Windows Server網(wǎng)絡(luò)操作系統(tǒng)項目教程 課件 第10章 CA服務(wù)器配置管理

WindowsServer網(wǎng)絡(luò)操作系統(tǒng)項目教程（WindowsServer2019）（微課版）第10章CA服務(wù)器配置管理重點AKEY知識PKI技術(shù)的優(yōu)勢與應(yīng)用數(shù)字證書及其應(yīng)用規(guī)劃部署CA服務(wù)器配置客戶端計算機瀏覽器信任CA在Web服務(wù)器上配置證書服務(wù)公鑰基礎(chǔ)設(shè)施和數(shù)字證書技能實踐數(shù)字簽名10.1.1PKI的定義及組成PKI是利用公鑰密碼理論和技術(shù)建立起來的，它不針對具體的某一種網(wǎng)絡(luò)應(yīng)用，而是提供一個通用性的基礎(chǔ)平臺，并對外提供了友好的接口。PKI采用證書管理公鑰，通過CA把用戶的公鑰和其他標識信息進行綁定，實現(xiàn)用戶身份認證。用戶可以利用PKI所提供的安全服務(wù)，保證傳輸信息的保密性、完整性和不可否認性，從而實現(xiàn)安全的通信。PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機制、數(shù)字信封、雙重數(shù)字簽名等。PKI用公鑰概念和技術(shù)實施，支持公開密鑰的管理并提供真實性、保密性、完整性以及可追究性的安全基礎(chǔ)設(shè)施服務(wù)。10.1.1PKI的定義及組成完整的PKI系統(tǒng)包括五大部分。0102030405CA數(shù)字證書庫密鑰備份及恢復系統(tǒng)證書作廢系統(tǒng)APIPKI系統(tǒng)10.1.2PKI技術(shù)的優(yōu)勢與應(yīng)用1．PKI技術(shù)的優(yōu)勢PKI采用公開密鑰密碼技術(shù)，能夠支持可公開驗證并無法仿冒的數(shù)字簽名，從而在支持可追究的服務(wù)上具有不可替代的優(yōu)勢。由于密碼技術(shù)的采用，保護機密性是PKI得天獨厚的優(yōu)點。由于數(shù)字證書可以由用戶獨立驗證，不需要在線查詢，原理上能夠保證服務(wù)范圍的無限制擴張，這使得PKI能夠成為一種可以服務(wù)巨大用戶群體的基礎(chǔ)設(shè)施。PKI提供了證書的撤銷機制，從而使得其應(yīng)用領(lǐng)域不受具體應(yīng)用的限制。PKI具有極強的互連能力。10.1.2PKI技術(shù)的優(yōu)勢與應(yīng)用2．PKI技術(shù)的應(yīng)用（1）VPN企業(yè)在架構(gòu)VPN時會利用防火墻和訪問控制技術(shù)來提高VPN的安全性，這只解決了很少的一部分問題，而一個現(xiàn)代VPN所需要的安全保障，如認證、機密、完整、不可否認以及易用性等都需要采用更完善的安全技術(shù)。就技術(shù)而言，除了基于防火墻的VPN之外，還可以有其他的結(jié)構(gòu)方式，如基于黑盒的VPN、基于路由器的VPN、基于遠程訪問的VPN或者基于軟件的VPN。VPN的基本思想是采用秘密通信通道，用加密的方法來實現(xiàn)。其具體協(xié)議一般有3種：PPTP、L2TP和IPSec。10.1.2PKI技術(shù)的優(yōu)勢與應(yīng)用（2）安全電子郵件隨著Internet的持續(xù)發(fā)展，商業(yè)機構(gòu)或政府機構(gòu)都開始用電子郵件交換一些信息，這就引出了一些安全方面的問題：安全問題信任問題AB消息和附件可以在不為通信雙方所知的情況下被讀取、篡改或攔截沒有辦法可以確定一封電子郵件是否真的來自某人，也就是說，發(fā)信者的身份可能被人偽造利用數(shù)字證書和私鑰，用戶可以對其所發(fā)的電子郵件進行數(shù)字簽名，這樣就可以保證電子郵件的可認證性、完整性和不可否認性。如果證書是由用戶所屬公司或某一可信任的第三方頒發(fā)的，那么收到電子郵件的人就可以信任該電子郵件，而不用管其是否認識發(fā)送電子郵件的人。10.1.2PKI技術(shù)的優(yōu)勢與應(yīng)用（3）Web安全瀏覽Web頁面是人們常用的訪問Internet的方式。1234詐騙攻擊泄露篡改10.1.2PKI技術(shù)的優(yōu)勢與應(yīng)用（4）電子商務(wù)的應(yīng)用PKI技術(shù)是解決電子商務(wù)安全問題的關(guān)鍵，綜合PKI的各種應(yīng)用，可以建立一個可信任和足夠安全的網(wǎng)絡(luò)。其中有可信任的認證中心，典型的如銀行、政府或其他第三方。在通信中，利用數(shù)字證書可消除匿名帶來的風險，利用加密技術(shù)可消除開放網(wǎng)絡(luò)帶來的風險，這樣，商業(yè)交易就可以安全、可靠地在網(wǎng)絡(luò)上進行了。10.1.3數(shù)字證書及其應(yīng)用1．數(shù)字證書的基本內(nèi)容最簡單的數(shù)字證書包括所有者的公鑰、名稱及認證機構(gòu)的數(shù)字簽名。通常情況下，數(shù)字證書還包括證書的序列號、密鑰的有效時間、認證機構(gòu)名稱等信息。目前常用的數(shù)字證書是X.509格式的，它包括以下幾項基本內(nèi)容。證書的版本信息。證書的序列號，這個序列號在同一個證書機構(gòu)中是唯一的。證書的認證機構(gòu)名稱。證書所采用的簽名算法名稱。證書的有效時間。證書所有者的名稱。證書所有者的公鑰信息。證書認證機構(gòu)對證書的簽名。10.1.3數(shù)字證書及其應(yīng)用在IE瀏覽器的“Internet選項”對話框中選擇“內(nèi)容”選項卡，單擊“證書”按鈕，彈出“證書”對話框，從中可以查看本機已經(jīng)安裝的數(shù)字證書，如圖10.1所示。選擇某一個證書，單擊“查看”按鈕，彈出“證書”對話框，可以查看證書的常規(guī)信息、詳細信息等，如圖10.2和圖10.3所示。10.1.3數(shù)字證書及其應(yīng)用2．數(shù)字證書的應(yīng)用數(shù)字證書主要應(yīng)用于各種需要身份認證的場合。保證網(wǎng)上銀行的安全通過證書防范網(wǎng)站被假冒發(fā)送安全郵件屏蔽插件安裝窗口防止網(wǎng)上投假票保護Office文檔安全公鑰基礎(chǔ)設(shè)施和數(shù)字證書技能實踐數(shù)字簽名10.2.1數(shù)字簽名概述數(shù)字簽名（又稱公鑰數(shù)字簽名）是只有信息的發(fā)送者才能生成的、別人無法偽造的一段數(shù)字，這段數(shù)字同時是對信息發(fā)送者所發(fā)送信息真實性的有效證明。它是一種類似寫在紙上的普通的物理簽名，使用了公鑰加密領(lǐng)域的技術(shù)來實現(xiàn)，它是用于鑒別數(shù)字信息的方法。一套數(shù)字簽名通常定義了兩種互補的運算：一個用于簽名，另一個用于驗證。數(shù)字簽名是非對稱密鑰加密技術(shù)與數(shù)字摘要技術(shù)的應(yīng)用。10.2.1數(shù)字簽名概述1．數(shù)字簽名的特點鑒權(quán)公鑰加密系統(tǒng)允許任何人在發(fā)送信息時使用公鑰進行加密，在接收信息時使用私鑰解密。鑒權(quán)的重要性在財務(wù)數(shù)據(jù)上表現(xiàn)得尤為突出完整性雖然加密使得第三方想要讀取數(shù)據(jù)變得十分困難，但是第三方仍然能采取可行的方法在傳輸?shù)倪^程中修改數(shù)據(jù)，而數(shù)字簽名就可以驗證數(shù)據(jù)的完整性不可抵賴性消息的接收方可以通過數(shù)字簽名來防止所有后續(xù)的抵賴行為，因為接收方可以出示簽名以證明信息的來源10.2.1數(shù)字簽名概述2．數(shù)字簽名的主要功能因為私鑰只有簽名者自己知道，所以其他人不可能進行偽造防冒充（偽造）在網(wǎng)絡(luò)環(huán)境下，接收方通過數(shù)字簽名能夠鑒別發(fā)送方所宣稱的身份可鑒別身份對于數(shù)字簽名，簽名與原有文件已經(jīng)形成一個混合的整體數(shù)據(jù)，不可能被篡改防篡改（保證信息的完整性）在數(shù)字簽名中，如果對簽名報文采用了添加流水號、時間戳等技術(shù)，則可以防止重放攻擊防重放在數(shù)字簽名體制中，要預防接收方的抵賴，需要求接收方在收到信息后，返回一個自己簽名的表示收到的報文給發(fā)送方或者第三方防抵賴數(shù)字簽名可以加密要簽名的消息，當然，如果簽名的報文不要求機密性，也可以不用加密機密性（保密性）10.2.2數(shù)字簽名的實現(xiàn)方法一個完善的數(shù)字簽名應(yīng)該解決3個問題。020103接收方能夠核實發(fā)送方的報文的簽名，如果當事雙方對簽名真?zhèn)伟l(fā)生爭議，則應(yīng)該能夠在第三方的監(jiān)督下通過驗證簽名來確認其真?zhèn)伟l(fā)送方事后不能否認自己對報文的簽名任何人都不能偽造發(fā)送方簽名，也不能對接收或發(fā)送的信息進行篡改、偽造10.2.2數(shù)字簽名的實現(xiàn)方法數(shù)字簽名的實現(xiàn)思想假設(shè)發(fā)送方A要發(fā)送一個報文信息S給接收方B，那么A采用私鑰SKA對報文S進行解密運算（可以把這里的解密看作一種數(shù)學運算，而不是一定要經(jīng)過加密運算的報文才能進行解密。這里A并非為了加密報文，而是為了實現(xiàn)數(shù)字簽名），實現(xiàn)對報文的簽名，并將結(jié)果DSKA（S）發(fā)送給接收方B。B在接收到DSKA（S）后，采用已知的A的公鑰PKA對報文進行加密運算，就可以得到S=EPKA（DSKA（S）），核實簽名，其實現(xiàn)過程如圖10.4所示。10.2.2數(shù)字簽名的實現(xiàn)方法為了使報文在傳輸過程中實現(xiàn)加密，采用如下方法：在將報文DSKA（S）發(fā)送出去之前，先用B的公鑰PKB對報文進行加密；B在接收到報文后，先用私鑰SKB對報文進行解密，再驗證簽名，這樣可以達到加密和數(shù)字簽名的雙重效果，實現(xiàn)具有保密性的數(shù)字簽名，其實現(xiàn)過程如圖10.5所示。10.2.2數(shù)字簽名的實現(xiàn)方法數(shù)字簽名的功效能確定消息的完整性，因為數(shù)字簽名的特點是它代表了文件的特征，文件如果發(fā)生改變，數(shù)字摘要的值也將發(fā)生變化能確定消息確實是由發(fā)送方簽名并發(fā)出的，因為別人假冒不了發(fā)送方的簽名不同的文件將得到不同的數(shù)字摘要。一次數(shù)字簽名涉及一個哈希函數(shù)、接收方的公鑰、發(fā)送方的私鑰。公鑰基礎(chǔ)設(shè)施和數(shù)字證書技能實踐數(shù)字簽名10.3技能實踐若使用WindowsServer2019的ADCS來提供CA服務(wù)，則可以選擇將CA設(shè)置為以下角色之一。企業(yè)根CA（EnterpriseRootCA）企業(yè)從屬CA（EnterpriseSubordinateCA）獨立根CA（StandaloneRootCA）獨立從屬CA（StandaloneSubordinateCA）10.3.1規(guī)劃部署CA服務(wù)器實現(xiàn)網(wǎng)站SSL連接訪問，部署CA服務(wù)器的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖如圖10.6所示。1．項目規(guī)劃在部署CA服務(wù)器之前需完成如下配置。在服務(wù)器server-01上部署域環(huán)境，域名為。設(shè)置CA服務(wù)器的TCP/IP屬性，如設(shè)置其IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)和DNS服務(wù)器的IP地址等相關(guān)信息。設(shè)置CA客戶端的TCP/IP屬性，如設(shè)置其IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)和DNS服務(wù)器的IP地址等相關(guān)信息。10.3.1規(guī)劃部署CA服務(wù)器2．環(huán)境部署CA服務(wù)器的主機名為server-01，該主機既是域控制器、DNS服務(wù)器、Web服務(wù)器，又是CA服務(wù)器，連接外部網(wǎng)絡(luò)網(wǎng)卡的IP地址為00/24，默認網(wǎng)關(guān)為。CA客戶端（Web客戶端）win10-user01的IP地址為0/24，網(wǎng)關(guān)為。10.3.2安裝證書服務(wù)并部署獨立根CA1．安裝證書服務(wù)以管理員賬戶登錄域控制器server-01，打開“服務(wù)器管理器”窗口，選擇“管理”→“添加角色和功能”命令，打開“添加角色和功能向?qū)А贝翱?，持續(xù)單擊“下一步”按鈕，直到進入“選擇服務(wù)器角色”界面，如圖10.7所示，勾選“ActiveDirectory證書服務(wù)”復選框，在彈出的“添加角色和功能”對話框中單擊“添加功能”按鈕10.3.2安裝證書服務(wù)并部署獨立根CA持續(xù)單擊“下一步”按鈕，直到進入“選擇角色服務(wù)”界面，在“角色服務(wù)”列表框中，勾選“證書頒發(fā)機構(gòu)”“證書頒發(fā)機構(gòu)Web注冊”“證書注冊Web服務(wù)”“證書注冊策略Web服務(wù)”復選框，如圖10.8所示，在隨后彈出的對話框中單擊“添加功能”按鈕，持續(xù)單擊“下一步”按鈕，直到進入確認安裝所選內(nèi)容界面，單擊“安裝”按鈕。安裝完成后，單擊“關(guān)閉”按鈕，重新啟動計算機。10.3.2安裝證書服務(wù)并部署獨立根CA2．部署獨立根CA打開“服務(wù)器管理器”窗口，在“儀表板”右側(cè)單擊黃色正三角形圖標，彈出“部署后配置”對話框，如圖10.9所示單擊“配置目標服務(wù)器上的ActiveDirectory證書服務(wù)”鏈接，打開“ADCS配置”窗口，如圖10.10所示10.3.2安裝證書服務(wù)并部署獨立根CA單擊“下一步”按鈕，進入“角色服務(wù)”界面，如圖10.11所示，勾選“證書頒發(fā)機構(gòu)”“證書頒發(fā)機構(gòu)Web注冊”“證書注冊策略Web服務(wù)”復選框單擊“下一步”按鈕，進入“設(shè)置類型”界面，如圖10.12所示。10.3.2安裝證書服務(wù)并部署獨立根CA單擊“獨立CA”單選按鈕，單擊“下一步”按鈕，進入“CA類型”界面，如圖10.13所示單擊“根CA”單選按鈕，單擊“下一步”按鈕，進入“私鑰”界面，如圖10.14所示。10.3.2安裝證書服務(wù)并部署獨立根CA單擊“創(chuàng)建新的私鑰”單選按鈕，單擊“下一步”按鈕，進入“CA的加密”界面，如圖10.15所示單擊“下一步”按鈕，進入“CA名稱”界面，如圖10.16所示10.3.2安裝證書服務(wù)并部署獨立根CA指定CA名稱，單擊“下一步”按鈕，進入“有效期”界面，如圖10.17所示，指定有效期，CA的有效期默認為5年單擊“下一步”按鈕，進入“CA數(shù)據(jù)庫”界面，如圖10.18所示10.3.2安裝證書服務(wù)并部署獨立根CA指定數(shù)據(jù)庫的位置，單擊“下一步”按鈕，進入“CEP的身份驗證類型”界面，如圖10.19所示，單擊“Windows集成身份驗證”單選按鈕單擊“下一步”按鈕，進入“服務(wù)器證書”界面，如圖10.20所示10.3.2安裝證書服務(wù)并部署獨立根CA單擊“為SSL加密選擇現(xiàn)有證書（推薦）”單選按鈕，指定服務(wù)器身份驗證證書，單擊“下一步”按鈕，進入“確認”界面，如圖10.21所示單擊“配置”按鈕，顯示進度安裝過程，最后進入“結(jié)果”界面，如圖10.22所示，單擊“關(guān)閉”按鈕，完成獨立根CA的配置。10.3.2安裝證書服務(wù)并部署獨立根CA打開“服務(wù)器管理器”窗口，選擇“工具”→“證書頒發(fā)機構(gòu)”命令，打開“certsrv-[證書頒發(fā)機構(gòu)（本地）]”窗口，如圖10.23所示。10.3.2安裝證書服務(wù)并部署獨立根CA3．DNS服務(wù)器配置與測試網(wǎng)站準備在域控制器server-01上配置DNS服務(wù)器，相應(yīng)操作如圖10.24所示。新建網(wǎng)站SSL-test-01，相應(yīng)操作如圖10.25所示。10.3.2安裝證書服務(wù)并部署獨立根CA為了測試SSL-test-01網(wǎng)站是否正常，在網(wǎng)站主目錄（D:\web）下創(chuàng)建index.html首頁文件，文件內(nèi)容為“welcometohere!”，在Web客戶端上進行訪問測試，如圖10.26所示。10.3.3配置客戶端計算機瀏覽器信任CA以管理員賬戶登錄域控制器server-01，正確配置DNS服務(wù)器與Web網(wǎng)站，開啟默認Web站點（DefaultWebSite）。在客戶端計算機（win10-user01）上打開IE瀏覽器，并在其地址欄中輸入URL“00/certsrv”，按“Enter”鍵，打開“MicrosoftActiveDirectory證書服務(wù)”窗口，如圖10.27所示。單擊“下載CA證書、證書鏈或CRL”鏈接，進入“下載CA證書、證書鏈或CRL”頁面，單擊“下載CA證書”鏈接，在彈出的提示對話框中單擊“保存”按鈕右側(cè)的下拉按鈕，在下拉列表中選擇“另存為”選項，如圖10.28所示，將證書下載到本地C:\cert文件夾中，其默認文件名為certnew.cer。10.3.3配置客戶端計算機瀏覽器信任CA按“Win+R”組合鍵，彈出“運行”對話框，輸入mmc命令，單擊“確定”按鈕，打開“控制臺1-[控制臺根節(jié)點]”窗口，選擇“文件”→“添加/刪除管理單元”命令，如圖10.29所示彈出“添加或刪除管理單元”對話框，如圖10.30所示。10.3.3配置客戶端計算機瀏覽器信任CA在“可用的管理單元”列表框中選擇“證書”選項，單擊“添加”按鈕，彈出“證書管理單元”對話框，如圖10.31所示，單擊“計算機賬戶”單選按鈕，單擊“下一步”按鈕彈出“選擇計算機”對話框,單擊“本地計算機（運行此控制臺的計算機）”單選按鈕，如圖10.32所示，單擊“完成”按鈕，返回“控制臺1-[控制臺根節(jié)點]”窗口。10.3.3配置客戶端計算機瀏覽器信任CA在“控制臺1-[控制臺根節(jié)點]”窗口中，選擇“控制臺根節(jié)點”→“證書（本地計算機）”→“受信任的根證書頒發(fā)機構(gòu)”→“證書”選項并單擊鼠標右鍵，在彈出的快捷菜單中選擇“所有任務(wù)”→“導入”命令，如圖10.33所示，彈出“證書導入向?qū)А睂υ捒?，如圖10.34所示。10.3.3配置客戶端計算機瀏覽器信任CA單擊“下一步”按鈕，進入“要導入的文件”界面，如圖10.35所示選擇要導入文件的路徑，單擊“下一步”按鈕，進入“證書存儲”界面，如圖10.36所示。10.3.3配置客戶端計算機瀏覽器信任CA單擊“將所有的證書都放入下列存儲”單選按鈕，單擊“下一步”按鈕，進入“正在完成證書導入向?qū)А苯缑?，如圖10.37所示單擊“完成”按鈕，彈出“導入成功”提示對話框，如圖10.38所示。10.3.3配置客戶端計算機瀏覽器信任CA單擊“確定”按鈕，返回“控制臺1-[控制臺根節(jié)點]”窗口，選擇“控制臺根節(jié)點”→“證書（本地計算機）”→“受信任的根證書頒發(fā)機構(gòu)”→“證書”選項，在右側(cè)窗格中可以查看剛剛導入的證書abc-SERVER-01-CA，如圖10.39所示。10.3.4在Web服務(wù)器上配置證書服務(wù)1．在網(wǎng)站上創(chuàng)建證書申請文件以管理員賬戶登錄域控制器server-01，打開“服務(wù)器管理器”窗口，選擇“工具”→“InternetInformationServices（IIS）管理器”命令，打開“InternetInformationServices（IIS）管理器”窗口，選擇“SERVER-01（ABC\Administrator）”選項，在右側(cè)窗格中選擇“服務(wù)器證書”選項，如圖10.40所示，雙擊“服務(wù)器證書”選項，進入“服務(wù)器證書”界面，如圖10.41所示。10.3.4在Web服務(wù)器上配置證書服務(wù)在“操作”選項組中單擊“創(chuàng)建證書申請”鏈接，彈出“申請證書”對話框，指定證書的必需信息（注：此處的通用名稱一定要與需要保護的Web網(wǎng)站的名稱一致，即“DNS1.”），如圖10.42所示，單擊“下一步”按鈕，進入“加密服務(wù)提供程序?qū)傩浴苯缑?，如圖10.43所示。單擊“下一步”按鈕，進入“文件名”界面，為證書申請指定文件名與存儲位置，如圖10.44所示，單擊“完成”按鈕，完成證書申請。10.3.4在Web服務(wù)器上配置證書服務(wù)2．申請證書與下載證書以管理員賬戶登錄域控制器server-01，打開“服務(wù)器管理器”窗口，選擇“本地服務(wù)器”選項，在右側(cè)窗格中，選擇“IE增強的安全配置”選項，單擊“啟動”按鈕，彈出“InternetExplorer增強的安全配置”對話框，在“管理員”選項組中單擊“關(guān)閉”單選按鈕，如圖10.45所示。10.3.4在Web服務(wù)器上配置證書服務(wù)打開IE瀏覽器，并在其地址欄中輸入URL“00/certsrv”，按“Enter”鍵，打開“MicrosoftActiveDirectory證書服務(wù)”窗口，單擊“申請證書”→“高級證書申請”鏈接，進入“高級證書申請”界面，如圖10.46所示。在開始下一個步驟之前，先利用記事本打開前面的證書申請文件“D:\cert\web-cert.txt”，再復制整個文件的內(nèi)容，如圖10.47所示。10.3.4在Web服務(wù)器上配置證書服務(wù)在“高級證書申請”界面中，單擊“使用base64編碼的CMC……”鏈接，進入“提交一個證書申請或續(xù)訂申請”界面，將復制的證書申請文件內(nèi)容粘貼到“保存的申請”列表框中，如圖10.48所示單擊“提交”按鈕，進入“證書正在掛起”界面，如圖10.49所示。10.3.4在Web服務(wù)器上配置證書服務(wù)開“服務(wù)器管理器”窗口，選擇“工具”→“證書頒發(fā)機構(gòu)”命令，選擇“證書頒發(fā)機構(gòu)（本地）”→“abc-SERVER-01-CA”→“掛起的申請”選項，在右側(cè)窗格中選擇證書請求并單擊鼠標右鍵，在彈出的快捷菜單中選擇“所有任務(wù)”→“頒發(fā)”命令，如圖10.50所示。該證書由“掛起的申請”文件夾移動到“頒發(fā)的證書”文件夾中，選擇“頒發(fā)的證書”選項，查看頒發(fā)的證書，如圖10.51所示。因為獨立根CA默認不會自動頒發(fā)證書，所以需要等待CA系統(tǒng)管理員發(fā)放此證書后，再連接CA下載證書，該證書ID為2。10.3.4在Web服務(wù)器上配置證書服務(wù)回到域控制器server-01上，打開IE瀏覽器，并在其地址欄中輸入URL“00/certsrv”，按“Enter”鍵，打開“MicrosoftActiveDirectory證書服務(wù)”窗口，單擊“查看掛起的證書申請的狀態(tài)”鏈接，進入“查看掛起的證書申請的狀態(tài)”界面，如圖10.52所示單擊“保存的申請證書……”鏈接，進入“證書已頒發(fā)”界面，單擊“Base64編碼”單選按鈕，單擊“下載證書”鏈接，在彈出的提示對話框中單擊“保存”按鈕，如圖10.53所示，將證書保存到本地，其默認文件名為certnew.cer。10.3.4在Web服務(wù)器上配置證書服務(wù)3．安裝證書打開“服務(wù)器管理器”窗口，選擇“工具”→“InternetInformationServices（IIS）管理器”命令，打開“InternetInformationServices（IIS）管理器”窗口，選擇“SERVER-01（ABC\Administrator）”選項，在右側(cè)窗格中雙擊“服務(wù)器證書”選項，進入“服務(wù)器證書”界面，如圖10.54所示，在“操作”選項組中單擊“完成證書申請”鏈接，彈出“完成證書申請”對話框，如圖10.55所示。10.3.4在Web服務(wù)器上配置證書服務(wù)設(shè)置包含證書頒發(fā)機構(gòu)響應(yīng)的文