Windows+CA+证书服务器配置——+Microsoft+证书服务安装

合集下载

CA证书服务安装文档

CA证书服务安装准备环境：windows server2008 X64 SP2，按照计算机命名规则更改计算机名并加入域，安装iis服务；安装步骤：1.在windows server 2008上，从“管理工具”中打开“服务器管理器”——“角色”——“添加角色”。

打开“添加角色向导”。

2.单击“下一步”，进入“选择服务器角色”窗口，选择“AD证书服务”，单击“下一步”；在“选择角色服务”的窗口中选择“证书颁发机构”和“证书颁发机构WEB注册”，3.在弹出的“添加角色向导”窗口点击“添加所需的角色服务”；单机“下一步”；4.在“指定安装类型”中选择“企业”，单击“下一步”；5.在“指定CA类型”中选择“根”，单击“下一步”；6.在“设置私钥”窗口中选择“新建私钥”；单击“下一步”；7.在“为CA配置加密”窗口中保持默认设置即可。

单击“下一步”；8.在“配置CA名称”窗口保持默认选项即可，单击“下一步”；9.在后续操作中保持默认，直接下一步；10.CA证书服务安装完成。

证书的申请与颁发1.在windows sercer 2008 打开“管理工具”——“internet信息服务管理器”，左侧选择服务器名称，双击中间窗格的“服务器证书”；2.点击右侧“创建证书申请”。

3.在“可分辨名称属性”窗口输入证书的必要信息；4.在“加密服务提供程序属性”窗口，保持默认单击“下一步”；5.在“文件名”窗口，为该证书申请指定一个文件名和保存位置，在C盘下建立文本文件，浏览选择即可。

单击“完成”；会提示已存在，单击覆盖；6.打开证书申请文件，可见证书申请文佳是Base-64编码；7.用IE打开证书申请页面，输入域用户名和密码。

在证书服务页面单击“申请证书”8.在“申请一个证书”页面中。

单击“申请高级证书”；9.在“高级证书申请”页面中，单击“使用Base64编码………”；10.在“提交一个证书申请或续订申请”页面中，“保存的申请”框中把文本文件中的内容复制粘贴进来，在“证书模版”中选择“WEB服务器”；单击“提交”；11.在“证书已颁发”界面中选择“Base64编码”，单击“下载证书”；将证书保存到本地；将证书下载到本地后，就可以为指定的web站点应用该证书。

CA证书安装流程

CA证书下载安装流程
二、注册会员,填写用户信息
三、点击用户注册
四、登录,下载安装WIN7补丁后,选择并点击“下载并安装根CA证书”
五、1点击安装证书
2 选择“下一步”；
3 选择“下一步”；
4 选择“完成”；
6 安装完成,出现“导入成功”提示;
7安装成功后,可以选择IE浏览器的“工具”菜单中的“INTERNET 选项”,选择“内容”页,点击“证书”按钮,打开“证书”对话框;在“中级认证机构”及“受信任的根证书”中会出现CFCA相关根证书;
8）此时,可对该证书进行导出、删除等相关操作;
六、用表格下载证书
点击保存
可以选择IE浏览器的“工具”菜单中的“INTERNET 选项”,选择“内容”页,点击“证书”按钮,打开“证书”对话框;在“中级认证机构”及“受信任的根证书”中会出现CFCA相关根证书;。

windows2021中CA服务器配置方法与步骤

windows2021中CA服务器配置方法与步骤windows2021中ca服务器的安装与配置ca是认证中心的意思：如果你要访问这个网站，你必须通过认证之后，才有资格访问这个网站，平常是不能访问这个网站的，这个网站的安全性能提高很多。

第一部分：加装步骤一、安装证书服装器用一个证书的服务器去颁授证书，然后再采用这个证书。

ca的公用名称：windows2021a二、要在配置的网站上申请证书(草稿）找出我们布局的网站的名称：myweb,右击“属性”-“目录安全性”-“服务器证书”，回去提出申请一个证书。

“新建一个证书”，在国家时“必须挑选cn中国“，下面省市：江苏省，邳州市，最后必须分解成一个申请的文件，一般文件名叫：certreg.txt这样一个文件。

相当于一个申请书。

三、正式宣布向证书机构回去提出申请一个证书（正式宣布提出申请）local本地host是主机：localhost本地主机/certsrv这个cert这证书serversrv服务器certsrv:证书服务器。

1、提出申请一个证书2高级证书提出申请3、选择一个base64这个证书4、把刚才分解成的申请书文件：certrreg.txt文件中的内容全部导入到网页中留存的提出申请侧边中。

5。

提交之后才正式申请开始，等着颁发证书。

四、颁授证书到“证书颁发机构”-选择\挂起的申请“，找到这个申请之后，右击”任务“颁发”这就相当于颁发一个正常的证书了。

2、查阅挂上的证书提出申请的状态，如果存有一个，就浏览这个证书：用base64这个类型的证书，把这个证书留存起至c：\\certnew.cer这样一个崭新证书。

六、使用这个证书来完成ca服务器的配置。

右击“这个网站的名字myweb\选“属性”“目录安全性”中“服务器证书”“处理一个新的证书”，把刚才下载到c：\\certnew.cer这样一个证书用上就可以了。

七、采用ssl(安全地下通道）功能去出访网页方法是：右击“myweb\这个网站，选择“属性”“目录安全性”在“安全通信中的编辑”中，选择“要求安全通道”和”要求客户端的证书“。

微软CA

选择“使用服务帐户”并单击“下一步”。
您将需要创建一个用户帐户，并使其成为IIS_WPG Group 的成员。
提供服务帐户信息。必须使用域\用户名。然后单击“下一步”。
选择“要求注册 SCEP 密语”。在设备已准备好使用 CA 进行注册之后，请访问
[url=http://caip/certsrv/mscep/msdep.dll]http://caip/certsrv/msdep.dll 网站（从任何客户端）。这将提供在注册期间需要指定的“密
配置微软 CA 服务器+SCEP
CA安装使用注意事项:
1、操作系统必须是windows2000 server或windows 2003
2、安装前，系统系统必须先安装IIS服务。
– 进入控制面板，进入添加或删除程序，点“添加/删除Windows组件”，弹出组件向导界面，双击“应用程序服务”，进入应用服务程序界面，勾选“Internet 信息服务”点击确定，放入windows2003/windows2000server安装盘，按提示完成IIS安装。
[2]Authority Info Access
Access Method=证书颁发机构颁发者 (1.3.6.1.5.5.7.48.2)
Alternative Nபைடு நூலகம்me:
URL=/CertEnroll/_zy.crt
URL=/CertEnroll/zy.crl
颁发机构信息访问
[1]Authority Info Access
Access Method=证书颁发机构颁发者 (1.3.6.1.5.5.7.48.2)
Alternative Name:
语”。“密语”在 60 分钟内有效。然后单击“下一步”。

证书服务器CA的安装及其配置

证书服务器CA的安装及其配置先安装非AD域环境下的证书服务。

证书服务器CA是很实用的一个工具，其安装之前必须要安装IIS组件。

然后点击添加证书服务，选择独立根，单击下一步，给证书服务器命名；选择证书服务器数据库和日志存放位置；单击下一步开始安装。

（提示停止IIS服务）弹出对话框，如图，单击是；安装完成后，客户端即可申请证书，由于是独立根CA，而且不是域环境，所以只能通过web浏览器申请证书：http://CA服务器的ip地址或者计算机名/certsrv，如图：选择申请一个证书；选择web浏览器证书；选择创建并向此CA提交一个申请；填写注册信息，然后点击提交；如图所示；再由CA服务器的管理员手工颁发证书，打开证书服务器，选择管理工具-证书颁发机构，颁发证书；打开IIS服务器，可以看到此时该服务器（CA）的IIS下多出以下几项：打开IE，输入http://服务器名或IP名/certsrv，点击查看挂起的证书申请的状态。

可以通过Internet选项的“内容”或者MMC证书管理单元进行查看。

此外，在申请证书时如果选择启用强私钥保护，弹出对话框，点击是单击设置安全级别；安全级别设置为‘高’，单击‘下一步’后会弹出口令设置窗口：然后输入密码，单击完成；单击确定；打开IE输入http://192.168.1.6/certsrv/certckpn.asp，按照上诉步骤点击需要查看的证书，点击客户端身份证书，弹出对话框；如图打开IE工具-Internet选项-内容-证书，即可查看刚刚颁发的证书。

在web中实现SSL1.生成证书申请打开IIS管理器，展开网站，右击想要安装该的证书的 Web 站点，单击属性。

选择目录安全性选项卡，单击“安全通信”下的“服务器证书”。

弹出欢迎使用web服务器证书安全向导，单击下一步，选择“新建证书”单击“下一步”。

选择“现在准备证书请求，但稍后发送”单击下一步。

然后键入证书的名称。

选择位长；越高的位长，在更强的证书加密。

WindowsCA_证书服务器配置

WindowsCA_证书服务器配置Windows CA 证书服务器配置一、介绍Windows CA 证书服务器是用于创建和管理数字证书的工具。

本文将指导您如何配置 Windows CA 证书服务器以确保安全的证书管理和分发。

二、系统要求在开始配置 Windows CA 证书服务器之前，请确保系统满足以下要求：1、Windows Server 操作系统。

2、硬件资源满足最低配置要求。

3、网络连接稳定。

三、安装 Windows CA 证书服务1、打开“服务器管理器”。

2、在“角色和功能”窗口中，选择“添加角色和功能”。

3、在向导中，选择“角色基于功能或角色的安装”，并“下一步”。

4、选择要安装 Windows CA 证书服务的服务器，“下一步”。

5、在“选择服务器角色”窗口中，选中“Active Directory 统一访问角色”，“下一步”。

6、在“选择角色服务”窗口中，选中“证书授权服务”，“下一步”。

7、在“确认安装选择”窗口中，“安装”。

8、安装完成后，“关闭”。

四、配置 Windows CA 证书服务器1、打开“证书授权管理控制台”。

2、在左侧导航栏中，选择“证书授权站点”。

3、在右侧窗口中，“配置证书授权站点”。

4、在向导中，选择“企业证书授权站点”，“下一步”。

5、选择要使用的证书数据库类型，“下一步”。

6、配置站点设置，包括站点名称、默认访问 URL 等，“下一步”。

7、配置证书颁发策略，设置证书的颁发方式和条件，“下一步”。

8、配置证书申请策略，设置证书的申请方式和条件，“下一步”。

9、完成配置后，“完成”。

五、证书管理1、打开“证书授权管理控制台”。

2、在左侧导航栏中，选择“已颁发的证书”。

3、在右侧窗口中，可以查看和管理已颁发的证书。

六、证书分发1、打开“证书授权控制台”。

2、在左侧导航栏中，选择“颁发策略”。

3、在右侧窗口中，可配置证书颁发的策略。

4、在客户端申请证书时，其请求将被验证，并根据颁发策略进行处理。

CA证书配置方法

Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装2008-09-2410:03安装准备：插入Windows Server 2003 系统安装光盘添加IIS组件：点击‘确定'，安装完毕后，查看IIS管理器，如下：添加”证书服务“组件如果您的机器没有安装活动目录，在勾选以上‘证书服务'时，将弹出如下窗口：由于我们将要安装的是独立CA，所以不需要安装活动目录，点击‘是'，窗口跳向如下：默认情况下，‘用自定义设置生成密钥对和CA证书'没有勾选，我们勾选之后点击‘下一步'可以进行密钥算法的选择：Microsoft 证书服务的默认CSP为：Microsoft Strong CryptographicProvider，默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。

点击‘下一步'：填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀'中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。

点击‘下一步'点击‘下一步'进入组件的安装，安装过程中可能弹出如下窗口：单击‘是'，继续安装，可能再弹出如下窗口：由于安装证书服务的时候系统会自动在IIS中（这也是为什么必须先安装IIS的原因）添加证书申请服务，该服务系统用ASP写就，所以必须为IIS启用ASP功能，点击‘是'继续安装：‘完成'证书服务的安装。

开始 --》管理工具 --》证书颁发机构，打开如下窗口：我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。

此时该服务器（CA）的IIS下多出以下几项：我们可以通过在浏览器中输入以下网址进行数字证书的申请：http://hostname/certsrv或http://hostip/certsrv申请界面如下：。

WindowsCA_证书服务器配置

WindowsCA_证书服务器配置Windows CA证书服务器配置指南一、引言Windows CA（Certificate Authority）是一种权威的证书颁发机构，负责为组织内部或互联网上的计算机、用户或设备颁发数字证书。

数字证书是一种用于验证实体身份的电子文档，可用于确保通信的安全性和完整性。

本文将详细介绍Windows CA证书服务器的配置方法，帮助您完成证书颁发的整个流程。

二、配置步骤1、安装证书服务在Windows服务器上安装证书服务，可以打开“服务器管理器”，然后从“角色”页面选择“添加角色”。

在“角色”对话框中，选择“证书”，然后按照向导完成安装。

2、创建根CA在安装完证书服务后，需要创建一个根CA。

在“服务器管理器”中，打开“证书”并选择“根CA”。

在“根CA”对话框中，输入CA的名称和其他相关信息，然后按照向导完成创建。

3、配置颁发机构策略在创建完根CA后，需要配置颁发机构策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“策略”选项卡，然后根据需要进行配置。

例如，可以设置证书的有效期、设置证书的主题和其他相关信息等。

4、配置申请策略在配置完颁发机构策略后，需要配置申请策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请”选项卡，然后根据需要进行配置。

例如，可以设置申请者的身份验证方法和证书模板等。

5、接受申请当有用户或设备需要申请数字证书时，需要在证书服务器上接受申请。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请队列”选项卡，然后双击需要处理的申请。

在“处理申请”对话框中，选择处理方式（例如自动批准或手动批准），然后按照向导完成处理。

6、颁发证书在处理完申请后，需要颁发数字证书。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“已颁发的证书”选项卡，然后双击需要颁发的证书。

CA(证书颁发机构)服务器配置图解过程

试验拓扑：
试验内容以及拓扑说明：
试验内容：独立根CA服务器与独立从属CA服务器搭建以及客户端证书申请
试验拓扑说明：图中server1担任独立根CA服务器，server2担任独立从属CA服务器，另外三台客户机，分别为client1、client2和client3.
试验配置过程：
第一步：构建独立根CA服务器，我需要先安装IIS（证书服务安装过程中会在IIS的默认网站中写入虚拟目录，如果没有IIS的话，无法通过web浏览器的方式申请证书），然后再安装证书服务，配置过程如下：
安装完成后，如图：
证书服务的安装过程：
安装完成后，客户端即可申请证书，由于是独立根CA，而且我们不是域环境，所以我们只能通过web浏览器申请证书：http://CA服务器的ip地址或者计算机名/certsrv，如图：
再由CA服务器的管理员手工颁发证书，打开证书服务器server1，选择管理工具---证书颁发机构，颁发证书：
可以通过Internet选项的“内容”或者MMC证书管理单元进行查看
安装独立从属CA，它必须先从独立根CA申请证书后才可以正常使用
证书请求文件已经生成，然后利用请求文件再向CA服务器发送证书请求，申请证书
选择“使用base64编码的那个选项”，然后把申请的请求文件（后缀为.req）使用记事本打开，并将内容全部复制到空白处，如下图：
本文出自“陈宣宋微软技术空间” 博客，请务必保留此出处。

CA证书服务器

【转】Win2003证书服务配置/客户端(服务端)证书申请一．CA证书服务器安装1．安装证书服务之前要先安装IIS服务并且保证“WEB服务扩展”中的“Active Server Pages”为允许状态2．在“控制面板”中运行“添加或删除程序”，切换到“添加/删除Windows组件”页3．在“Windows组件向导”对话框中，选中“证书服务”选项，接下来选择CA类型，这里选择“独立根CA”4．然后为该CA服务器起个名字(本例中的名字为CntvsServer)，设置证书的有效期限，建议使用默认值“5年”即可，最后指定证书数据库和证书数据库日志的位置后，就完成了证书服务的安装。

5.安装完成后，系统会自动在IIS的默认站点，建几个虚拟目录CertSrc,CertControl,CertEnroll二．客户端证书申请1. 运行Internet Explorer浏览器，在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”。

证书申请页面，输入相应的申请信息，然后点击［申请一个证书］。

接下来选择"Web浏览器证书"填写相关信息2. 系统将处理您提交的申请，此过程可能要等待10秒钟左右。

建议最好记下申请ID（本例为4）三。

客户端证书的颁发打开“管理工具”选择“证书颁发机构”，打开"挂起的申请",右击-->"颁发"四。

客户端证书的下载及安装1.运行Internet Explorer浏览器，在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”,选择“查看挂起的证书申请状态”2.找到自己申请的证书3.安装证书安装完成后，可到IE里查看刚刚安装好的证书五.服务器证书的申请1.以IIS的默认站为例，先右击站点，打开网站属性-->目录安全性-->服务器证书2.按IIS证书向导一步步提交服务器证书申请六。

WindowsCA_证书服务器配置

8
CA的架构
CA认证的主要工具是CA中心为网上作业主体颁发的数字证书。CA架构包括PKI结构、高强度抗攻击的公开加解密算法、数字签名技术、身份认证技术、运行安全管理技术、可靠的信任责任体系等等。从业务流程涉及的角色看，包括认证机构、数字证书库和黑名单库、密钥托管处理系统、证书目录服务、证书审批和作废处理系统。从CA的层次结构来看，可以分为认证中心（根CA）、密钥管理中心（KM）、认证下级中心（子CA）、证书审批中心（RA中心）、证书审批受理点（RAT）等。CA中心一般要发布认证体系声明书，向服务的对象郑重声明CA的政策、保证安全的措施、服务的范围、服务的质量、承担的责任、操作流程等条款。
书是由权威公正的第三方机构即CA中心签发的，它在证书申请被认证中心批准后，通过登记服务机构将证书发放给申请
者。
14
CA中的数字证书
数字安全证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心) 的名称，该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。一个标准的X.509数字安全证书包含以下一些内容：
10
CA的架构
密钥的管理政策是把公钥和实体绑定，由CA中心把实体的信息和实体的公钥制作成数字证书，证书的尾部必须有CA 中心的数字签名。由于CA中心的数字签名是不可伪造的，因此实体的数字证书不可伪造。CA中心对实体的物理身份资格审查通过后，才对申请者颁发数字证书，将实体的身份与数字证书对应起来。由于实体都信任提供第三方服务的CA中心，因此，实体可以信任由CA中心颁发数字证书的其他实体，放心地在网上进行作业和交易。

CA证书服务配置

(1)开启两台windows server 2003，windows server 2003（1）作为CA证书服务器，windows server 2003（2）作为客户端①Windows server 2003（1）的IP地址为192.168.1.1 子网掩码为255.255.255.0 DNS为192.168.1.1，同为Vmnet3网段。

②Windows server 2003（2）的IP地址为192.168.1.2 子网掩码为255.255.255.0 DNS为192.168.1.1，同为Vmnet3网段。

③测试两台PC的连通性(2)在windows server 2003(1)配置Web服务①安装web服务，开始----控制面板----添加与删除程序----添加/删除windows组件②在E盘下建立一个ok文件夹，在此文件夹下建立一个index.htm的网页文档，里面内容为“很高兴为您服务”③配置web服务，开始----管理工具----Internet信息服务（IIS）管理器④右键“默认网站”----属性----主目录，将网页文档的存放位置添加上去⑤在客户端的IE浏览器输入服务器的IP地址，即http://192.168.1.1，看是否正常浏览(3)在windows server 2003（1）配置CA证书服务①安装CA证书服务，开始----控制面板----添加与删除程序----添加/删除windows组件②开始----管理工具----Internet信息服务（IIS）管理器，在默认网站下看是否成功建立CertSrv 的站点，出现则安装成功。

③右键“默认网站”----属性----目录安全性④申请一个证书，在CA证书服务器上的IE浏览器上输入http://192.168.1.1/certsrv⑤将挂起的证书颁发，开始----管理工具----证书颁发机构⑥下载证书，在CA证书服务器的IE浏览器输入http://192.168.1.1/certsrv⑦在windows server 2003（1）安装证书，开始----管理工具----Internet信息服务(IIS)管理器----右键“默认网站”----属性----目录安全性⑧启用安全通道SSL，开始----管理工具----Internet信息服务(IIS)管理器----右键“默认网站”----属性----目录安全性⑼在windows server 2003（2）IE浏览器输入https://192.168.1.1。

WindowsCA_证书服务器配置

3
1.CA中心
CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。在SET交易中，CA不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。
22
SSL证书
数位签名又名数字标识、签章 (即 Digital Certificate， Digital ID )，提供了一种在网上进行身份验证的方法，是用来标志和证明网路通信双方身份的数字信息文件，概念类似日常生活中的司机驾照或身份证相似。数字签名主要用于发送安全电子邮件、访问安全站点、网上招标与投标、网上签约、网上订购、安全网上公文传送、网上办公、网上缴费、网上缴税以及网上购物等安全的网上电子交易活动。
15
CA中心的作用
CA为电子商务服务的证书中心，是PKI（Public Key Infrastructure）体系的核心。它为客户的公开密钥签发公钥证书、发放证书和管理证书，并提供一系列密钥生命周期内的管理服务。它将客户的公钥与客户的名称及其他属性关联起来，为客户之间电子身份进行认证。证书中心是一个具有权威性、可信赖性和公证性的第三方机构。它是电子商务存在和发展的基础。
10
CA的架构
密钥的管理政策是把公钥和实体绑定，由CA中心把实体的信息和实体的公钥制作成数字证书，证书的尾部必须有CA 中心的数字签名。由于CA中心的数字签名是不可伪造的，因此实体的数字证书不可伪造。CA中心对实体的物理身份资格审查通过后，才对申请者颁发数字证书，将实体的身份与数字证书对应起来。由于实体都信任提供第三方服务的CA中心，因此，实体可以信任由CA中心颁发数字证书的其他实体，放心地在网上进行作业和交易。

windows证书服务配置与讲解

实验六：PKI (证书服务)实验实验目的：1）安装CA服务；2）使用WEB方式申请证书和安装证书；3）证书查看及吊销；实验拓扑图：证书服务器IP：192.168.10.166交换机客户机IP：192.168.10.23任务一：安装CA服务器1.为CA服务器配置静态IP地址如:192.168.10.116 掩码255.255.255.02.打开[windows组件向导].在组件下，找到并单击[应用程序服务器].单击[详细信息].在[应用程序服务器的子组件]中,单击[Internet信息服务（IIS）],然后点“确定”.最后通过下一步,下一步“完成”即可.(如图)（支持web注册请先安装IIS服务,然后再装证书服务！）3. 打开[windows 组件向导].在组件下，找到并单击[证书服务].点下一步选“独立根CA ”如果您的计算机是域环境的成员服务器或域控制器就可以安装“企业根CA ”和“企业从属CA ”（在域中的成员可以通过MMC 和WEB 方式申请证书）12453输入一个公用名称.最后“下一步”完成即可！打开mmc控制台添加“证书服务”如图CA服务成功启用.任务二：客户机用web方式申请证书和安装证书.1.在客户机上打开IE浏览器,并在地址栏“http://192.168.10.166/certsrv”选“下载证书,证书链或CRL”,再选安装CA证书安装CA证书链后,客户机上的登陆用户就会信任CA服务器（证书服务器）.2．向CA服务器申请web浏览器证书，先回证书服务首页，如图选“申请一个证书”选“Web浏览器证书”添写自己个人信息！然后提交如图3.用证书服务器给用户颁发证书,我们回到证书服务器上,在挂起的申请上颁发证书.4.给客户机上的用户安装颁发的web服务器证书.我们在回到客户机上打开IE在地址栏输入“http://192.168.10.166/certsrv”选“查看挂起的证书申请的状态”选“Web浏览器证书”接着点安装证书.信任你安装的证书清点（Y）如上图说明您的证书以安装成功！任务三：证书查看及吊销1．在客户机上打开mmc 控制台添加“证书-当前用户”在个人证书可以看到安装的web浏览器证书.2.查看“受信任的根证书颁发机构”下的证书如图3．在根CA服务器上打开“mmc”控制台右击“颁发的证书”吊销如图附加实验一：SSL 网站的连接实验目的：1. 建立ssl 网站2. 客户机用户配置3. 客户机对ssl 网站的访问实验拓扑图:任务一:建立ssl 网站1. 我们打开上述已经建立好的网站“sina 的网站”右键点击web 服务选属性,点击目录安全性选项卡,如图证书服务器IP:192.168.10.224web 服务器IP:192.168.10.100 DNS 服务器IP:192.168.10.100客户机IP:192.168.10.23 DNS:192.168.10.1002.在目录安全性选项卡的安全通信处,点击“服务器证书”下一步，下一步选“新建证书”下一步下一步,输入单位名称和部门名称下一步,输入国家（地区）,省份下一步,在此注意一定要记住文件名的路径,等下申请证书时,需要该文件的内容.最后完成即可！3.再点击安全通信处的编辑,选上安全通道和要求客户端证书,确定即可.4.打开IE浏览器在地址栏中输入“http://192.168.10.224/certsrv/”,点击“申请一个证书”4.我们选择“高级证书申请”,接着选“使用base64 编码的CMC 或PKCS #10 文件提交一个证书申请，或使用base64 编码的PKCS #7 文件续订证书申请。