安装CA证书服务的一系列过程

标签：安装ca证书   计算机服务器   申请ca证书   

安装CA证书服务的过程

打开一台server 2008服务器以及一台普通客户机win 7虚拟机。

下面是server 2008上面的IP地址和DNS地址的配置。

下面这是win 7上面的IP配置一定要和server 2008在同一个网段，如果你也是虚拟机要绑定同一个物理网卡。

在win 7虚拟机上面进行ping命令测试。结果如下：互联互通是做实验的最基本步骤。

在server 2008虚拟机上面打开服务器管理器进行添加角色。

这种服务一般都是为企业准备的所以最好先安装AD域。

下面是使用命令建立AD域的过程。

因为是第一个域所以要选择“在新林中新建域”。

下面开始输入一个域名。

这里是选择域的版本信息。

在这里选择“是”就行了。

下面是设置AD域的一些相关文件存放位置（最好不要放在C盘，我是做实验所以就没动这些选项）。

下面这个密码注意要符合密码安全策略复杂性。

下面直接安装完成就行了（没图的地方都是默认配置）。

当域添加完成重启之后，以管理员身份进行登陆。下面这个意思是用benet域的administrator账户进行登录。

下面是打开计算机的属性进行查看。

因为域要有DNS来解析所以这里自动安装了DNS服务。下面添加AD证书服务角色。

现在开始添加AD证书服务。

下一步之后选择在web页面注册，然后添加必须的角色服务。

现在选择企业，如果没有提前安装AD域，“企业”这里是灰***标，是点击不了的。

企业CA的特点。

当安装企业根CA时，对于域中的所有用户和计算机，都会被自动添加到受信任的根证书颁发机构的证书存储区中。

必须是管理员或是对AD具有写权限的管理员，才能安装企业根CA。

独立CA主要有以下特征。

不需要使用AD目录服务。可以在涉及extranet和Internet时使用。

下面选择根域，然后继续下一步。

根CA是指在组织的PKI中最受信任的CA。虽然根CA也能向最终用户颁发证书，但是在大多数情况下，根CA只是用于向其他CA（称为从属CA）颁发证书。

子级CA是由组织中的另一CA（一般是根CA）颁发证书的CA。

选择新建私钥，然后下一步。

在这里选择默认的加密类型以及加密方式。字符长度2048就行了。

加密服务提供程序（CSP）：是执行身份验证、编码和加密服务的程序。

哈希算法：通过此选项，可以选择高级哈希算法。

密钥长度：通过此选项，可以指定在所选算法中使用的密钥所需的最小长度。

下面是配置CA的名称。我这里就使用了默认配置！

下面设置CA证书的有效期，默认是5年。

下面是配置数据存放位置，还是那句话最好不要放在C盘，第一是不安全，第二是容易损坏。

下面还有安装web服务器，搭建web的详细过程在：http://zhang2015.blog.51cto.com/这里就不在啰嗦了。最后点击安装就行了。

安装完之后打开CA证书的控制台。

在这里可以看到关于证书服务的一切信息，目前是空的。

下面打开web服务的IIS管理器。

右击计算机名称之后，双击打开服务器证书服务。

点击右边的创建证书申请，输入申请者的一些相关信息。

为web站点应用证书前必须先生成证书申请，用于标识证书将用于哪个web站点。

使用2048位的密钥长度，默认的加密程序就行了。

选择证书存放的位置，以及类型。

打开刚才证书存放的位置，双击可以看到证书申请的是base64编码。

下面是提交证书申请。这里首先要打开IE浏览器进行设置。因为我的证书不是经过正式机构认证的所以要关闭安全设置。

如下所示关闭IE浏览的增强配置。

此时使用IE浏览器访问web主站点下证书服务的虚拟目录。需要输入管理员账户以及计算机密码。

点击申请证书。

点击生成一个高级证书申请。

使用刚才创建完成的base64编码的证书申请。

复制刚才创建的base64编码内容到保存的申请。

粘贴完整之后在证书模板里下拉选择web服务器。然后提交。

转到新窗口点击下载证书，选择保存。另存一个地方。

点击浏览选择保存的位置，为了方便查看我这里选择的是桌面。

可以看到下面生成好了的证书。（如果是独立CA的话需要在CA控制台中右击证书选择颁发按钮）。

下面是证书的安装与使用。

再次回到web服务器的控制台，点击右边的完成证书的申请。

下面配置安全通道SSL，也就是在指定的站点启用https（安全超文本传输协议）。还是在IIS管理器的位置，点击网站站点，选择右边的绑定属性，在新窗口中点击添加，选择https安全超文本传输协议的类型，在SSL证书中选择之前安装的证书。

如图所说：当站点设置为https之后，SSL也需要配置，双击打开。

下图配置的释义是：

要求SSL：强制用户都使用SSL方式连接站点。

需要128位SSL：使用128位密钥加密SSL通道。

忽略：无论用户是否拥有证书，都将被授予访问权限。

接受：用户可以使用客户端证书访问资源，但证书并不是必须的。

必须：服务器在将用户与资源连接之前要验证客户端证书。

现在打开CA服务器的控制台在颁发的证书里面应该是有两个已经颁发的证书了。

下面可以win 7客户机使用https方式和站点建立连接。此时系统会弹出两个警报窗口。因为我的证书不是经过Internet上认证的。

下面就可以访问网站了。上面会显示证书错误（伪造的）。

证书的导入和导出，防止安装了证书的网站需要重新建立。打开IIS管理器点击计算机名选择服务器证书，点击想要导出的证书，最后点击导出按钮。

点击“导出至”右边的按钮，选择导出证书存放的位置。

输入导入导出的密码，最后点击确定。

可以看到我桌面上面现在由多了一个证书文件。

现在我把原来的证书删除掉，然后再点击右边的导入按钮。注意密码是刚才导出时的密码。

可以看到我现在又把zhangsan这个证书导入了回来。

OK实验完成！欢迎讨论！谢谢大家！

本文出自 “朕的天下” 博客，请务必保留此出处http://zhang2015.blog.51cto.com/9735109/1629775

安装CA证书服务的一系列过程

标签：安装ca证书   计算机服务器   申请ca证书   

原文地址：http://zhang2015.blog.51cto.com/9735109/1629775