安裝CA憑證服務的過程
打開一台server 2008伺服器以及一台普通客戶機win 7虛拟機。
下面是server 2008上面的IP位址和DNS位址的配置。
下面這是win 7上面的IP配置一定要和server 2008在同一個網段,如果你也是虛拟機要綁定同一個實體網卡。
在win 7虛拟機上面進行ping指令測試。結果如下:互聯互通是做實驗的最基本步驟。
在server 2008虛拟機上面打開伺服器管理器進行添加角色。
這種服務一般都是為企業準備的是以最好先安裝AD域。
下面是使用指令建立AD域的過程。
因為是第一個域是以要選擇“在新林中建立域”。
下面開始輸入一個域名。
這裡是選擇域的版本資訊。
在這裡選擇“是”就行了。
下面是設定AD域的一些相關檔案存放位置(最好不要放在C槽,我是做實驗是以就沒動這些選項)。
下面這個密碼注意要符合密碼安全政策複雜性。
下面直接安裝完成就行了(沒圖的地方都是預設配置)。
當域添加完成重新開機之後,以管理者身份進行登陸。下面這個意思是用benet域的administrator賬戶進行登入。
下面是打開計算機的屬性進行檢視。
因為域要有DNS來解析是以這裡自動安裝了DNS服務。下面添加AD證書服務角色。
現在開始添加AD證書服務。
下一步之後選擇在web頁面注冊,然後添加必須的角色服務。
現在選擇企業,如果沒有提前安裝AD域,“企業”這裡是灰***标,是點選不了的。
企業CA的特點。
當安裝企業根CA時,對于域中的所有使用者和計算機,都會被自動添加到受信任的根證書頒發機構的證書存儲區中。
必須是管理者或是對AD具有寫權限的管理者,才能安裝企業根CA。
獨立CA主要有以下特征。
不需要使用AD目錄服務。可以在涉及extranet和Internet時使用。
下面選擇根域,然後繼續下一步。
根CA是指在組織的PKI中最受信任的CA。雖然根CA也能向最終使用者頒發證書,但是在大多數情況下,根CA隻是用于向其他CA(稱為從屬CA)頒發證書。
子級CA是由組織中的另一CA(一般是根CA)頒發證書的CA。
選擇建立私鑰,然後下一步。
在這裡選擇預設的加密類型以及加密方式。字元長度2048就行了。
加密服務提供程式(CSP):是執行身份驗證、編碼和加密服務的程式。
雜湊演算法:通過此選項,可以選擇進階雜湊演算法。
密鑰長度:通過此選項,可以指定在所選算法中使用的密鑰所需的最小長度。
下面是配置CA的名稱。我這裡就使用了預設配置!
下面設定CA憑證的有效期,預設是5年。
下面是配置資料存放位置,還是那句話最好不要放在C槽,第一是不安全,第二是容易損壞。
下面還有安裝web伺服器,搭建web的詳細過程在:http://zhang2015.blog.51cto.com/這裡就不在啰嗦了。最後點選安裝就行了。
安裝完之後打開CA憑證的控制台。
在這裡可以看到關于證書服務的一切資訊,目前是空的。
下面打開web服務的IIS管理器。
右擊計算機名稱之後,輕按兩下打開伺服器證書服務。
點選右邊的建立證書申請,輸入申請者的一些相關資訊。
為web站點應用證書前必須先生成證書申請,用于辨別證書将用于哪個web站點。
使用2048位的密鑰長度,預設的加密程式就行了。
選擇證書存放的位置,以及類型。
打開剛才證書存放的位置,輕按兩下可以看到證書申請的是base64編碼。
下面是送出證書申請。這裡首先要打開IE浏覽器進行設定。因為我的證書不是經過正式機構認證的是以要關閉安全設定。
如下所示關閉IE浏覽的增強配置。
此時使用IE浏覽器通路web主站點下證書服務的虛拟目錄。需要輸入管理者賬戶以及計算機密碼。
點選申請證書。
點選生成一個進階證書申請。
使用剛才建立完成的base64編碼的證書申請。
複制剛才建立的base64編碼内容到儲存的申請。
粘貼完整之後在證書模闆裡下拉選擇web伺服器。然後送出。
轉到新視窗點選下載下傳證書,選擇儲存。另存一個地方。
點選浏覽選擇儲存的位置,為了友善檢視我這裡選擇的是桌面。
可以看到下面生成好了的證書。(如果是獨立CA的話需要在CA控制台中右擊證書選擇頒發按鈕)。
下面是證書的安裝與使用。
再次回到web伺服器的控制台,點選右邊的完成證書的申請。
下面配置安全通道SSL,也就是在指定的站點啟用https(安全超文本傳輸協定)。還是在IIS管理器的位置,點選網站站點,選擇右邊的綁定屬性,在新視窗中點選添加,選擇https安全超文本傳輸協定的類型,在SSL證書中選擇之前安裝的證書。
如圖所說:當站點設定為https之後,SSL也需要配置,輕按兩下打開。
下圖配置的釋義是:
要求SSL:強制使用者都使用SSL方式連接配接站點。
需要128位SSL:使用128位密鑰加密SSL通道。
忽略:無論使用者是否擁有證書,都将被授予通路權限。
接受:使用者可以使用用戶端證書通路資源,但證書并不是必須的。
必須:伺服器在将使用者與資源連接配接之前要驗證用戶端證書。
現在打開CA伺服器的控制台在頒發的證書裡面應該是有兩個已經頒發的證書了。
下面可以win 7客戶機使用https方式和站點建立連接配接。此時系統會彈出兩個警報視窗。因為我的證書不是經過Internet上認證的。
下面就可以通路網站了。上面會顯示證書錯誤(僞造的
)。
證書的導入和導出,防止安裝了證書的網站需要重建立立。打開IIS管理器點選計算機名選擇伺服器證書,點選想要導出的證書,最後點選導出按鈕。
點選“導出至”右邊的按鈕,選擇導出證書存放的位置。
輸入導入導出的密碼,最後點選确定。
可以看到我桌面上面現在由多了一個證書檔案。
現在我把原來的證書删除掉,然後再點選右邊的導入按鈕。注意密碼是剛才導出時的密碼。
可以看到我現在又把zhangsan這個證書導入了回來。