证书服务器CA的安装及其配置

证书服务器CA的安装及其配置

先安装非AD域环境下的证书服务。

证书服务器CA是很实用的一个工具，其安装之前必须要安装IIS组件。

然后点击添加证书服务，选择独立根，

单击下一步，

给证书服务器命名；

选择证书服务器数据库和日志存放位置；

单击下一步开始安装。（提示停止IIS服务）弹出对话框，如图，单击是；

安装完成后，客户端即可申请证书，由于是独立根CA，而且不是域环境，所以只能通过web浏览器申请证书：http://CA服务器的ip地址或者计算机名/certsrv，如图：选择申请一个证书；

选择web浏览器证书；

选择创建并向此CA提交一个申请；

填写注册信息，然后点击提交；

如图所示；

再由CA服务器的管理员手工颁发证书，打开证书服务器，选择管理工具-证书颁发机构，颁发证书；

打开IIS服务器，可以看到此时该服务器（CA）的IIS下多出以下几项：

打开IE，输入http://服务器名或IP名/certsrv，点击查看挂起的证书申请的状态。

可以通过Internet选项的“内容”或者MMC证书管理单元进行查看。

此外，在申请证书时如果选择启用强私钥保护，

弹出对话框，点击是

单击设置安全级别；安全级别设置为‘高’，单击‘下一步’后会弹出口令设置窗口：

然后输入密码，单击完成；

单击确定；

打开IE输入http://192.168.1.6/certsrv/certckpn.asp，

按照上诉步骤点击需要查看的证书，点击客户端身份证书，弹出对话框；如图

打开IE工具-Internet选项-内容-证书，即可查看刚刚颁发的证书。

在web中实现SSL

1.生成证书申请

打开IIS管理器，展开网站，右击想要安装该的证书的 Web 站点，单击属性。

选择目录安全性选项卡，单击“安全通信”下的“服务器证书”。

弹出欢迎使用web服务器证书安全向导，单击下一步，选择“新建证书”单击“下一步”。

选择“现在准备证书请求，但稍后发送”单击下一步。然后键入证书的名称。选择位长；越高的位长，在更强的证书加密。如果您的用户可能来自有加密限制的国家，请选择“服务器网关加密”。

键入组织名称和组织单位，下一步；输入公用名称如服务器名称。如果要创建将在 Internet 上使用的证书，最好使用 FQDN（例如 ）。下一步；输入国家省市信息，下一步；输入路径和文件名（c:\certreq.txt），以保存证书信息，单击下一步完成退出向导。

至此，在C盘根目录下生成了一个证书文件certreq.txt。

2. 提交证书申请

打开IE，输入http://服务器名或者IP地址/ CertSrv，单击申请一个证书；选择高级证书申请，选择使用base64编码的证书；

将刚刚申请的证书certreq.txt填入其中，注意第一行和最后一行不要。

单击提交。

3.颁发证书

打开证书颁发机构-挂起的申请-右击证书，选择颁发。点击颁发的证书文件夹中，双击刚颁发的证书，选择详细信息，复制到文件，如图；

弹出欢迎使用证书导出向导，将证书保存为 Base-64 编码的 X.509 证书，如图；然后指定导出证书的存放路径和名称。单击完成退出向导。

在 Web 服务器上安装证书

打开IIS，选择网站，所要颁发证书的此web站点，属性，选择目录安全性选项卡，选择安全通信中的服务器证书，弹出的欢迎使用web服务器证书向导中，单击下一步，选择处理挂起的请求并安装证书，下一步；

在文件和路径页面中选择证书服务器存放的位置，导入其中，单击下一步，提示此网站使用SSL协议，即443端口，下一步，完成退出向导。至此已在Web 服务器上安装了证书。

配置和测试证书

目录安全性选项卡的安全通信下，注意有现在三个可用的选项。若要设置网站需要安全连接，单击编辑安全通信对话框。选择要求安全通道(SSL)，单击确定。

单击应用，确定；关闭该属性表。浏览到该站点，并验证它是否正常工作。在浏览器中键入http://localhost/Postinfo.html 通过 HTTP 访问该网站。收到浏览被拒绝的警告。