Windows_server_2008安装企业CA证书服务
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第二周Windows server 2008安装企业CA证书服务
CA(证书颁发机构)
为了保证网络上信息的传输安全,除了在通信中采用更强的加密算法等措施外,必须建立一种信任及信任验证机制,即通信各方必须有一个可以被验证的标识,这就需要使用数字证书,证书的主体可以是用户、计算机、服务等。证书可以用于多方面,例如Web用户身份验证、web服务器身份验证、安全电子邮件等。安装证书确保望上传递信息的机密性、完整性、以及通信双方身份的真实性,从而保障网络应用的安全性。
提示:CA分为两大类,企业CA和独立CA;
企业CA的主要特征如下:
1)企业CA安装时需要AD(活动目录服务支持),即计算机在活动目录中才可以。
2.当安装企业根时,对于域中的所用计算机,它都将会自动添加到受信任的根证书颁发机构的证书存储区域;
3.必须是域管理员或对AD有写权限的管理员,才能安装企业根CA;
独立CA主要以下特征:
1.CA安装时不需要AD(活动目录服务)。
2 .情况下,发送到独立CA的所有证书申请都
被设置为挂起状态,需要管理员受到颁发。
这完全出于安全性的考虑,因为证书申请者
的凭证还没有被独立CA验证;
在简单介绍完CA的分类后,我们现在AD
(活动目录)环境下安装证书服务;
具体步骤如下:
1.域控制器上,在管理工具—服务器管理器—角色—打开添加角色向导—添加角色;AD安装服务;
2.点击—下一步,在选择角色服务中选择证书颁发机构和证书颁发机构Web注册;
3.在指定安装类型中选择”企业”,单击‟下一步‟;
4.在“CA类型中选择根CA”,单击下一步;
5.在设置私钥窗口中选择“新建私钥”,单击下一步;
6.在配置加密窗口,使用默认的加密服务程序、哈希算法和密钥长度,单击“下一步”;
7.选择按指导项单击“下一步”到确认—安装;
8.安装完成后,从管理工具中可以看到“Certification Authority”打开证书颁发机构管理器,管理证书的颁发;
9.为web站点应用证书前必须生成证书,用以标识证书应用于哪个站点,打开Insternet信息服务管理器中—打开—服务器证书;
10.打开后,首先先创建证书申请;在分辨名称属性窗口中通用名称可以是IP或者域名;其他设置根据需求填写;
11.在文件名窗口,为该证书申请指定一个文件名和保存路径单击完成创建证书申请;
12.打开证书申请文件C:\Users\Administrator\Desktop\qiangmeng.txt,可见证书申请文件时Base64编码,复制全部编码,提示:不能随意改动:
13.在申请到文件编码后,现在应该提交所申请的证书,在浏览器中输入:http://192.168.1.1/certsrv,单击申请证书;
14.点击—申请证书进去后,选择高级证书申请;
15.在“提交一个证书申请或续订申请”页面,将复制的证书内容粘贴到,…保存的申请‟区域中,证书模板选择“web服务器”;
16.进入后,选择使用base64编码的文件提交一个申请;下载证书;为证书选择存放路径;
17.下载完成后,打开insternet信息服务管理—服务器证书—完成申请;
18.将申请的证书导入服务器;
19.完成后,在Insternet信息服务管理上新添加站点,在绑定类型中选择https;SSL证书选择申请的证书;
20.在SSL设置上要求应用SSL;选择此项后用户都只能以https方式访问连接站点;
21.在设置完成后,可以通过在用户计算机上HTTPS协议访问网站;测试使用域名进行访问;
SSL为Windows server 2008 IIS7进行加密连接
运行“Internet信息服务(IIS)管理器”,单击服务器名字:
双击中间栏内的“服务器证书”:
在“服务器证书”的右栏内单击“创建自签名证书”:
为创建的自签名证书指定一个好记名称。
回到“Internet信息服务(IIS)管理器”单击想要进行SSL加密连接的网站:
单击“绑定...",弹出网站绑定对话框:
单击“添加...”按钮弹出“添加网站绑定”对话框:
在对话框中的配置如上图。IP地址:选择你的服务器IP地址,SSL证书是刚才创建的“自签名证书”。可以看到已绑定的网站:
打开浏览器,在地址栏内输入:https://192.168.0.117,当打开网站时会弹出如下提示:客户端浏览器由于不能辨别证书的合法性,所以提出警告,并给出三个选择:
选择第二个选项。
再次提出安全警告,怀疑安全证书不可靠:
点击“确定”按钮,加密连接到IIS服务器:
这只是其中的一种方法。和Windowsserver2003相比,配置要简单些,图形化界面。
注:证书只有在指定的期限内才有效,
每个证书都包含起始日期和有效终止日
期。一旦过了证书的有效期,到期证书
的使用者就必须重新申请一个新的证书