安装CA证书服务的过程
打开一台server 2008服务器以及一台普通客户机win 7虚拟机。
下面是server 2008上面的IP地址和DNS地址的配置。
下面这是win 7上面的IP配置一定要和server 2008在同一个网段,如果你也是虚拟机要绑定同一个物理网卡。
在win 7虚拟机上面进行ping命令测试。结果如下:互联互通是做实验的最基本步骤。
在server 2008虚拟机上面打开服务器管理器进行添加角色。
这种服务一般都是为企业准备的所以最好先安装AD域。
下面是使用命令建立AD域的过程。
因为是第一个域所以要选择“在新林中新建域”。
下面开始输入一个域名。
这里是选择域的版本信息。
在这里选择“是”就行了。
下面是设置AD域的一些相关文件存放位置(最好不要放在C盘,我是做实验所以就没动这些选项)。
下面这个密码注意要符合密码安全策略复杂性。
下面直接安装完成就行了(没图的地方都是默认配置)。
当域添加完成重启之后,以管理员身份进行登陆。下面这个意思是用benet域的administrator账户进行登录。
下面是打开计算机的属性进行查看。
因为域要有DNS来解析所以这里自动安装了DNS服务。下面添加AD证书服务角色。
现在开始添加AD证书服务。
下一步之后选择在web页面注册,然后添加必须的角色服务。
现在选择企业,如果没有提前安装AD域,“企业”这里是灰***标,是点击不了的。
企业CA的特点。
当安装企业根CA时,对于域中的所有用户和计算机,都会被自动添加到受信任的根证书颁发机构的证书存储区中。
必须是管理员或是对AD具有写权限的管理员,才能安装企业根CA。
独立CA主要有以下特征。
不需要使用AD目录服务。可以在涉及extranet和Internet时使用。
下面选择根域,然后继续下一步。
根CA是指在组织的PKI中最受信任的CA。虽然根CA也能向最终用户颁发证书,但是在大多数情况下,根CA只是用于向其他CA(称为从属CA)颁发证书。
子级CA是由组织中的另一CA(一般是根CA)颁发证书的CA。
选择新建私钥,然后下一步。
在这里选择默认的加密类型以及加密方式。字符长度2048就行了。
加密服务提供程序(CSP):是执行身份验证、编码和加密服务的程序。
哈希算法:通过此选项,可以选择高级哈希算法。
密钥长度:通过此选项,可以指定在所选算法中使用的密钥所需的最小长度。
下面是配置CA的名称。我这里就使用了默认配置!
下面设置CA证书的有效期,默认是5年。
下面是配置数据存放位置,还是那句话最好不要放在C盘,第一是不安全,第二是容易损坏。
下面还有安装web服务器,搭建web的详细过程在:http://zhang2015.blog.51cto.com/这里就不在啰嗦了。最后点击安装就行了。
安装完之后打开CA证书的控制台。
在这里可以看到关于证书服务的一切信息,目前是空的。
下面打开web服务的IIS管理器。
右击计算机名称之后,双击打开服务器证书服务。
点击右边的创建证书申请,输入申请者的一些相关信息。
为web站点应用证书前必须先生成证书申请,用于标识证书将用于哪个web站点。
使用2048位的密钥长度,默认的加密程序就行了。
选择证书存放的位置,以及类型。
打开刚才证书存放的位置,双击可以看到证书申请的是base64编码。
下面是提交证书申请。这里首先要打开IE浏览器进行设置。因为我的证书不是经过正式机构认证的所以要关闭安全设置。
如下所示关闭IE浏览的增强配置。
此时使用IE浏览器访问web主站点下证书服务的虚拟目录。需要输入管理员账户以及计算机密码。
点击申请证书。
点击生成一个高级证书申请。
使用刚才创建完成的base64编码的证书申请。
复制刚才创建的base64编码内容到保存的申请。
粘贴完整之后在证书模板里下拉选择web服务器。然后提交。
转到新窗口点击下载证书,选择保存。另存一个地方。
点击浏览选择保存的位置,为了方便查看我这里选择的是桌面。
可以看到下面生成好了的证书。(如果是独立CA的话需要在CA控制台中右击证书选择颁发按钮)。
下面是证书的安装与使用。
再次回到web服务器的控制台,点击右边的完成证书的申请。
下面配置安全通道SSL,也就是在指定的站点启用https(安全超文本传输协议)。还是在IIS管理器的位置,点击网站站点,选择右边的绑定属性,在新窗口中点击添加,选择https安全超文本传输协议的类型,在SSL证书中选择之前安装的证书。
如图所说:当站点设置为https之后,SSL也需要配置,双击打开。
下图配置的释义是:
要求SSL:强制用户都使用SSL方式连接站点。
需要128位SSL:使用128位密钥加密SSL通道。
忽略:无论用户是否拥有证书,都将被授予访问权限。
接受:用户可以使用客户端证书访问资源,但证书并不是必须的。
必须:服务器在将用户与资源连接之前要验证客户端证书。
现在打开CA服务器的控制台在颁发的证书里面应该是有两个已经颁发的证书了。
下面可以win 7客户机使用https方式和站点建立连接。此时系统会弹出两个警报窗口。因为我的证书不是经过Internet上认证的。
下面就可以访问网站了。上面会显示证书错误(伪造的)。
证书的导入和导出,防止安装了证书的网站需要重新建立。打开IIS管理器点击计算机名选择服务器证书,点击想要导出的证书,最后点击导出按钮。
点击“导出至”右边的按钮,选择导出证书存放的位置。
输入导入导出的密码,最后点击确定。
可以看到我桌面上面现在由多了一个证书文件。
现在我把原来的证书删除掉,然后再点击右边的导入按钮。注意密码是刚才导出时的密码。
可以看到我现在又把zhangsan这个证书导入了回来。
OK实验完成!欢迎讨论!谢谢大家!
本文出自 “朕的天下” 博客,请务必保留此出处http://zhang2015.blog.51cto.com/9735109/1629775
原文地址:http://zhang2015.blog.51cto.com/9735109/1629775