- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
企业CA应用之--Web服务器申请证书(完美版).doc
企业CA应用之--Web服务器申请证书(完美版)
?? 2009年06月04日 ?? 来源:51cto ?? 作者:佚名 ?? 收藏本文
web站点,域名为[url][/url],启用的身份验证方式是基本身份方式。由于该网站有公司敏感数据,因此公司希望用户访问时,保证用户密码和访问的数据在传输时的安全性(信息不能被协议分析工具破解出来)。
2.拓扑图:
3.步骤:
(1)安装证书服务:(注意证书服务必须是建立在安装IIS服务的基础上的。)
两个服务一起安装,如下图:选择安装IIS
然后选择安装证书服务:
注意:在这里是工作组模式,所以不出现上面两项(域环境会出现上面两项),如下图:
输入ca识别信息
保证证书数据库及日志信息的位置默认值:
开始安装:
(2)在开始—管理工具中单击证书颁发机构,打开证书颁发机构:
使用IIS管理器,观察默认网站下有certsrv等虚拟目录:
(3)安装WWW服务,如下图所示:
(4)安装完成后,打开并设置来宾用户的访问权限:
(5)打开web服务器,属性—目录安全性,选择服务器证书:
选择新建证书:
接着选择下一步
输入名称:
输入站点名称[url][/url],注意这里不要输入错误了
输入地理信息,单击下一步:
按提示完成。
(6)web方式提交证书申请:
打开IE浏览器,导航到[url]1/certsrv[/url](这是运行证书服务的计算机的IP地址)
选择申请一个证书,下一步:
选择高级证书申请:
在这里选择的是用base64编码:
复制certreq.txt文件内容到下拉列表框,提交。
出现如下图所示,证书挂起:(注意如果是在域环境,则直接就会颁发,在这里就需要手工颁发了).
(7)手工颁发证书:
打开证书颁发机构,可以查看到挂起的证书,右击所有任务—颁发证书:
可以看到已经颁发了的证书:
(8)下载证书:
打开IE浏览器,导航到[url]1/certsrv[/url](这是运行证书服务的计算机的IP地址)
选择查看挂起的证书申请的状况:
选择保存的申请证书,选择下载证书:
下载证书到本地:
(9)安装证书,打开web服务器,属性-选择目录安全—服务器证书:
选择处理挂起的请求并安装证书:
浏览到刚才下载到本地的证书:
保持默认端口443:
(10)查看证书:
发现证书有一个红叉(分析原因:没有添加ca的证书到受信任的根证书颁发机构,接着添加!),注:如果是在域环境下,则不会出现红叉。
(11)下载ca证书到本地添加到信任的证书机构:
打开IE浏览器,导航到[url]1/certsrv[/url](这是运行证书服务的计算机的IP地址)
在这里选择下载一个ca证书,证书链或CRL
接下来下载ca证书到本地
在运行里输入 mmc打开管理控制台:
选择添加/删除管理单元—选择添加—选择证书:
选择计算机帐户:
保持默认,完成
展开管理控制台,选择证书,右击出现所有任务选择导入:如下图:
导入刚下载ca的证书,如下图:
(12)查看刚才打红叉的证书,现在正常了,如下图:
(13)启用安全通道,如图选择编辑:
勾选“要求安全通道(SSL)”,再勾选要求客户端证书:
(14)客户端访问:
无法访问原因:客户端没有申请证书:
(15)客户端申请证书:
打开IE浏览器,导航到[url]1/certsrv[/url](这是运行证书服务的计算机的IP地址)
选择申请证书,通过浏览器:填写相关内容,提交
(16)给客户机颁发证书:
(17)客户机下载证书并安装:
证书安装完成:
(18)客户机访问:
总结:
1. ca建好之后,时间和计算机名都不可修改。
2. 给web服务器颁发证书时,必须下载ca的证书并且导入到受信任的根证书颁发机构。
3. 在给web服务器应用证书时注意一定要勾选“要求安全通道(SSL)”,再勾选“要求客户端证书”。
4. 在工作组模式下证书颁发需要手工颁发,但在加入域环境下证书是自动颁发的(如果ca是域控,则颁发证书时一定要有域管理员权限的用户才可以申请证书)。
文档评论(0)