CA证书服务安装文档

CA证书服务安装

准备环境：windows server2008 X64 SP2，按照计算机命名规则更改计算机名并加入域，安装iis服务；

安装步骤：

1.在windows server 2008上，从“管理工具”中打开“服务器管理器”——“角色”——

“添加角色”。打开“添加角色向导”。

2.单击“下一步”，进入“选择服务器角色”窗口，选择“AD证书服务”，单击“下一步”；

在“选择角色服务”的窗口中选择“证书颁发机构”和“证书颁发机构WEB注册”，

3.在弹出的“添加角色向导”窗口点击“添加所需的角色服务”；单机“下一步”；

4.在“指定安装类型”中选择“企业”，单击“下一步”；

5.在“指定CA类型”中选择“根”，单击“下一步”；

6.在“设置私钥”窗口中选择“新建私钥”；单击“下一步”；

7.在“为CA配置加密”窗口中保持默认设置即可。单击“下一步”；

8.在“配置CA名称”窗口保持默认选项即可，单击“下一步”；

9.在后续操作中保持默认，直接下一步；

10.CA证书服务安装完成。

证书的申请与颁发

1.在windows sercer 2008 打开“管理工具”——“internet信息服务管理器”，左侧选择

服务器名称，双击中间窗格的“服务器证书”；

2.点击右侧“创建证书申请”。

3.在“可分辨名称属性”窗口输入证书的必要信息；

4.在“加密服务提供程序属性”窗口，保持默认单击“下一步”；

5.在“文件名”窗口，为该证书申请指定一个文件名和保存位置，在C盘下建立certificate.txt

文本文件，浏览选择即可。单击“完成”；会提示certificate.txt已存在，单击覆盖；

6.打开证书申请文件certificate.txt，可见证书申请文佳是Base-64编码；

7.用IE打开证书申请页面http://CA服务器IP地址/certsrv/，输入域用户名和密码。在证

书服务页面单击“申请证书”

8.在“申请一个证书”页面中。单击“申请高级证书”；

9.在“高级证书申请”页面中，单击“使用Base64编码………”；

10.在“提交一个证书申请或续订申请”页面中，“保存的申请”框中把certificate.txt文本

文件中的内容复制粘贴进来，在“证书模版”中选择“WEB服务器”；单击“提交”；

11.在“证书已颁发”界面中选择“Base64编码”，单击“下载证书”；将证书保存到本地；

将证书下载到本地后，就可以为指定的web站点应用该证书。

12.在“internet信息服务管理器”——“服务器证书”右侧窗口中单击“完成证书申请”；

13.在“指定证书颁发机构相应”页面，找到已经下载的CA证书文件，并给该文件起个别

名，单击“确定”；

配置安全通道（SSL）

当web服务器安装了证书后，就可以在指定的站点启用HTTPS连接；

1.展开“internet信息服务管理器”，左侧窗格的节点树，选择需要试用该证书的站点，单

击右侧的“绑定”；

2.在“网站绑定”窗口中点击“添加”；

3.在“添加网站绑定”的窗口，选择“https”端口默认，SSl证书选择已经下载的证书“admin”；

点击“确定”——“关闭”；

4.当为站点设置HTTPS类型绑定之后，还需要修改该站点的SSL设置，展开“internet信

息服务管理器”，左侧窗格的节点树，选择需要配置SSL的站点，双击中间功能窗口中的“SSL”设置；

5.如果需要强制用户守使用SSL方式连接站点，则选择“要求SSL”。选择此项后不管占带你是否有https类型的绑定，用户都只能一https方式连接站点，

在“SSL设置”页面还可以设置是否需要客户端证书。

★忽略：无论用户是否拥有证书，都将被授予访问权限。客户端不需要申请和安装客户端证书；

★接受：用户可以使用客户端证书访问资源，但证书并不是必须的。客户端不需要申请和安装客户端证书。

★必须：服务器在将用户与资源连接之前要验证客户端证书。客户端必须申请和安装客户端证书，例如“用户”证书。

CA证书服务安装、申请和颁发已经设置完成。客户端访问时必须要申请证书，使用HTTPS来访问站点；