windowsca证书服务器配置(二)——申请数字证书

CA服务器的安装与配置
新建一个网站，并设好IP。

然后再右击属性，申请证书。

然后停用这个网站，用默认网站去申请证书等等。

如图
然后单击高级证书申请。

进入页面之后
再进入所选目标，之后将保存在默认c 盘中的代码复制如图
显示如图
然后进入证书机构颁发证书
然后颁发证书。

然后返回到先前的网站上点击主业查看证书挂起状态。

显示如图
下载证书到桌面
再进入新建的网站右击属性
证书安装成功
然后进入到网站进入主页再申请一个证书这次选中web证书申请
进入之后可随便填但是国家最好填ch 提交之后设置安全级别为高
密码自己设置一个别搞忘了不然后果自负。

完成之后再进入证书颁发机构再颁发证书，方法如上。

颁发完后再查看证书挂起状态再安装证书
之后停用默认网站启用新建网站
最后一点必须更改就是右击新建的网站进入编辑
更改如图。

CA认证有关流程CA认证，即Certificate Authority认证，是指由CA机构对数字证书的签发机构、证书持有者以及数字证书的有效性进行验证和认证的过程。

CA认证的目的是保证数字证书的安全性和可信度，在信息安全领域发挥着重要的作用。

CA认证流程可以分为以下几个步骤：2.申请数字证书：申请方需要向CA机构提交数字证书的申请。

申请的内容包括证书持有者的身份信息、公钥等。

申请可以通过在线申请系统、邮件或传真等渠道完成。

4.签发数字证书：在申请方的身份信息和资格审核通过后，CA机构会签发数字证书。

数字证书包含了证书持有者的身份信息、公钥以及数字签名等信息。

同时，CA机构会将数字证书和对应的私钥存档备份，以便后续的证书验证和吊销。

5.分发数字证书：CA机构会将签发的数字证书发送给申请方。

申请方可以通过电子邮件、FTP等方式获取数字证书。

6.使用数字证书：申请方在准备进行数字证书认证的过程中，需要将数字证书嵌入到自己的应用程序或网络系统中。

数字证书可以用于身份验证、数据加密等多个方面的安全控制。

7.数字证书验证：在使用数字证书进行身份验证时，需要将证书发送给验证方。

验证方可以使用与CA机构相同的算法和密钥对数字证书的签名进行验证，以确定数字证书的真实性和完整性。

8.数字证书吊销：如果数字证书的持有者不再具备使用数字证书的资格，或者数字证书的安全性有风险，CA机构可以将证书吊销。

被吊销的数字证书将不再被认可和使用。

CA认证是数字证书体系的重要组成部分，通过对数字证书的签发机构、证书持有者和数字证书的有效性进行验证和认证，保障了数字证书的安全性和可信度。

在互联网安全和电子商务中，CA认证发挥着重要的作用，为用户提供了安全可靠的身份验证和数据传输保护。

windows2021中CA服务器配置方法与步骤windows2021中ca服务器的安装与配置ca是认证中心的意思：如果你要访问这个网站，你必须通过认证之后，才有资格访问这个网站，平常是不能访问这个网站的，这个网站的安全性能提高很多。

第一部分：加装步骤一、安装证书服装器用一个证书的服务器去颁授证书，然后再采用这个证书。

ca的公用名称：windows2021a二、要在配置的网站上申请证书(草稿）找出我们布局的网站的名称：myweb,右击“属性”-“目录安全性”-“服务器证书”，回去提出申请一个证书。

“新建一个证书”，在国家时“必须挑选cn中国“，下面省市：江苏省，邳州市，最后必须分解成一个申请的文件，一般文件名叫：certreg.txt这样一个文件。

相当于一个申请书。

三、正式宣布向证书机构回去提出申请一个证书（正式宣布提出申请）local本地host是主机：localhost本地主机/certsrv这个cert这证书serversrv服务器certsrv:证书服务器。

1、提出申请一个证书2高级证书提出申请3、选择一个base64这个证书4、把刚才分解成的申请书文件：certrreg.txt文件中的内容全部导入到网页中留存的提出申请侧边中。

5。

提交之后才正式申请开始，等着颁发证书。

四、颁授证书到“证书颁发机构”-选择\挂起的申请“，找到这个申请之后，右击”任务“颁发”这就相当于颁发一个正常的证书了。

2、查阅挂上的证书提出申请的状态，如果存有一个，就浏览这个证书：用base64这个类型的证书，把这个证书留存起至c：\\certnew.cer这样一个崭新证书。

六、使用这个证书来完成ca服务器的配置。

右击“这个网站的名字myweb\选“属性”“目录安全性”中“服务器证书”“处理一个新的证书”，把刚才下载到c：\\certnew.cer这样一个证书用上就可以了。

七、采用ssl(安全地下通道）功能去出访网页方法是：右击“myweb\这个网站，选择“属性”“目录安全性”在“安全通信中的编辑”中，选择“要求安全通道”和”要求客户端的证书“。

windows下ca证书的申请流程(一)Windows下CA证书的申请流程概述在Windows操作系统下进行CA证书申请，需要经过以下几个步骤：1.创建证书申请请求（Certificate Signing Request，简称CSR）2.提交CSR给CA机构进行签发3.下载并安装由CA机构签发的证书以下将详细介绍每一个步骤的具体流程。

创建CSR步骤一：打开证书请求向导在Windows的“开始”菜单中输入“certmgr.msc”打开证书管理器，然后点击左边的“个人”节点，选择“操作”-> “所有任务”-> “高级操作”-> “创建自签名的请求”来打开证书请求向导。

步骤二：填写证书请求信息在证书请求向导中，需要填写以下信息：•通用名称（Common Name，即证书的域名或IP地址）•组织（Organization）•部门（Organizational Unit）•州/省（State/Province）•国家/地区（Country/Region）这些信息将被包含在CSR中，用于CA机构进行签发。

步骤三：保存CSR在填写完证书申请信息后，将CSR保存到本地，以备进行提交。

提交CSR步骤一：选择CA机构选择一个可信的CA机构，并跟据其要求提交所创建的CSR。

步骤二：等待审批在提交CSR后，需要等待CA机构的审批。

一旦通过审批，CA机构将签发证书，通常是以邮件方式进行通知。

下载并安装证书步骤一：下载证书在收到CA机构的证书签发通知后，可以在其网站上下载证书。

步骤二：安装证书从下载得到的.p7b或.cer文件中提取证书，并将其安装到计算机的受信任根证书颁发机构（Trusted Root Certification Authorities）存储区域中。

结论通过以上几个步骤，就可以在Windows操作系统下完成CA证书的申请过程。

申请过程虽然有些繁琐，但是在保证数据传输安全方面是非常重要的。

CA数字证书申请与使用的基本流程简介数字证书是一种可用于加密和认证的电子证明。

CA（Certificate Authority）是数字证书的核心角色，负责签发和管理数字证书。

本文将介绍CA数字证书的申请和使用的基本流程。

流程概述1.申请数字证书2.证书颁发机构的验证3.证书使用申请数字证书申请数字证书是首要步骤，需要按照以下流程进行：1.选择合适的证书类型：根据需求选择相应的数字证书类型，例如SSL证书、代码签名证书等。

2.生成证书请求（CSR）：使用密钥生成工具生成私钥，并创建与之关联的CSR文件。

CSR文件包含了申请者公钥和识别信息，用于证书颁发机构验证。

3.填写申请表格：按照证书颁发机构的要求，填写相关申请信息，包括个人/机构的详细信息。

4.提交申请：将生成的CSR文件及填写好的申请表格提交给证书颁发机构。

证书颁发机构的验证证书颁发机构在收到申请后，会对申请者进行验证确保申请的合法性和准确性。

验证的过程通常包括以下步骤：1.域名所有权验证：对于SSL证书等需要验证域名的证书，证书颁发机构会向域名所有者发送验证邮件，要求进行域名授权。

2.身份验证：对于个人证书，申请者需要提供身份证明文件，如身份证、驾驶证等。

3.组织验证：对于企业证书，申请者需要提供公司营业执照副本等组织验证文件。

4.电话验证：证书颁发机构可能会进行电话验证来确保申请者的真实性。

证书使用获得数字证书后，可以将其应用在各种场景中。

以下是一些常见的使用场景：1.SSL证书：用于加密网站流量，确保用户的信息安全。

将证书安装到服务器上，配置合适的HTTPS协议，并启用网站的SSL功能。

2.代码签名证书：用于数字签名软件或代码，确保软件的完整性和来源可信。

将证书导入开发工具，如Java、Visual Studio等，并按照工具的操作指南进行签名操作。

3.电子邮件签名证书：用于对电子邮件进行数字签名，确保发送者身份的真实性和邮件内容的完整性。

CA证书怎么申请CA证书，全称为数字证书认证机构（Certification Authority），用于验证网站的身份和安全性。

通过使用CA证书，网站可以建立安全的HTTPS连接，为用户提供安全的数据传输和隐私保护。

本文将介绍如何申请CA证书的一般流程和注意事项。

1. 什么是CA证书CA证书是通过数字证书认证机构（CA）颁发的一种数字证书。

它用于验证网站的身份和确保数据的安全性。

CA证书扮演着一个中间人的角色，将信息安全地传输给接收方。

CA证书采用了公钥基础设施（PKI）加密技术，使用非对称加密算法来确保数据的完整性和安全性。

当用户访问一个使用HTTPS协议的网站时，浏览器会检查该网站的CA证书，以验证其合法性和真实性。

如果证书有效，浏览器将显示一个锁形状的图标和网站的名称，表示连接是安全的。

2. CA证书申请流程以下是申请CA证书的一般流程：步骤1：选择CA证书的类型根据自己的需求，选择适合自己网站的证书类型。

常见的证书类型有域名验证证书、组织验证证书和扩展验证证书。

步骤2：准备申请所需的材料不同的证书类型需要不同的材料。

一般需要提供注册公司的相关证件、域名注册信息和联系人信息等。

步骤3：选择合适的CA机构市场上有许多CA机构供选择。

根据需求、价格和声誉等因素，选择一个合适的CA机构。

步骤4：提交申请填写相应的申请表格，并按照要求提供必要的材料。

申请表格通常包含网站基本信息、证书类型、域名等信息。

步骤5：验证身份 CA机构会对申请进行验证以确保申请者的身份和拥有权。

验证的过程可能包括电话确认、邮件确认或者其他方式。

步骤6：支付费用根据证书类型和服务提供商的要求，支付相应的费用。

费用通常根据证书的有效期和特性来定价。

步骤7：颁发证书经过确认和付款后，CA机构将签发并发送证书到申请者的邮箱。

证书一般以文件形式（通常是PEM、PFX等格式）发送。

步骤8：安装和配置证书使用证书文件，按照CA机构提供的说明，将证书安装到服务器上。

WindowsCA_证书服务器配置Windows CA 证书服务器配置一、介绍Windows CA 证书服务器是用于创建和管理数字证书的工具。

本文将指导您如何配置 Windows CA 证书服务器以确保安全的证书管理和分发。

二、系统要求在开始配置 Windows CA 证书服务器之前，请确保系统满足以下要求：1、Windows Server 操作系统。

2、硬件资源满足最低配置要求。

3、网络连接稳定。

三、安装 Windows CA 证书服务1、打开“服务器管理器”。

2、在“角色和功能”窗口中，选择“添加角色和功能”。

3、在向导中，选择“角色基于功能或角色的安装”，并“下一步”。

4、选择要安装 Windows CA 证书服务的服务器，“下一步”。

5、在“选择服务器角色”窗口中，选中“Active Directory 统一访问角色”，“下一步”。

6、在“选择角色服务”窗口中，选中“证书授权服务”，“下一步”。

7、在“确认安装选择”窗口中，“安装”。

8、安装完成后，“关闭”。

四、配置 Windows CA 证书服务器1、打开“证书授权管理控制台”。

2、在左侧导航栏中，选择“证书授权站点”。

3、在右侧窗口中，“配置证书授权站点”。

4、在向导中，选择“企业证书授权站点”，“下一步”。

5、选择要使用的证书数据库类型，“下一步”。

6、配置站点设置，包括站点名称、默认访问 URL 等，“下一步”。

7、配置证书颁发策略，设置证书的颁发方式和条件，“下一步”。

8、配置证书申请策略，设置证书的申请方式和条件，“下一步”。

9、完成配置后，“完成”。

五、证书管理1、打开“证书授权管理控制台”。

2、在左侧导航栏中，选择“已颁发的证书”。

3、在右侧窗口中，可以查看和管理已颁发的证书。

六、证书分发1、打开“证书授权控制台”。

2、在左侧导航栏中，选择“颁发策略”。

3、在右侧窗口中，可配置证书颁发的策略。

4、在客户端申请证书时，其请求将被验证，并根据颁发策略进行处理。

继续上篇文章的发表。

现在要做的是使用证书安全验证（三）证书的建立
1）右击新建的站点—属性—目录安全性，点击服务器证书
2）新建证书
3）什么都不用管，就是下一步
4）这个是要选择申请下来的证书要存放的位置，这个可以自己定，放得位置别忘了
5）证书申请完成
6）然后再IE上输入[url]http://127.0.0.1/certsrv/[/url]申请一个证书
7）高级证书申请
8）点使用那个
9）然后到刚才申请证书时添的目录里找到文件certreq.txt 打开。

10）把这个文档的内容复制到保存的申请里
11）证书申请完毕
12）点开始—管理工具—证书颁发机构把挂起的证书颁发了
13）返回到[url]http://127.0.0.1/certsrv/[/url]点察看挂起的证书
14）保存申请的证书
15）下载证书把证书保存到能找到的地方，一会要用
16）右击新建的站点—属性—目录安全性，点击服务器证书处理挂起的证书
17）浏览刚才证书存放的地方这样就可以了
18）右击新建的站点—属性—目录安全性，点击编辑把SSL通道点选上，否则无法实现
19）测试：当再次输入我的网站察看时会出现下面情况。

需要在http的后面加上S
这样就起到了加密作用，防止信息被窃取
终于写完了，虽然技术很简单，但是抓图好麻烦啊。

这个项目是我们三个人共同完成的，其实项目都是由一些小的服务一点点组成的，单个技术能实现，可综合起来就不一定了，其中有些服务会相互冲突，端口被占用等问题，所以说还是
真正动手做一下，解决一次就好了。

服务最好还是单独放在各自单独的机器里比较好。

WindowsCA_证书服务器配置Windows CA证书服务器配置指南一、引言Windows CA（Certificate Authority）是一种权威的证书颁发机构，负责为组织内部或互联网上的计算机、用户或设备颁发数字证书。

数字证书是一种用于验证实体身份的电子文档，可用于确保通信的安全性和完整性。

本文将详细介绍Windows CA证书服务器的配置方法，帮助您完成证书颁发的整个流程。

二、配置步骤1、安装证书服务在Windows服务器上安装证书服务，可以打开“服务器管理器”，然后从“角色”页面选择“添加角色”。

在“角色”对话框中，选择“证书”，然后按照向导完成安装。

2、创建根CA在安装完证书服务后，需要创建一个根CA。

在“服务器管理器”中，打开“证书”并选择“根CA”。

在“根CA”对话框中，输入CA的名称和其他相关信息，然后按照向导完成创建。

3、配置颁发机构策略在创建完根CA后，需要配置颁发机构策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“策略”选项卡，然后根据需要进行配置。

例如，可以设置证书的有效期、设置证书的主题和其他相关信息等。

4、配置申请策略在配置完颁发机构策略后，需要配置申请策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请”选项卡，然后根据需要进行配置。

例如，可以设置申请者的身份验证方法和证书模板等。

5、接受申请当有用户或设备需要申请数字证书时，需要在证书服务器上接受申请。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请队列”选项卡，然后双击需要处理的申请。

在“处理申请”对话框中，选择处理方式（例如自动批准或手动批准），然后按照向导完成处理。

6、颁发证书在处理完申请后，需要颁发数字证书。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“已颁发的证书”选项卡，然后双击需要颁发的证书。

【转】Win2003证书服务配置/客户端(服务端)证书申请一．CA证书服务器安装1．安装证书服务之前要先安装IIS服务并且保证“WEB服务扩展”中的“Active Server Pages”为允许状态2．在“控制面板”中运行“添加或删除程序”，切换到“添加/删除Windows组件”页3．在“Windows组件向导”对话框中，选中“证书服务”选项，接下来选择CA类型，这里选择“独立根CA”4．然后为该CA服务器起个名字(本例中的名字为CntvsServer)，设置证书的有效期限，建议使用默认值“5年”即可，最后指定证书数据库和证书数据库日志的位置后，就完成了证书服务的安装。

5.安装完成后，系统会自动在IIS的默认站点，建几个虚拟目录CertSrc,CertControl,CertEnroll二．客户端证书申请1. 运行Internet Explorer浏览器，在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”。

证书申请页面，输入相应的申请信息，然后点击［申请一个证书］。

接下来选择"Web浏览器证书"填写相关信息2. 系统将处理您提交的申请，此过程可能要等待10秒钟左右。

建议最好记下申请ID（本例为4）三。

客户端证书的颁发打开“管理工具”选择“证书颁发机构”，打开"挂起的申请",右击-->"颁发"四。

客户端证书的下载及安装1.运行Internet Explorer浏览器，在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”,选择“查看挂起的证书申请状态”2.找到自己申请的证书3.安装证书安装完成后，可到IE里查看刚刚安装好的证书五.服务器证书的申请1.以IIS的默认站为例，先右击站点，打开网站属性-->目录安全性-->服务器证书2.按IIS证书向导一步步提交服务器证书申请六。

Windows PKI技术CA证书服务搭建
WEB服务器客户端
DNS服务器
CA证书服务器
1、证书服务器搭建
在“控制面板”——“添加删除程序”——“添加删除windows组件”——“证书服务”。

选择“独立根CA”。

CA标识信息中只要添加CA名称即可。

2、配置WEB服务器和DNS域名解析
3、配置客户端，DNS指向WEB服务器
4、申请WEB服务器证书
在证书服务器中，使用浏览器输入证书申请服务的网址IP/certsrv
将刚才生成的certreq.txt文件内容复制进去，点击“提交”。

颁发证书：点“开始”——“程序”——“管理工具”——“证书颁发机构”。

选择证书并“颁发”。

下载挂起证书
完成证书导入到WEB服务器中
将刚才下载的证书导入进去
查看证书
5、设置SSL访问，要求客户端身份验证
6、客户端申请WEB浏览证书
“颁发”证书
7、在服务器端，将客户端证书导出并导入至WEB服务器的证书——个人目录中
将ID为3的证书复制到文件
在客户端浏览器安装证书
在证书服务器双击，安装证书
8、客户端进行https://访问。

Windows server 2003 CA配置(一)CA:Certificate Authority,证书权威机构,也称为证书颁发机构或认证中心)是PKI中受信任的第三方实体.负责证书颁发、吊销、更新和续订等证书管理任务和CRL发布和事件日志记录等几项重要的任务。

首先，主体发出证书申请，通常情况下，主体将生成密钥对，有时也可能由CA完成这一功能，然后主体将包含其公钥的证书申请提交给CA，等待年批准。

C A在收到主体发来的证书申请后，必须核实申请者的身份，一旦核实，CA就可以接受该申请，对申请进行签名，生成一个有效的证书，最后，CA将分发证书，以便申请者可使用该证书。

CRL：是被CA吊销的证书的列表。

基于WINDOWS的CA支持4种类型企业根CA：它是证书层次结构中的最高级CA，企业根CA需要AD。

企业根CA自行签发自己的CA证书，并使用组策略将该证书发布到域中的所有服务器和工作站的受信任的根证书颁发机构的存储区中，通常，企业CA不直为用户和计算机证书提供资源，但是它是证书层次结构的基础。

企业从属CA：企业从属CA必须从另一CA（父CA）获得它的CA证书，企业从属C A需要AD，当希望使用AD，证书模板和智能卡登录到运行WINDOWS XP和WIN2003的计算机时，应使用企业从属CA独立根CA：独立根CA是证书层次结构中的最高级CA。

独立根CA既可以是域的成员也可以不是，因此它不需要AD，但是，如果存在AD用于发布证书和证书吊销列表，则会使用AD，由于独立根CA不需要AD，因此可以很容易地将它众网络上断开并置于安全的区域，这在创建安全的离线根CA时非常有用。

独立从属CA：独立从属CA必须从另一CA（父CA）获得它的CA证书，独立从属C A可以是域的成员也可以不是，因此它不需要AD，但是，如果存在AD用于发布和证书吊销列表，则会使用AD。

下面来部署CA一台是独立根CA,一台是独立从属CA安装独立根CA选中应用程序服务器和证书服务.由于"证书服务WEB注册支持"需要依赖于IIS,所以要选中应用程序服务. 点详细看一看点确定这里选独立根CA并打上勾.单击导入,可以使用现有的密钥对,就不用生成新的密钥.密钥长度,根CA,默认长度为2048位,如果安装从属CA,默认密钥长度为1024位. 如果不选"允许此CSP与桌面交互"系统服务就无法与当前用户的桌面进行交互.输入CA的公用名称,安装后就不能更改了.可修改默认的有效期限.共享文件用于存储CA的相关信息以便用户查找,只有在安装独立的CA但不使用AD时才有用.下面便开始安装了.安装到一定的时候会出现下面对话框默认安装IIS时并不启用ASP支持,因此在安装时会出现上面对话框.点击是.下面来安装独立从属CA同样选择应用程序服务器和证书服务这里选择独立从属CA并勾上.可以看到这里密钥长度默认是1024位输入公用名称有效期限取决于父CA这里默认建立一个共享文件夹如果父CA在线可用,则选中"将申请直接发送给网络上的CA".在文本框中输入父CA的计算机名,和父CA的名称.如果父CA不在线可用,则选中"将申请保存到一个文件",并在申请文件文本框中输入将存储申请的文件的路径和文件名,然后使用此证书申请文件手工向父CA提交申请.下面便开始安装了安装时会出现上面对话框,确定便是了.选是点完成下面来验证安装可以看到根CA有上面这些文件便安装成功也可以看服务有图中的服务便安装成功下面来看申请和颁发证书现在来登录从属CA,打开"开始"-所有程序-INTERNET EXPLORER.打开IE在地址栏中输入父CA的WEB支持页面的URL.然后单击申请一个证书这里选高级证书申请选下面那条点浏览要插入的文件这个是在建立从属CA时所创建的然后点读取最后点提交这样便提交了一个证书申请然后在根CA上颁发证书可以看到挂起刚才申请的证书.这里有两个,一个是管理员用户,一个是默认的计算机名.点证书右键,点颁发这样便在颁发证书下面又击证书便可以看到下面这里可以看到证书的一些信息下面来看获取并安装证书这里在从属CA上,同样打开申请页面,点查看挂起的证书,便可以看到保存的申请证书.点保存单击下载证书链,证书链中包含了当前证书和当前证书上级所有的CA证书,包括根CA. 然后单击开始---管理工具---证书颁发机构.安装CA证书.然后启动服务.下一步下一步这里已先安装好了安装成功之后,从属CA部署完成.Windows server 2003 CA配置(二)配置和管理CA这里可以启动和停止服务.方法二可以在"服务"里面关掉相应的服务,方法三可以使用N ET START和NET STOP命令.点击备份下一步两个都打上勾,选择备份的位置下一步便可设置访问私钥和CA证书的密码,下一步便开始备份.下面看下吊销证书如果需要使作为信任安全凭据的证书在自然过期之前便作废,就需要吊销证书. 点吊销证书可选择吊销的理由.有多种点击吊销证书的属性.这里是设置CRL发布间隔和是否发布增量CRL和其发布间隔.下面看下手工发布CRL和增量CRL点发布点新的CRL 点确定下面来看吊销列表常规选项可以看到一些基本的信息下面来看获得CA所发布的最新CRL这是在客户端,点击下一个CA证书,证书或CRL.如图,下载最新的基CRL可看到选中的就是刚才下载的.然后点右键进行安装便是了.下面来看指定证书的分发点CRL分发点作为证书扩展项存于CA颁发的证书之中,心指定实体检索CRL的位置,CR L分发点采用URL的形式,实体通过该URL即可连接到CRL分发点来检索CRL,可以用于C RL分发点URL包括HTTP,FTP,LDAP或文件地址.点ROOT-CA的属性.点添加.这里输入位置.由CA所颁发的每一个证书都具有有效期限.CA自身也有证书,根CA的证书由其自身颁发.CA的有效期会影响其所颁发证书的有效期,通常,CA会强行实施一条规则,即CA永远不会颁发超过自己证书的到期时间后仍有效证书因此,当CA的证书达到它的有效期时,它颁发的所有证书也将到期.这样,如果CA因为某种目的没有续订并且CA的有效期时已过,则PKI 可以保证当前到期的CA发出的所有证书不于用作有效的安全凭据,即不会存在仍处于有效期内但是其CA已不再有效的"被遗弃"证书.点续订CA证书点否这样便可以看到续订CA颁发的新的CA证书. 点查看证书下面来看ROOT-CA的各项属性选择审核的事情设置权限这里可以限制证书管理员指定策略。

实验六：PKI (证书服务)实验实验目的：1）安装CA服务；2）使用WEB方式申请证书和安装证书；3）证书查看及吊销；实验拓扑图：证书服务器IP：192.168.10.166交换机客户机IP：192.168.10.23任务一：安装CA服务器1.为CA服务器配置静态IP地址如:192.168.10.116 掩码255.255.255.02.打开[windows组件向导].在组件下，找到并单击[应用程序服务器].单击[详细信息].在[应用程序服务器的子组件]中,单击[Internet信息服务（IIS）],然后点“确定”.最后通过下一步,下一步“完成”即可.(如图)（支持web注册请先安装IIS服务,然后再装证书服务！）3. 打开[windows 组件向导].在组件下，找到并单击[证书服务].点下一步选“独立根CA ”如果您的计算机是域环境的成员服务器或域控制器就可以安装“企业根CA ”和“企业从属CA ”（在域中的成员可以通过MMC 和WEB 方式申请证书）12453输入一个公用名称.最后“下一步”完成即可！打开mmc控制台添加“证书服务”如图CA服务成功启用.任务二：客户机用web方式申请证书和安装证书.1.在客户机上打开IE浏览器,并在地址栏“http://192.168.10.166/certsrv”选“下载证书,证书链或CRL”,再选安装CA证书安装CA证书链后,客户机上的登陆用户就会信任CA服务器（证书服务器）.2．向CA服务器申请web浏览器证书，先回证书服务首页，如图选“申请一个证书”选“Web浏览器证书”添写自己个人信息！然后提交如图3.用证书服务器给用户颁发证书,我们回到证书服务器上,在挂起的申请上颁发证书.4.给客户机上的用户安装颁发的web服务器证书.我们在回到客户机上打开IE在地址栏输入“http://192.168.10.166/certsrv”选“查看挂起的证书申请的状态”选“Web浏览器证书”接着点安装证书.信任你安装的证书清点（Y）如上图说明您的证书以安装成功！任务三：证书查看及吊销1．在客户机上打开mmc 控制台添加“证书-当前用户”在个人证书可以看到安装的web浏览器证书.2.查看“受信任的根证书颁发机构”下的证书如图3．在根CA服务器上打开“mmc”控制台右击“颁发的证书”吊销如图附加实验一：SSL 网站的连接实验目的：1. 建立ssl 网站2. 客户机用户配置3. 客户机对ssl 网站的访问实验拓扑图:任务一:建立ssl 网站1. 我们打开上述已经建立好的网站“sina 的网站”右键点击web 服务选 属性,点击目录安全性选项卡,如图证书服务器IP:192.168.10.224web 服务器IP:192.168.10.100 DNS 服务器IP:192.168.10.100客户机IP:192.168.10.23 DNS:192.168.10.1002.在目录安全性选项卡的安全通信处,点击“服务器证书”下一步，下一步选“新建证书”下一步下一步,输入单位名称和部门名称下一步,输入国家（地区）,省份下一步,在此注意一定要记住文件名的路径,等下申请证书时,需要该文件的内容.最后完成即可！3.再点击安全通信处的编辑,选上安全通道和要求客户端证书,确定即可.4.打开IE浏览器在地址栏中输入“http://192.168.10.224/certsrv/”,点击“申请一个证书”4.我们选择“高级证书申请”,接着选“使用base64 编码的CMC 或PKCS #10 文件提交一个证书申请，或使用base64 编码的PKCS #7 文件续订证书申请。

数字证书的申请1.登陆中国数字认证网（）。

登陆网站的时候会出现下图中的提示框，点击“NO”.2.首先下载根证书，如果之前根证书已经下载过，可以不必作这一步，因为，你的计算机已经有了认证所需要的根证书。

如果没有下载过。

首先点击左上角“根CA证书”，进行下载。

如下图4-1所示。

图 4-1然后跟着安装提示，进行安装，安装成功后，会有个提示窗显示“导入成功”，打开浏览器工具—〉internnet选项—〉内容—〉证书---〉受信任的根证书颁发机构，应该能够找到下载的根证书。

如下图4—2 中红色框所示。

图 4-23.然后下载和安装个人数字证书。

选择“免费证书”栏目的“用表格申请证书”，填写申请表，会出现图4—3所示的表格，完整进行填写。

注意的部分见图4—3 中红色的标注。

如果看不清楚，把图片拉大。

用户填写的基本信息包括名称（要求使用用户真实姓名）、公司、部门、城市、省份、国家地区、电子邮箱（要求邮件系统能够支持邮件客户端工具，不能填写错误，否则会影响安全电子邮件的使用）、证书期限、证书用途（可以选择“电子邮件保护证书”）图 4-34.正确填写完毕后，点击右上角“提交”，就出现图4—4 显示的提示框。

图 4-45.点击“是”，出现另一个提示框。

如图4--5图 4-56.点击图4—5中“确定”，系统会经过短暂的验证，出现下图4—6的界面。

图4--67.点击图4—6中“下载并安装证书”，出现下图4—7的界面。

点击打开，然后按照图4-7 到图4—11 所示的标注安装，成功后会出现“导入成功”的提示。

图4-7图4-8图4-9图4-10图4-118.察看安装结果，打开浏览器中工具—〉internnet选项—〉内容—〉证书---〉个人，应该能看到安装成功的数字证书的显示。

图4--12图4—12点击“查看”，下图显示的是个人数字证书的详细内容，图4-13瞄黑处显示的是数字证书中公钥的信息。

图4-13。

Windows CA 证书服务器配置(二) ——申请数字证书在IE地址栏中输入证书服务系统的地址，进入服务主页：点击‘申请一个证书’进入申请页面：如果证书用作客户端身份认证，则可点击‘Web浏览器证书’或‘高级证书申请’，一般用户申请‘Web浏览器证书’即可，‘高级证书申请’里有更多选项，也就有很多专业术语，高级用户也可点击进入进行申请。

这里我们以点击申请‘Web浏览器证书’为例：申请‘Web浏览器证书’，‘姓名’是必填项，其他项目可不填，但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的，所以请尽量多填，并且填写真实信息，因为CA管理员会验证申请人的真实信息，然后进行颁发。

需注意的一点是，‘国家（地区）’需用国际代码填写，CN代表中国。

如果想查看更多选项，请点击‘更多选项’：在‘更多选项’里，默认的CSP为Microsoft Enhanced Cryptographic Provider v1.0，选择其他CSP不会对认证产生影响。

默认情况下‘启用强私钥保护’并没有勾选上，建议将它勾选上，点击提交后就会让申请人设置证书的安全级别，如果不将安全级别设置为高级并用口令进行保护，则只要机器上装有该证书，任何人都可以用它作为认证，所以建议将证书设置为高级安全级别，用口令进行保护。

以下将作相应操作，点击‘提交’：单击‘是’：单击‘设置安全级别’：将安全级别设置为‘高’，单击‘下一步’后会弹出口令设置窗口：输入口令，对证书进行加密，并记住密码，因为在以后调用该证书的时候，浏览器会弹出输入密码的窗口。

单击‘完成’：单击‘确定’，浏览器页面跳向如下：到这一步，申请人已经向CA服务器发送证书信息，并等待CA管理员对其进行核对，然后决定是否要颁发，如果CA管理员核对信息后决定颁发此证书，则申请人在其颁发之后再次访问该系统：点击‘查看挂起的证书申请状态’：该页面证明CA管理员已经颁发了申请人的证书，点击进入证书安装页面：点击‘安装此证书’：您应该已经信任CA机构，所以请单击‘是’：您已经成功安装数字证书。

Windows server 2003 CA配置(二)配置和管理CA这里可以启动和停止服务.方法二可以在"服务"里面关掉相应的服务,方法三可以使用NET START和NET STOP命令.点击备份下一步两个都打上勾,选择备份的位置下一步便可设置访问私钥和CA证书的密码,下一步便开始备份. 下面看下吊销证书如果需要使作为信任安全凭据的证书在自然过期之前便作废,就需要吊销证书. 点吊销证书可选择吊销的理由.有多种点击吊销证书的属性.这里是设置CRL发布间隔和是否发布增量CRL和其发布间隔.下面看下手工发布CRL和增量CRL点发布点新的CRL点确定下面来看吊销列表常规选项可以看到一些基本的信息下面来看获得CA所发布的最新CRL这是在客户端,点击下一个CA证书,证书或CRL.如图,下载最新的基CRL可看到选中的就是刚才下载的.然后点右键进行安装便是了.下面来看指定证书的分发点CRL分发点作为证书扩展项存于CA颁发的证书之中,心指定实体检索CRL的位置,CRL分发点采用URL的形式,实体通过该URL即可连接到CRL分发点来检索CRL,可以用于CRL分发点URL 包括HTTP,FTP,LDAP或文件地址.点ROOT-CA的属性.点添加.这里输入位置.由CA所颁发的每一个证书都具有有效期限.CA自身也有证书,根CA的证书由其自身颁发.CA 的有效期会影响其所颁发证书的有效期,通常,CA会强行实施一条规则,即CA永远不会颁发超过自己证书的到期时间后仍有效证书因此,当CA的证书达到它的有效期时,它颁发的所有证书也将到期.这样,如果CA因为某种目的没有续订并且CA的有效期时已过,则PKI可以保证当前到期的CA发出的所有证书不于用作有效的安全凭据,即不会存在仍处于有效期内但是其CA已不再有效的"被遗弃"证书.点续订CA证书点否这样便可以看到续订CA颁发的新的CA证书. 点查看证书下面来看ROOT-CA的各项属性选择审核的事情设置权限这里可以限制证书管理员指定策略这里是数据库存储路径默认为WINDOWS模块结束。