证书服务的部署.pptVIP

企业CA的安装 选择CA类型......完成安装。 客户端证书申请 Web方式申请 客户端申请证书 Web方式申请 客户端证书申请 Web方式申请 客户端申请证书 MMC方式申请 1)CA服务器上导出CA证书：开始运行-mmc-添加计算机账户，选择 CA证书导出； 2)客户端导入CA证书至受信任机构：将CA证书复制到客户端，然后 导入至受信任机构。（MMC中导入） 3)客户端申请证书:右击个人/证书-申请新证书-选择CA等信息并输 入证书名称等完成申请。 Web服务器证书申请 Web服务器证书申请 1）Web服务器端新建证书申请 2）浏览器中申请Web服务器证书 3）Web服务器安装证书 4）Web网站的SSL设置 企业从属CA的安装 企业从属CA的安装 独立根CA的安装和从属独立CA的安装 独立根CA的安装和从属独立CA的安装 CA的管理 证书的发放方式 CA的管理 吊销证书与证书吊销列表 1）吊销证书:右击已经颁发的证书-所有任务-吊销证书; 2）取消吊销：右击已吊销的证书-所有任务-解除吊销证书；（只有 吊销原因是证书待定的才能取消吊销） 证书模板 1) 启用证书模板：右击证书模板-新建-要颁发的证书模板，选择要 启用的证书模板。 2）复制模板：右击证书模板-管理，打开证书模板控制台；右击要复 制的模板-复制模板，进行修改从而创建自定义的模板 3）管理模板：设置模板的权限：读取、写入、注册、完全控制，以 便让用户在申请时可以使用。 CA的管理 CA的备份与还原 企业CA的安装 控制面板-添加删除程序-添加删除组件； * 注：安装证书服务前需安装IIS，并启用ASP。 注：Web方式申请证书，浏览器中输入：http：//服务器IP/certsrv； 注：申请新证书-创建并向此CA提交一个申请 证书模板：选择证书模板的类型决定此证书的用途； CSP：加密服务处理程序 申请格式：CMC和PKCS10 证书存储：用户存储和计算机存储（需客户机管理员权限） 注：证书服务安装完成以后会在IIS中创建用于WEB申请的虚拟目录，该目录在企业CA中采用集成WINDOWS验证，独立CA中采取匿名验证。 注：导入CA证书和申请新证书需要一定的本地权限。 同企业CA的安装，不同之处在于证书颁布发机构名称不一样，需要设置主CA的计算机名和CA名。 1)基本上同企业CA的安装和从属企业CA的安装。 2)独立根CA的客户端申请也提供了一些证书类型可供选择，但没有证书模板。 证书的发放方式 ：手动发放和自动发放。 手工发放：右击证书颁发机构名称-属性-策略模块-属性，选择“将证书请求状态设置为挂起……”； 自动发放：右击证书颁发机构名称-属性-策略模块-属性，选择“……自动颁发证书”； 启用模板：让证书模板可以为客户端申请证书而使用。 复制模板：创建自定义的证书模板。 管理模板：模板的权限设置很重要，否则客户端申请时将看不见该模板。 1）Web服务器端新建证书申请：右击网站名-属性-目录安全性-服务器证书-新建证书-现在准备证书请示……-网站名\证书名\地区……-证书请求的文件名(选择文件路径)-完成; 2）浏览器中申请Web服务器证书:http://IP/certsrv-申请新证书-高级-选择Base 64 ……-选择证书模板（Web服务器），并将证书请求文件内的内容复制到文本框中…将证书下载到本地完 成证书的申请； 3）Web服务器安装证书：右击网站名-属性-目录安全性-服务器证书-处理挂起的证书请求-选择申请的证书-完成证书的安装； 4） Web网站的SSL设置：右击网站名-属性-目录安全性-编辑-要求安全道道（SSL），并选择忽略客户端证书。 备份：右击证书颁发机构名-所有任务-备份CA-设置备份项目和备份位置-输入保护密码-……-完成备份； 还原：右击证书颁发机构名-所有任务-还原CA-设置还原项目-输入保护密码-……-完成还原。（还原过程中会停止服务和结束后会重启服务）。