架构基于CA证书的安全Web站点服务器证书与 客户端证书的申请与安装.doc

转载于：/art/200811/98671.htm 《网络工程师考试案例动手实验营 》第2章主要讲述的是架构基于CA证书的安全Web站点。本节将为大家介绍的是应用需求。  第2章 架构基于CA证书的安全Web站点 2.1 应用需求 随着电子商务的日益普及，某网络服务提供商基于Windows Server 2003建构了一台虚拟服务器，并安装IIS 6.0来配置各类客户网上商务站点的服务。其中，某个Web站点的应用需求如下。 (1) 架构一个使用用户证书认证的Web站点，使用默认的服务端口号。 (2) 该Web站点同时负责客户端证书的颁发、吊销任务。 (3) 网络中心已分配给该安全Web服务器一个静态的IP地址09，其网络拓扑结构如图2-1所示。 图2-1 某电子商务公司部分网络拓扑图 2.2? 安装IIS及证书服务组件（1） Internet信息服务是Windows Server 2003提供Web站点信息发布、使用和管理等功能的组件。全新安装的Windows Server 2003及IIS 6.0中，默认的应用程序操作模式为工作进程隔离模式。如果Windows Server 2003是从Windows Server 2000升级的，IIS 6.0将以IIS 5.0隔离模式运行。 全新安装的Windows Server 2003，默认情况下IIS及证书服务组件均未安装。若要安装IIS及证书服务组件，则需事先准备好Windows Server 2003安装光盘，并以系统管理员身份登录Windows Server 2003。具体操作步骤如下。 (1) 选择【开始】|【控制面板】|【添加或删除程序】|【添加/删除Windows组件】命令，在弹出的【Windows 组件向导】对话框中，选中【应用程序服务器】复选框，如图2-2所示。 (2) 单击【详细信息】按钮，如图2-3所示，在弹出的【应用程序服务器】对话框中，选中【Internet信息服务】复选框。 ? 图2-2? 【Windows组件向导】对话框 ? 图2-3? 【应用程序服务器】对话框 (3) 单击【详细信息】按钮，弹出如图2-4所示的【Internet 信息服务(IIS)】对话框，选中【万维网服务】复选框。 (4) 单击【详细信息】按钮，在弹出的如图2-5所示的【万维网服务】对话框中，选中Active Server Pages、【万维网服务】等复选框。 说明：安全Web通信、VPN服务器中L2TP连接等需要用到独立证书服务器。安装标准CA服务器时，需要同时安装IIS及IIS中的Active Server Pages服务组件。 ? 图2-4? 【Internet信息服务(IIS)】对话框 ? 图2-5? 【万维网服务】对话框 (5) 依次单击【确定】按钮，回到如图2-2所示的【Windows组件向导】对话框。拉动下拉滑块，找到【证书服务】选项。在如图2-6所示的界面中，选中【证书服务】复选框，单击【下一步】按钮，将弹出如图2-7所示的【Microsoft证书服务】对话框。 ? 图2-6? 【Windows组件】界面 (6) 单击【是】按钮，系统将要求选择CA服务器的类型。在如图2-8所示的界面中，选中【独立根CA】单选按钮。其中，【企业根CA】、【企业从属CA】单选按钮，需要在Active Directory服务器中安装证书服务时才可供选择。 (7) 单击【下一步】按钮，在如图2-9所示的【CA识别信息】界面中，在【此CA的公用名称】文本框中输入如的域名。CA有效期限等其他配置使用系统的默认值。 ? （点击查看大图）图2-7? 【Microsoft证书服务】对话框1 2.2? 安装IIS及证书服务组件（2） ? 图2-8? 【CA类型】界面 ? （点击查看大图）图2-9? 【CA识别信息】界面 (8) 单击【下一步】按钮，系统将生成加密密钥并设置密钥保护。之后，系统要求输入证书数据库、数据库日志等配置信息，如图2-10所示。这些配置信息可以使用系统的默认值，或者是将其中的C:\更改为D:\等。 (9) 单击【下一步】按钮，系统将进行IIS及证书服务组件的配置，如图2-11所示。在服务组件安装过程中，可能会要求插入Windows Server 2003安装光盘，以复制i386目录中的相关文件。 ? （点击查看大图）图2-10? 【证书数据库设置】界面 ? （点击查看大图）图2-11? 【正在配置组件】界面 若先前在如图2-5所示的【万维网服务】对话框中，未选中Active Server Pages复选框，将弹出如图2-12所示的对话框，要求安装Active Server Pages服务功能。 ? （点击查看大图）图2-