第5章Windows中的证书服务及应用5.1 PKI和CA概述.pptVIP

　　3．颁发服务器证书 　　（1）在证书服务器上单击“开始/管理工具/证书颁发机构”，打开“证书颁发机构”控制台窗口。在主窗口中展开树状目录，单击“挂起的申请”项，找到刚才申请的证书，然后右键单击该项，选择“所有任务/颁发”。 　　（2）颁发成功后，单击树状目录中的“颁发的证书”项，双击刚才颁发的证书，在弹出的“证书”对话框中选择“详细信息”选项卡。 　　（3）单击“复制到文件”按钮，弹出证书导出向导，连续单击“下一步”按钮，并在“要导出的文件”对话框中输入文件名。 　　（4）单击“下一步”按钮，最后单击“完成”。 　　4．安装服务器证书 　　（1）在IIS网站计算机中，重新进入IIS管理器网站属性的“目录安全性”选项卡，单击“服务器证书”按钮，弹出“挂起的证书请求”对话框，选择“处理挂起的请求并安装证书”选项。 　　（2）单击“下一步”按钮，打开“处理挂起的请求”对话框，指定刚才导出的服务器证书文件的路径和文件名。 　　说明：如果IIS网站与证书服务器不在同一台计算机，则必须在IIS网站计算机上启动IE浏览器，在地址栏中输入“http://证书服务器IP地址/CertSrv/default.asp”，进入证书服务欢迎页面，单击“查看挂起的证书申请的状态”链接，在打开的“查看挂起的证书申请的状态”页面中单击“保存的申请证书”链接，在打开的“证书已颁发”页面中单击“下载证书”链接，下载证书文件到本地硬盘，再在这一步指定该证书文件的路径和文件名。 　　（3）单击“下一步”按钮，打开“SSL端口”对话框，设置SSL端口，使用默认的“443”即可。 　　（4）依次单击“下一步”按钮，最后单击“完成”按钮。 　　5．配置IIS服务器 　　完成了证书的导入后，IIS网站这时还没有启用SSL安全加密功能，需要对IIS服务器进行配置。 　　（1）在IIS网站计算机中，进入IIS管理器网站属性的“目录安全性”选项卡，单击“安全通信”栏的“编辑”按钮，打开“安全通信”对话框，选中“要求安全通道（SSL）”和“要求128位加密”复选框，单击“确定”按钮。 　　（2）在IIS管理器网站属性的“目录安全性”选项卡，单击“身份验证和访问控制”栏的“编辑”按钮，打开“身份验证方法”对话框，在对话框中取消“启用匿名访问”和“集成Windows身份验证”复选框，再选中“基本身份验证”复选框，最后单击“确定”按钮，完成SSL网站的配置。 　　在完成了对SSL网站的配置后，用户只要在IE浏览器中输入“https://网站域名”就能访问该网站。 * * 第5章 Windows中的证书服务及应用5.1 PKI和CA概述 　　公钥基础设施PKI（Public Key Infrastructure，以后简称PKI）是硬件产品、软件产品、策略和过程的综合体，为电子商务交易的安全提供了基本保障。 5.3 Windows Server 2003证书服务的安装 　　由于以后要在Web页面中处理证书CA证书请求、下载证书等，所以，要先安装好IIS并启用ASP，后安装“证书服务”。 　　下面介绍安装证书服务的操作步骤。 　　（1）在Windows Server 2003中在进入“控制面板”，运行“添加或删除程序/添加删除Windows组件”，进入“Windows组件向导”对话框，选中“证书服务”选项。 　　（2）单击“下一步”按钮，打开“CA类型”对话框，选择CA类型。这里选择“独立根CA”。 　　（3）单击“下一步”按钮，打开“CA识别信息”对话框，为自己的CA服务器取个名字，设置证书的有效期限。 　　（4）单击“下一步”按钮，打开“证书数据库设置”对话框，指定证书数据库和证书数据库日志的位置。 　　（5）单击“下一步”按钮，就可完成证书服务的安装。 　　说明：安装证书服务过程中，系统会停止IIS的Web服务，应在安装完证书服务后再启动它。 5.4 申请证书 　　下面在Windows XP客户机上通过网站申请证书。 　　（1）在Windows XP客户机中启动IE浏览器，在地址栏输入“http://证书服务器IP地址/certsrv/default.asp”就可以访问证书服务欢迎页面。 　　（2）在申请证书之前，得先安装证书链，系统才能识别下载的证书，单击“下载一个CA证书，证书链或CRL”链接转到证书链下载页面。 　　（3）单击“安装此CA证书链”链接，弹出一个证书指纹安全警告对话框，显示了证书指纹。 　　（4）单击“是”按钮，安装好证书链之后，系统提示“CA证书链已成功安装”。 　　（5）回到地址为“http://证书服务器IP地址/certsrv/default.asp”的证书服务欢迎页面。 　　（6）单击“申请一个证书”，打开“申请一个证书”页面。