码迷,mamicode.com
首页 > 其他好文 > 详细

安装CA证书服务的一系列过程

时间:2015-04-07 19:49:35      阅读:899      评论:0      收藏:0      [点我收藏+]

标签:安装ca证书   计算机服务器   申请ca证书   

安装CA证书服务的过程

打开一台server 2008服务器以及一台普通客户机win 7虚拟机。

下面是server 2008上面的IP地址和DNS地址的配置。

技术分享

下面这是win 7上面的IP配置一定要和server 2008在同一个网段,如果你也是虚拟机要绑定同一个物理网卡。

技术分享

win 7虚拟机上面进行ping命令测试。结果如下:互联互通是做实验的最基本步骤。

技术分享

server 2008虚拟机上面打开服务器管理器进行添加角色。

技术分享

这种服务一般都是为企业准备的所以最好先安装AD域。

下面是使用命令建立AD域的过程

技术分享

因为是第一个域所以要选择“在新林中新建域”。

技术分享

下面开始输入一个域名。

技术分享

这里是选择域的版本信息。

技术分享

在这里选择“是”就行了。

技术分享

技术分享

下面是设置AD域的一些相关文件存放位置(最好不要放在C盘,我是做实验所以就没动这些选项)。

技术分享

下面这个密码注意要符合密码安全策略复杂性。

技术分享

下面直接安装完成就行了(没图的地方都是默认配置)。

技术分享

当域添加完成重启之后,以管理员身份进行登陆。下面这个意思是用benet域的administrator账户进行登录。

技术分享

下面是打开计算机的属性进行查看。

技术分享

因为域要有DNS来解析所以这里自动安装了DNS服务。下面添加AD证书服务角色。

技术分享

现在开始添加AD证书服务。

技术分享

下一步之后选择在web页面注册,然后添加必须的角色服务。

技术分享

现在选择企业,如果没有提前安装AD域,“企业”这里是灰***标,是点击不了的。

企业CA的特点。

当安装企业根CA时,对于域中的所有用户和计算机,都会被自动添加到受信任的根证书颁发机构的证书存储区中。

必须是管理员或是对AD具有写权限的管理员,才能安装企业根CA

独立CA主要有以下特征。

不需要使用AD目录服务。可以在涉及extranetInternet时使用。

技术分享

下面选择根域,然后继续下一步。

CA是指在组织的PKI中最受信任的CA。虽然根CA也能向最终用户颁发证书,但是在大多数情况下,根CA只是用于向其他CA(称为从属CA)颁发证书。

子级CA是由组织中的另一CA(一般是根CA)颁发证书的CA

技术分享

选择新建私钥,然后下一步。

技术分享

在这里选择默认的加密类型以及加密方式。字符长度2048就行了。

加密服务提供程序(CSP):是执行身份验证、编码和加密服务的程序。

哈希算法:通过此选项,可以选择高级哈希算法。

密钥长度:通过此选项,可以指定在所选算法中使用的密钥所需的最小长度。

技术分享

下面是配置CA的名称。我这里就使用了默认配置!

技术分享

下面设置CA证书的有效期,默认是5年。

技术分享

下面是配置数据存放位置,还是那句话最好不要放在C盘,第一是不安全,第二是容易损坏。

技术分享

下面还有安装web服务器,搭建web的详细过程在:http://zhang2015.blog.51cto.com/这里就不在啰嗦了。最后点击安装就行了。

技术分享

安装完之后打开CA证书的控制台。

技术分享

在这里可以看到关于证书服务的一切信息,目前是空的。

技术分享

下面打开web服务的IIS管理器。

技术分享

右击计算机名称之后,双击打开服务器证书服务。

技术分享

点击右边的创建证书申请,输入申请者的一些相关信息。

web站点应用证书前必须先生成证书申请,用于标识证书将用于哪个web站点。

技术分享

使用2048位的密钥长度,默认的加密程序就行了。

技术分享

选择证书存放的位置,以及类型。

技术分享

打开刚才证书存放的位置,双击可以看到证书申请的是base64编码。

技术分享

下面是提交证书申请。这里首先要打开IE浏览器进行设置。因为我的证书不是经过正式机构认证的所以要关闭安全设置。

技术分享

如下所示关闭IE浏览的增强配置。

技术分享

此时使用IE浏览器访问web主站点下证书服务的虚拟目录。需要输入管理员账户以及计算机密码。

技术分享

点击申请证书。

技术分享

点击生成一个高级证书申请。

技术分享

使用刚才创建完成的base64编码的证书申请。

技术分享

复制刚才创建的base64编码内容到保存的申请。

技术分享

粘贴完整之后在证书模板里下拉选择web服务器。然后提交。

技术分享

转到新窗口点击下载证书,选择保存。另存一个地方。

技术分享

点击浏览选择保存的位置,为了方便查看我这里选择的是桌面。

技术分享

可以看到下面生成好了的证书。(如果是独立CA的话需要在CA控制台中右击证书选择颁发按钮)。

技术分享

下面是证书的安装与使用。

再次回到web服务器的控制台,点击右边的完成证书的申请。

技术分享

下面配置安全通道SSL,也就是在指定的站点启用https(安全超文本传输协议)。还是在IIS管理器的位置,点击网站站点,选择右边的绑定属性,在新窗口中点击添加,选择https安全超文本传输协议的类型,在SSL证书中选择之前安装的证书。

技术分享

如图所说:当站点设置为https之后,SSL也需要配置,双击打开。

技术分享

下图配置的释义是:

要求SSL:强制用户都使用SSL方式连接站点。

需要128SSL:使用128位密钥加密SSL通道。

忽略:无论用户是否拥有证书,都将被授予访问权限。

接受:用户可以使用客户端证书访问资源,但证书并不是必须的。

必须:服务器在将用户与资源连接之前要验证客户端证书。

技术分享

现在打开CA服务器的控制台在颁发的证书里面应该是有两个已经颁发的证书了。

技术分享

下面可以win 7客户机使用https方式和站点建立连接。此时系统会弹出两个警报窗口。因为我的证书不是经过Internet上认证的。

技术分享

下面就可以访问网站了。上面会显示证书错误(伪造的技术分享)。

技术分享

证书的导入和导出,防止安装了证书的网站需要重新建立。打开IIS管理器点击计算机名选择服务器证书,点击想要导出的证书,最后点击导出按钮。

技术分享

点击“导出至”右边的按钮,选择导出证书存放的位置。

技术分享

输入导入导出的密码,最后点击确定。

技术分享

可以看到我桌面上面现在由多了一个证书文件。

技术分享

现在我把原来的证书删除掉,然后再点击右边的导入按钮。注意密码是刚才导出时的密码。

技术分享

可以看到我现在又把zhangsan这个证书导入了回来。

技术分享

OK实验完成!欢迎讨论!谢谢大家!


本文出自 “朕的天下” 博客,请务必保留此出处http://zhang2015.blog.51cto.com/9735109/1629775

安装CA证书服务的一系列过程

标签:安装ca证书   计算机服务器   申请ca证书   

原文地址:http://zhang2015.blog.51cto.com/9735109/1629775

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!