CA证书服务安装文档
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
CA证书服务安装
准备环境:windows server2008 X64 SP2,按照计算机命名规则更改计算机名并加入域,安装iis服务;
安装步骤:
1.在windows server 2008上,从“管理工具”中打开“服务器管理器”——“角色”——
“添加角色”。打开“添加角色向导”。
2.单击“下一步”,进入“选择服务器角色”窗口,选择“AD证书服务”,单击“下一步”;
在“选择角色服务”的窗口中选择“证书颁发机构”和“证书颁发机构WEB注册”,
3.在弹出的“添加角色向导”窗口点击“添加所需的角色服务”;单机“下一步”;
4.在“指定安装类型”中选择“企业”,单击“下一步”;
5.在“指定CA类型”中选择“根”,单击“下一步”;
6.在“设置私钥”窗口中选择“新建私钥”;单击“下一步”;
7.在“为CA配置加密”窗口中保持默认设置即可。单击“下一步”;
8.在“配置CA名称”窗口保持默认选项即可,单击“下一步”;
9.在后续操作中保持默认,直接下一步;
10.CA证书服务安装完成。
证书的申请与颁发
1.在windows sercer 2008 打开“管理工具”——“internet信息服务管理器”,左侧选择
服务器名称,双击中间窗格的“服务器证书”;
2.点击右侧“创建证书申请”。
3.在“可分辨名称属性”窗口输入证书的必要信息;
4.在“加密服务提供程序属性”窗口,保持默认单击“下一步”;
5.在“文件名”窗口,为该证书申请指定一个文件名和保存位置,在C盘下建立certificate.txt
文本文件,浏览选择即可。单击“完成”;会提示certificate.txt已存在,单击覆盖;
6.打开证书申请文件certificate.txt,可见证书申请文佳是Base-64编码;
7.用IE打开证书申请页面http://CA服务器IP地址/certsrv/,输入域用户名和密码。在证
书服务页面单击“申请证书”
8.在“申请一个证书”页面中。单击“申请高级证书”;
9.在“高级证书申请”页面中,单击“使用Base64编码………”;
10.在“提交一个证书申请或续订申请”页面中,“保存的申请”框中把certificate.txt文本
文件中的内容复制粘贴进来,在“证书模版”中选择“WEB服务器”;单击“提交”;
11.在“证书已颁发”界面中选择“Base64编码”,单击“下载证书”;将证书保存到本地;
将证书下载到本地后,就可以为指定的web站点应用该证书。
12.在“internet信息服务管理器”——“服务器证书”右侧窗口中单击“完成证书申请”;
13.在“指定证书颁发机构相应”页面,找到已经下载的CA证书文件,并给该文件起个别
名,单击“确定”;
配置安全通道(SSL)
当web服务器安装了证书后,就可以在指定的站点启用HTTPS连接;
1.展开“internet信息服务管理器”,左侧窗格的节点树,选择需要试用该证书的站点,单
击右侧的“绑定”;
2.在“网站绑定”窗口中点击“添加”;
3.在“添加网站绑定”的窗口,选择“https”端口默认,SSl证书选择已经下载的证书“admin”;
点击“确定”——“关闭”;
4.当为站点设置HTTPS类型绑定之后,还需要修改该站点的SSL设置,展开“internet信
息服务管理器”,左侧窗格的节点树,选择需要配置SSL的站点,双击中间功能窗口中的“SSL”设置;
5.如果需要强制用户守使用SSL方式连接站点,则选择“要求SSL”。选择此项后不管占带你是否有https类型的绑定,用户都只能一https方式连接站点,
在“SSL设置”页面还可以设置是否需要客户端证书。
★忽略:无论用户是否拥有证书,都将被授予访问权限。客户端不需要申请和安装客户端证书;
★接受:用户可以使用客户端证书访问资源,但证书并不是必须的。客户端不需要申请和安装客户端证书。
★必须:服务器在将用户与资源连接之前要验证客户端证书。客户端必须申请和安装客户端证书,例如“用户”证书。
CA证书服务安装、申请和颁发已经设置完成。客户端访问时必须要申请证书,使用HTTPS来访问站点;