《WindowsCA证书服务器配置.doc》由会员分享,可在线阅读,更多相关《WindowsCA证书服务器配置.doc(60页珍藏版)》请在三一文库上搜索。
1、Windows CA 证书服务器配置(一) Microsoft 证书服务安装安装准备:插入Windows Server 2003 系统安装光盘添加IIS组件:点击确定,安装完毕后,查看IIS管理器,如下:添加证书服务组件:如果您的机器没有安装活动目录,在勾选以上证书服务时,将弹出如下窗口:由于我们将要安装的是独立CA,所以不需要安装活动目录,点击是,窗口跳向如下:默认情况下,用自定义设置生成密钥对和CA证书没有勾选,我们勾选之后点击下一步可以进行密钥算法的选择:Microsoft 证书服务的默认CSP为:Microsoft Strong Cryptographic Provider,默认散列算
2、法:SHA-1,密钥长度:2048您可以根据需要做相应的选择,这里我们使用默认。点击下一步:填写CA的公用名称(以AAAAA为例),其他信息(如邮件、单位、部门等)可在可分辨名称后缀中添加,有效期限默认为5年(可根据需要作相应改动,此处默认)。点击下一步:点击下一步进入组件的安装,安装过程中可能弹出如下窗口:单击是,继续安装,可能再弹出如下窗口:由于安装证书服务的时候系统会自动在IIS中(这也是为什么必须先安装IIS的原因)添加证书申请服务,该服务系统用ASP写就,所以必须为IIS启用ASP功能,点击是继续安装:完成证书服务的安装。开始 管理工具 证书颁发机构,打开如下窗口:我们已经为服务器成
3、功配置完公用名为AAAAA的独立根CA,Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。此时该服务器(CA)的IIS下多出以下几项:我们可以通过在浏览器中输入以下网址进行数字证书的申请:http:/hostname/certsrv或http:/hostip/certsrv申请界面如下:Windows CA 证书服务器配置(二) 申请数字证书在IE地址栏中输入证书服务系统的地址,进入服务主页:点击申请一个证书进入申请页面:如果证书用作客户端身份认证,则可点击Web浏览器证书或高级证书申请,一般用户申请Web浏览器证书即可,高级证书申请里有更多选项,也就有很多专业术语,高
4、级用户也可点击进入进行申请。这里我们以点击申请Web浏览器证书为例:申请Web浏览器证书,姓名是必填项,其他项目可不填,但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的,所以请尽量多填,并且填写真实信息,因为CA管理员会验证申请人的真实信息,然后进行颁发。需注意的一点是,国家(地区)需用国际代码填写,CN代表中国。如果想查看更多选项,请点击更多选项:在更多选项里,默认的CSP为Microsoft Enhanced Cryptographic Provider v1.0,选择其他CSP不会对认证产生影响。默认情况下启用强私钥保护并没有勾选上,建议将它勾选上,点击提交后就会让申请人设置
5、证书的安全级别,如果不将安全级别设置为高级并用口令进行保护,则只要机器上装有该证书,任何人都可以用它作为认证,所以建议将证书设置为高级安全级别,用口令进行保护。以下将作相应操作,点击提交:单击是:单击设置安全级别:将安全级别设置为高,单击下一步后会弹出口令设置窗口:输入口令,对证书进行加密,并记住密码,因为在以后调用该证书的时候,浏览器会弹出输入密码的窗口。单击完成:单击确定,浏览器页面跳向如下:到这一步,申请人已经向CA服务器发送证书信息,并等待CA管理员对其进行核对,然后决定是否要颁发,如果CA管理员核对信息后决定颁发此证书,则申请人在其颁发之后再次访问该系统:点击查看挂起的证书申请状态:
6、该页面证明CA管理员已经颁发了申请人的证书,点击进入证书安装页面:点击安装此证书:您应该已经信任CA机构,所以请单击是:您已经成功安装数字证书。如果要找回您刚才安装的数字证书,请单击浏览器上的:工具 Internet选项 内容 证书,弹出如下窗口:此时您已经发现,在证书个人存储区内已经安装了您刚刚申请并成功安装的证书。单击查看:这就是您的数字证书了。Windows CA 证书服务器配置(三) CA 证书颁发开始 管理工具 证书颁发机构:在挂起的申请里已经存在申请挂起等待颁发的证书(如图ID=2)。右键点击挂起的证书 所有任务 颁发:刚才的挂起证书已经存入颁发的证书存储区。此时,申请人若在登陆证
7、书申请系统,并查看挂起,就会获取相应的证书。Windows CA 证书服务器配置(四) Web 服务器配置(1)安装好IIS,并将其打开(这里用默认网站为例)右键点击默认网站 属性:选择目录安全性选项卡:图中查看证书为灰色不可用,说明我们还未为默认网站配置数字证书。单击服务器证书,弹出如下窗口:单击下一步:由于之前并为配置过数字证书,所以应选择新建证书。如果以前配置过数字证书,并且数字证书仍然可用,则选择分配现有证书即可。单击下一步:单击下一步:名称可以根据需要更改,不影响证书的使用。位长默认为1024,一般已经足够安全,数值越大就越安全,但是数值越大系统的处理速度就会越慢。直接单击下一步:单
8、位、部门请填写真实并能够被证实的信息,因为CA管理员会根据这些信息进行审核。单击下一步:这一步很关键。公用名称不能随便更改,只能是该网站的DNS,如果尚未申请DNS则可以用IP地址代替。默认情况下是服务器的计算机名,但这种情况只适合于企业机构(AD管理),我们要配置的是独立机构,所以公用名只能是DNS或IP地址。单击下一步:这些信息也将是CA管理员的审核对象。单击下一步:至此,数字证书的信息已经填写完毕,这一步将这些信息以Base64编码的形式保存在本地,Web管理员可以用编码到CA证书申请系统进行证书的申请。单击下一步:以上就是数字证书的本地信息,CA管理员将对其进行审核,并决定是否颁发。单
9、击下一步:单击完成接下来就是到CA的证书申请系统申请服务器验证证书。(待续)Windows CA 证书服务器配置(四) Web 服务器配置(2)打开如下网页: 点击申请一个证书: 点击高级证书申请:使用base64编码的CMC或PKCS#10文件提交一个证书申请,或使用base64编码的PKCS#7文件续订证书申请我们的用于申请的base64编码保存在一个名为certreq.txt的请求文件中。将其打开 全选编码,并将其复制,粘贴到: 点击提交: 我们已经向CA服务器发送证书请求信息,等待CA管理员对信息进行审核并颁发证书。我们假设CA管理员审核证书信息后执行了颁发。我们再次打开CA的证书申请
10、系统: 点击查看挂起的证书申请的状态:点击下载证书 我们等一下要用到的就是该保存到本地的.cer文件。(如果有需要也可以将证书链也下载,证书链里包含CA服务器的数字证书)我们再返回默认网站 属性 目录安全性:单击服务器证书进行数字证书的安装:选择好刚才保存的.cer证书文件SSL的默认端口是443。我们也可以设置能其他端口,但是设置成其他端口号时,用户访问的时候必须在URL中指定端口号。证书安装成功,以上就是数字证书的所有信息单击完成(待续)Windows CA 证书服务器配置(四) Web 服务器配置(3)我们已经可以查看证书了。这就是我们安装完成的证书。如图中所示,Web服务器还不信任我们
11、自己配置的证书颁发机构。没关系,先到CA证书申请系统中下载CA根证书直接键入以上地址栏中的URL即可打开网页,下载CA证书如果之前在下载证书的时候同时下载了证书链则可以不执行此步操作,因为证书链里包含有CA证书。接下来我们要安装CA的数字证书,安装完成后Web服务器才会信任该CA机构。开始 运行:运行打开mmc,单击确定,打开如下窗口。此时在控制台管理单元里什么都没有,没关系,文件 添加/删除管理单元单击添加找到证书的管理单元,单击添加选择计算机帐户,单击下一步单击完成当然我们还可以添加其他管理单元,但是我们现在还用不到,所以单击关闭单击确定我们已经将证书(本地计算机)添加到控制台。将其展开,
12、展开受信任的根证书颁发机构此时我们自己配置根证书颁发机构还不被计算机信任,所以我们必须导入证书颁发机构的数字证书。右键证书导入证书选择我们已经保存的CA证书,单击下一步:此时我们发现,CA证书已经添加到相应区域。我们再返回默认网站 属性 目录安全性服务器已经信任CA机构了接下来可以建立SSL通道请求点击编辑选择要求安全通道,选择要求客户端证书(也可选择其他选项,视具体情况而定)。确定Web服务器配置完毕。Windows CA 证书服务器配置(五) 客户端访问Web服务(终)在客户端浏览器中输入Web地址,打开网页由于Web已经配置成要求SSL通道,所以客户访问的时候不能再用http协议,而应该
13、用https协议修改成https协议后再次打开网页,弹出证书选择的窗口(我们默认客户端已经安装CA证书,如果客户端尚未安装CA证书,则在弹出此窗口之前会弹出一个警告窗口,单击确定后就会弹出证书选择窗口)客户端尚未安装数字证书,所以并没有数字证书提供选择,单击确定后进入错误页面客户端到CA申请数字证书并安装完成后,再次访问Web这一次就会有个人身份验证证书提供选择,选择好,并点击确定由于申请证书的时候将证书的安全级别设置为高,并设置了口令,所以每次需要用到该证书的时候都必须输入口令。用户可以在申请证书的时候将安全级别设低,但是将安全级别设置为高的好处是如果你到一台公共机上使用证书,并且在临走之前忘记删除已安装的证书,别人没有你的口令仍旧是无法使用的。单击确定好了,可以正常访问Web服务了_至此,CA服务与Web服务的配置已经全部完成。