Windows Server 2008企业根CA认证实验.docxVIP

Windows Server 2008企业CA认证实验用2台win2008和一台xp做一个企业CA实验。在Win08DC上创建Web网站，要求实现https://www.testdomain.local加密访问。1.给三台电脑分别设置好IP地址，计算机名字。（省略）2.把win08dc升级为域控制器，域名为testdomain.local，把win08client和winxpclient加入域。（省略）3.在win08dc上安装IIS服务。（省略）4.安装证书服务：Win08dc配置： 这里直接点击安装证书服务器，它会直接将IIS服务器进行安装点击下一步只有是DC时企业CA才能进行选择，普通计算机只能选择独立CA，这里选择企业CA，点击下一步选择根CA，点击下一步选择新建私钥，点击下一步下面的步骤都是默认值这里省略在这里我要申明，如果CA和IIS服务器是在同一台计算机上面，那么就不需要建立与CA的信任关系了，如果不是在同一台计算机上，那么就要做与CA的信任关系了。这里通用名称要填写IIS的IP地址或者域名，点击下一步默认，点击下一步将cz这个文件放在桌面，点击完成然后进入IE浏览器登陆http：///certsrv，之后输入域用户的账号和密码，这里我是用的管理员，点击确定点击申请证书选择高级证书申请选择第二个将桌面上的cz这个txt文件中的复制到这里，证书模板一定要选择web服务器，点击提交提交后如果是独立CA是要手工去颁发证书的，企业CA是自动颁发的，点击下载证书，将证书下载到桌面点击完成证书将申请到的证书路径填写到第一个方框中，好记名字随意，点击确定这里不要急着将网站进行加密，如果将网站进行了加密，下面没有申请证书的客户端就不能登陆到http：///certsrv这个网站进行申请证书，所以我们先去客户端将证书申请下来之后，再将网站进行加密。Win08client配置：在进入这个网站之前，还是要输入域用户的账号和密码，这里选择下载CA证书、证书链或CRL选择下载CA证书，保存到桌面然后安装桌面上的证书点击下一步，下面的步骤默认，安装这张证书是为了和CA服务器建立信任关系点击申请证书点击用户证书如果点击进去出现上述提示，提交是灰显的，解决方案如下：这一项必须启用点击提交，然后安装证书最后去win08dc上面将网站进行加密现在在去访问，只有有证书的客户才能访问这加密的网站在win08dc上没有证书，访问就会出错在win08client上拥有证书能成功访问先装证书服务还是先装IIS服务？？ 装了证书服务，IIS也会安装上去？？答：直接安装CA服务器当CA和IIS在一台电脑上时，CA还是否要给本机的IIS颁发证书来信任？？？答：不需要在颁发信任证书当客户机是2008和XP时，对比申请证书时的区别。答：Windows xp与windows server 2008最大的区别就是在用户证书申请的时候，2008会提交灰显，需要改可信任站点，而xp不需要，其余步骤相同