WindowsCA证书服务器配置(一)——Microsoft证书服务安装安装准备:插入WindowsServer2003系统安装光盘添加IIS组件:点击‘确定’,安装完毕后,查看IIS管理器,如下:添加‘证书服务’组件:如果您的机器没有安装活动目录,在勾选以上‘证书服务’时,将弹出如下窗口:由于我们将要安装的是独立CA,所以不需要安装活动目录,点击‘是’,窗口跳向如下:默认情况下,‘用自定义设置生成密钥对和CA证书’没有勾选,我们勾选之后点击‘下一步’可以进行密钥算法的选择:Microsoft证书服务的默认CSP为:MicrosoftStrongCryptographicProvider,默认散列算法:SHA-1,密钥长度:2048——您可以根据需要做相应的选择,这里我们使用默认。点击‘下一步’:填写CA的公用名称(以AAAAA为例),其他信息(如邮件、单位、部门等)可在‘可分辨名称后缀’中添加,有效期限默认为5年(可根据需要作相应改动,此处默认)。点击‘下一步’:点击‘下一步’进入组件的安装,安装过程中可能弹出如下窗口:单击‘是’,继续安装,可能再弹出如下窗口:由于安装证书服务的时候系统会自动在IIS中(这也是为什么必须先安装IIS的原因)添加证书申请服务,该服务系统用ASP写就,所以必须为IIS启用ASP功能,点击‘是’继续安装:‘完成’证书服务的安装。开始》》》管理工具》》》证书颁发机构,打开如下窗口:我们已经为服务器成功配置完公用名为AAAAA的独立根CA,Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。此时该服务器(CA)的IIS下多出以下几项:我们可以通过在浏览器中输入以下网址进行数字证书的申请:或申请界面如下:WindowsCA证书服务器配置(二)——申请数字证书在IE地址栏中输入证书服务系统的地址,进入服务主页:点击‘申请一个证书’进入申请页面:如果证书用作客户端身份认证,则可点击‘Web浏览器证书’或‘高级证书申请’,一般用户申请‘Web浏览器证书’即可,‘高级证书申请’里有更多选项,也就有很多专业术语,高级用户也可点击进入进行申请。这里我们以点击申请‘Web浏览器证书’为例:申请‘Web浏览器证书’,‘姓名’是必填项,其他项目可不填,但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的,所以请尽量多填,并且填写真实信息,因为CA管理员会验证申请人的真实信息,然后进行颁发。需注意的一点是,‘国家(地区)’需用国际代码填写,CN代表中国。如果想查看更多选项,请点击‘更多选项’:在‘更多选项’里,默认的CSP为MicrosoftEnhancedCryptographicProviderv1.0,选择其他CSP不会对认证产生影响。默认情况下‘启用强私钥保护’并没有勾选上,建议将它勾选上,点击提交后就会让申请人设置证书的安全级别,如果不将安全级别设置为高级并用口令进行保护,则只要机器上装有该证书,任何人都可以用它作为认证,所以建议将证书设置为高级安全级别,用口令进行保护。以下将作相应操作,点击‘提交’:单击‘是’:单击‘设置安全级别’:将安全级别设置为‘高’,单击‘下一步’后会弹出口令设置窗口:输入口令,对证书进行加密,并记住密码,因为在以后调用该证书的时候,浏览器会弹出输入密码的窗口。单击‘完成’:单击‘确定’,浏览器页面跳向如下:到这一步,申请人已经向CA服务器发送证书信息,并等待CA管理员对其进行核对,然后决定是否要颁发,如果CA管理员核对信息后决定颁发此证书,则申请人在其颁发之后再次访问该系统:点击‘查看挂起的证书申请状态’:该页面证明CA管理员已经颁发了申请人的证书,点击进入证书安装页面:点击‘安装此证书’:您应该已经信任CA机构,所以请单击‘是’:您已经成功安装数字证书。如果要找回您刚才安装的数字证书,请单击浏览器上的:工具》》》Internet选项》》》内容》》》证书,弹出如下窗口:此时您已经发现,在证书个人存储区内已经安装了您刚刚申请并成功安装的证书。单击‘查看’:这就是您的数字证书了。WindowsCA证书服务器配置(三)——CA证书颁发开始》》》管理工具》》》证书颁发机构:在‘挂起的申请’里已经存在申请挂起等待颁发的证书(如图ID=2)。右键点击挂起的证书》》》所有任务》》》颁发:刚才的挂起证书已经存入‘颁发的证书’存储区。此时,申请人若在登陆证书申请系统,并查看挂起,就会获取相应的证书。WindowsCA证书服务器配置(四)——Web服务器配置(1)安装好IIS,并将其打开(这里用‘默认网站’为例)右键点击‘默认网站’》》》属性:选择‘目录安全性’选项卡:图中‘查看证书’为灰色不可用,说明我们还未为‘默认网站’配置数字证书。单击‘服务器证书’,弹出如下窗口:单击‘下一步’:由于之前并为配置过数字证书,所以应选择‘新建证书’。如果以前配置过数字证书,并且数字证书仍然可用,则选择‘分配现有证书’即可。单击‘下一步’:单击‘下一步’:名称可以根据需要更改,不影响证书的使用。位长默认为1024,一般已经足够安全,数值越大就越安全,但是数值越大系统的处理速度就会越慢。直接单击‘下一步’:单位、部门请填写真实并能够被证实的信息,因为CA管理员会根据这些信息进行审核。单击‘下一步’:这一步很关键。公用名称不能随便更改,只能是该网站的DNS,如果尚未申请DNS则可以用IP地址代替。默认情况下是服务器的计算机名,但这种情况只适合于企业机构(AD管理),我们要配置的是独立机构,所以公用名只能是DNS或IP地址。单击‘下一步’:这些信息也将是CA管理员的审核对象。单击‘下一步’:至此,数字证书的信息已经填写完毕,这一步将这些信息以Base64编码的形式保存在本地,Web管理员可以用编码到CA证书申请系统进行证书的申请。单击‘下一步’:以上就是数字证书的本地信息,CA管理员将对其进行审核,并决定是否颁发。单击‘下一步’:单击‘完成’接下来就是到CA的证书申请系统申请服务器验证证书。WindowsCA证书服务器配置(四)——Web服务器配置(2)打开如下网页:点击‘申请一个证书’:点击‘高级证书申请’:‘使用base64编码的CMC或PKCS#10文件提交一个证书申请,或使用base64编码的PKCS#7文件续订证书申请’我们的用于申请的base64编码保存在一个名为certreq.txt的请求文件中。将其打开全选编码,并将其复制,粘贴到:点击‘提交’:我们已经向CA服务器发送证书请求信息,等待CA管理员对信息进行审核并颁发证书。我们假设CA管理员审核证书信息后执行了颁发。我们再次打开CA的证书申请系统:点击‘查看挂起的证书申请的状态’:点击‘下载证书’我们等一下要用到的就是该保存到本地的.cer文件。(如果有需要也可以将‘证书链’也下载,证书链里包含CA服务器的数字证书)我们再返回默认网站》》》属性》》》目录安全性:单击‘服务器证书’进行数字证书的安装:选择好刚才保存的.cer证书文件SSL的默认端口是443。我们也可以设置能其他端口,但是设置成其他端口号时,用户访问的时候必须在URL中指定端口号。证书安装成功,以上就是数字证书的所有信息单击‘完成’(待续)WindowsCA证书服务器配置(四)——Web服务器配置(3)我们已经可以‘查看证书’了。这就是我们安装完成的证书。如图中所示,Web服务器还不信任我们自己配置的证书颁发机构。没关系,先到CA证书申请系统中下载CA根证书直接键入以上地址栏中的URL即可打开网页,‘下载CA证书’如果之前在下载证书的时候同时下载了‘证书链’则可以不执行此步操作,因为证书链里包含有CA证书。接下来我们要安装CA的数字证书,安装完成后Web服务器才会信任该CA机构。开始》》》运行:运行打开mmc,单击‘确定’,打开如下窗口。此时在控制台管理单元里什么都没有,没关系,文件》》》添加/删除管理单元单击‘添加’找到‘证书’的管理单元,单击‘添加’选择‘计算机帐户’,单击‘下一步’单击‘完成’当然我们还可以添加其他管理单元,但是我们现在还用不到,所以单击‘关闭’单击‘确定’我们已经将‘证书(本地计算机)’添加到控制台。将其展开,展开‘受信任的根证书颁发机构’此时我们自己配置根证书颁发机构还不被计算机信任,所以我们必须导入证书颁发机构的数字证书。右键‘证书’导入证书选择我们已经保存的CA证书,单击‘下一步’:此时我们发现,CA证书已经添加到相应区域。我们再返回默认网站》》》属性》》》目录安全性服务器已经信任CA机构了接下来可以建立SSL通道请求点击‘编辑’选择‘要求安全通道’,选择‘要求客户端证书’(也可选择其他选项,视具体情况而定)。‘确定’Web服务器配置完毕。WindowsCA证书服务器配置(五)——客户端访问Web服务(终)在客户端浏览器中输入Web地址,打开网页由于Web已经配置成要求SSL通道,所以客户访问的时候不能再用http协议,而应该用https协议修改成https协议后再次打开网页,弹出证书选择的窗口(我们默认客户端已经安装CA证书,如果客户端尚未安装CA证书,则在弹出此窗口之前会弹出一个警告窗口,单击确定后就会弹出证书选择窗口)客户端尚未安装数字证书,所以并没有数字证书提供选择,单击确定后进入错误页面客户端到CA申请数字证书并安装完成后,再次访问Web这一次就会有个人身份验证证书提供选择,选择好,并点击确定由于申请证书的时候将证书的安全级别设置为‘高’,并设置了口令,所以每次需要用到该证书的时候都必须输入口令。用户可以在申请证书的时候将安全级别设低,但是将安全级别设置为‘高’的好处是如果你到一台公共机上使用证书,并且在临走之前忘记删除已安装的证书,别人没有你的口令仍旧是无法使用的。单击‘确定’好了,可以正常访问Web服务了^_^至此,CA服务与Web服务的配置已经全部完成。