申請(qǐng)：http:/hostname/certsrv或http:/hostip/certsrv申請(qǐng)界面如下：Windows CA 證書服務(wù)器配置(二) 申請(qǐng)數(shù)字證書在IE地址欄中輸入證書服務(wù)系統(tǒng)的地址，進(jìn)入服務(wù)主頁：點(diǎn)擊申請(qǐng)一個(gè)證書進(jìn)入申請(qǐng)頁面：如果證書用作客戶端身份認(rèn)證，則可點(diǎn)擊Web瀏覽器證書或高級(jí)證書申請(qǐng)，一般用戶申請(qǐng)Web瀏覽器證書即可，高級(jí)證書申請(qǐng)里有更多選項(xiàng)，也就有很多專業(yè)術(shù)語，高

4、級(jí)用戶也可點(diǎn)擊進(jìn)入進(jìn)行申請(qǐng)。這里我們以點(diǎn)擊申請(qǐng)Web瀏覽器證書為例：申請(qǐng)Web瀏覽器證書，姓名是必填項(xiàng)，其他項(xiàng)目可不填，但由于CA服務(wù)器的管理員是根據(jù)申請(qǐng)人的詳細(xì)信息決定是否頒發(fā)的，所以請(qǐng)盡量多填，并且填寫真實(shí)信息，因?yàn)镃A管理員會(huì)驗(yàn)證申請(qǐng)人的真實(shí)信息，然后進(jìn)行頒發(fā)。需注意的一點(diǎn)是，國(guó)家（地區(qū)）需用國(guó)際代碼填寫，CN代表中國(guó)。如果想查看更多選項(xiàng)，請(qǐng)點(diǎn)擊更多選項(xiàng)：在更多選項(xiàng)里，默認(rèn)的CSP為Microsoft Enhanced Cryptographic Provider v1.0，選擇其他CSP不會(huì)對(duì)認(rèn)證產(chǎn)生影響。默認(rèn)情況下啟用強(qiáng)私鑰保護(hù)并沒有勾選上，建議將它勾選上，點(diǎn)擊提交后就會(huì)讓申請(qǐng)人設(shè)置

5、證書的安全級(jí)別，如果不將安全級(jí)別設(shè)置為高級(jí)并用口令進(jìn)行保護(hù)，則只要機(jī)器上裝有該證書，任何人都可以用它作為認(rèn)證，所以建議將證書設(shè)置為高級(jí)安全級(jí)別，用口令進(jìn)行保護(hù)。以下將作相應(yīng)操作，點(diǎn)擊提交：?jiǎn)螕羰牵簡(jiǎn)螕粼O(shè)置安全級(jí)別：將安全級(jí)別設(shè)置為高，單擊下一步后會(huì)彈出口令設(shè)置窗口：輸入口令，對(duì)證書進(jìn)行加密，并記住密碼，因?yàn)樵谝院笳{(diào)用該證書的時(shí)候，瀏覽器會(huì)彈出輸入密碼的窗口。單擊完成：?jiǎn)螕舸_定，瀏覽器頁面跳向如下：到這一步，申請(qǐng)人已經(jīng)向CA服務(wù)器發(fā)送證書信息，并等待CA管理員對(duì)其進(jìn)行核對(duì)，然后決定是否要頒發(fā)，如果CA管理員核對(duì)信息后決定頒發(fā)此證書，則申請(qǐng)人在其頒發(fā)之后再次訪問該系統(tǒng)：點(diǎn)擊查看掛起的證書申請(qǐng)狀態(tài)：

6、該頁面證明CA管理員已經(jīng)頒發(fā)了申請(qǐng)人的證書，點(diǎn)擊進(jìn)入證書安裝頁面：點(diǎn)擊安裝此證書：您應(yīng)該已經(jīng)信任CA機(jī)構(gòu)，所以請(qǐng)單擊是：您已經(jīng)成功安裝數(shù)字證書。如果要找回您剛才安裝的數(shù)字證書，請(qǐng)單擊瀏覽器上的：工具 Internet選項(xiàng) 內(nèi)容 證書，彈出如下窗口：此時(shí)您已經(jīng)發(fā)現(xiàn)，在證書個(gè)人存儲(chǔ)區(qū)內(nèi)已經(jīng)安裝了您剛剛申請(qǐng)并成功安裝的證書。單擊查看：這就是您的數(shù)字證書了。Windows CA 證書服務(wù)器配置(三) CA 證書頒發(fā)開始 管理工具 證書頒發(fā)機(jī)構(gòu)：在掛起的申請(qǐng)里已經(jīng)存在申請(qǐng)掛起等待頒發(fā)的證書（如圖ID=2）。右鍵點(diǎn)擊掛起的證書 所有任務(wù) 頒發(fā)：剛才的掛起證書已經(jīng)存入頒發(fā)的證書存儲(chǔ)區(qū)。此時(shí)，申請(qǐng)人若在登陸證

7、書申請(qǐng)系統(tǒng)，并查看掛起，就會(huì)獲取相應(yīng)的證書。Windows CA 證書服務(wù)器配置（四） Web 服務(wù)器配置（1）安裝好IIS，并將其打開（這里用默認(rèn)網(wǎng)站為例）右鍵點(diǎn)擊默認(rèn)網(wǎng)站 屬性：選擇目錄安全性選項(xiàng)卡：圖中查看證書為灰色不可用，說明我們還未為默認(rèn)網(wǎng)站配置數(shù)字證書。單擊服務(wù)器證書，彈出如下窗口：?jiǎn)螕粝乱徊剑河捎谥安榕渲眠^數(shù)字證書，所以應(yīng)選擇新建證書。如果以前配置過數(shù)字證書，并且數(shù)字證書仍然可用，則選擇分配現(xiàn)有證書即可。單擊下一步：?jiǎn)螕粝乱徊剑好Q可以根據(jù)需要更改，不影響證書的使用。位長(zhǎng)默認(rèn)為1024，一般已經(jīng)足夠安全，數(shù)值越大就越安全，但是數(shù)值越大系統(tǒng)的處理速度就會(huì)越慢。直接單擊下一步：?jiǎn)?/p>

8、位、部門請(qǐng)?zhí)顚懻鎸?shí)并能夠被證實(shí)的信息，因?yàn)镃A管理員會(huì)根據(jù)這些信息進(jìn)行審核。單擊下一步：這一步很關(guān)鍵。公用名稱不能隨便更改，只能是該網(wǎng)站的DNS，如果尚未申請(qǐng)DNS則可以用IP地址代替。默認(rèn)情況下是服務(wù)器的計(jì)算機(jī)名，但這種情況只適合于企業(yè)機(jī)構(gòu)（AD管理），我們要配置的是獨(dú)立機(jī)構(gòu)，所以公用名只能是DNS或IP地址。單擊下一步：這些信息也將是CA管理員的審核對(duì)象。單擊下一步：至此，數(shù)字證書的信息已經(jīng)填寫完畢，這一步將這些信息以Base64編碼的形式保存在本地，Web管理員可以用編碼到CA證書申請(qǐng)系統(tǒng)進(jìn)行證書的申請(qǐng)。單擊下一步：以上就是數(shù)字證書的本地信息，CA管理員將對(duì)其進(jìn)行審核，并決定是否頒發(fā)。單

9、擊下一步：?jiǎn)螕敉瓿山酉聛砭褪堑紺A的證書申請(qǐng)系統(tǒng)申請(qǐng)服務(wù)器驗(yàn)證證書。Windows CA 證書服務(wù)器配置（四） Web 服務(wù)器配置（2）打開如下網(wǎng)頁： 點(diǎn)擊申請(qǐng)一個(gè)證書： 點(diǎn)擊高級(jí)證書申請(qǐng)：使用base64編碼的CMC或PKCS#10文件提交一個(gè)證書申請(qǐng)，或使用base64編碼的PKCS#7文件續(xù)訂證書申請(qǐng)我們的用于申請(qǐng)的base64編碼保存在一個(gè)名為certreq.txt的請(qǐng)求文件中。將其打開 全選編碼，并將其復(fù)制，粘貼到： 點(diǎn)擊提交： 我們已經(jīng)向CA服務(wù)器發(fā)送證書請(qǐng)求信息，等待CA管理員對(duì)信息進(jìn)行審核并頒發(fā)證書。我們假設(shè)CA管理員審核證書信息后執(zhí)行了頒發(fā)。我們?cè)俅未蜷_CA的證書申請(qǐng)系統(tǒng)：

10、點(diǎn)擊查看掛起的證書申請(qǐng)的狀態(tài)：點(diǎn)擊下載證書 我們等一下要用到的就是該保存到本地的.cer文件。（如果有需要也可以將證書鏈也下載，證書鏈里包含CA服務(wù)器的數(shù)字證書）我們?cè)俜祷啬J(rèn)網(wǎng)站 屬性 目錄安全性：?jiǎn)螕舴?wù)器證書進(jìn)行數(shù)字證書的安裝：選擇好剛才保存的.cer證書文件SSL的默認(rèn)端口是443。我們也可以設(shè)置能其他端口，但是設(shè)置成其他端口號(hào)時(shí)，用戶訪問的時(shí)候必須在URL中指定端口號(hào)。證書安裝成功，以上就是數(shù)字證書的所有信息單擊完成Windows CA 證書服務(wù)器配置（四） Web 服務(wù)器配置（3）我們已經(jīng)可以查看證書了。這就是我們安裝完成的證書。如圖中所示，Web服務(wù)器還不信任我們自己配置的證書頒

11、發(fā)機(jī)構(gòu)。沒關(guān)系，先到CA證書申請(qǐng)系統(tǒng)中下載CA根證書直接鍵入以上地址欄中的URL即可打開網(wǎng)頁，下載CA證書如果之前在下載證書的時(shí)候同時(shí)下載了證書鏈則可以不執(zhí)行此步操作，因?yàn)樽C書鏈里包含有CA證書。接下來我們要安裝CA的數(shù)字證書，安裝完成后Web服務(wù)器才會(huì)信任該CA機(jī)構(gòu)。開始 運(yùn)行：運(yùn)行打開mmc，單擊確定，打開如下窗口。此時(shí)在控制臺(tái)管理單元里什么都沒有，沒關(guān)系，文件 添加/刪除管理單元單擊添加找到證書的管理單元，單擊添加選擇計(jì)算機(jī)帳戶，單擊下一步單擊完成當(dāng)然我們還可以添加其他管理單元，但是我們現(xiàn)在還用不到，所以單擊關(guān)閉單擊確定我們已經(jīng)將證書（本地計(jì)算機(jī)）添加到控制臺(tái)。將其展開，展開受信任的根證

12、書頒發(fā)機(jī)構(gòu)此時(shí)我們自己配置根證書頒發(fā)機(jī)構(gòu)還不被計(jì)算機(jī)信任，所以我們必須導(dǎo)入證書頒發(fā)機(jī)構(gòu)的數(shù)字證書。右鍵證書導(dǎo)入證書選擇我們已經(jīng)保存的CA證書，單擊下一步：此時(shí)我們發(fā)現(xiàn)，CA證書已經(jīng)添加到相應(yīng)區(qū)域。我們?cè)俜祷啬J(rèn)網(wǎng)站 屬性 目錄安全性服務(wù)器已經(jīng)信任CA機(jī)構(gòu)了接下來可以建立SSL通道請(qǐng)求點(diǎn)擊編輯選擇要求安全通道，選擇要求客戶端證書（也可選擇其他選項(xiàng)，視具體情況而定）。確定Web服務(wù)器配置完畢。Windows CA 證書服務(wù)器配置（五） 客戶端訪問Web服務(wù)（終）在客戶端瀏覽器中輸入Web地址，打開網(wǎng)頁由于Web已經(jīng)配置成要求SSL通道，所以客戶訪問的時(shí)候不能再用http協(xié)議，而應(yīng)該用https協(xié)議修改成https協(xié)議后再次打開網(wǎng)頁，彈出證書選擇的窗口（我們默認(rèn)客戶端已經(jīng)安裝CA證書，如果客戶端尚未安裝CA證書，則在彈出此窗口之前會(huì)彈出一個(gè)警告窗口，單擊確定后就會(huì)彈出證書選擇窗口）客戶端尚未安裝數(shù)字證書，所以并沒有數(shù)字證書提供選擇，單擊確定后進(jìn)入錯(cuò)誤頁面客戶端到CA申請(qǐng)數(shù)字證書并安裝完成后，再次訪問Web這一次就會(huì)有個(gè)人