安装CA证书服务的过程.docVIP

安装CA证书服务的过程 打开一台server 2008服务器以及一台普通客户机win 7虚拟机。 下面是server 2008上面的IP地址和DNS地址的配置。 这是win 7上面的IP配置一定要和server 2008在同一个网段，而且要绑定同一个物理网卡。 在win 7虚拟机上面进行ping命令测试。结果如下。 在server 2008上面打开服务器管理器进行添加角色。 这种服务一般都是为企业准备的所以最好先安装AD域。 使用命令建立AD域的过程（上面所安装的AD域是不行的）。 因为是第一个域所以要选择“在新林中新建域”。 下面开始输入一个域名。 这里是选择域的版本信息。 在这里选择“是”就行了， 下面是设置AD域的一些相关文件存放位置（最好不要放在C盘，我是做实验所以就没动这些选项）。 下面这个密码注意要符合密码安全策略复杂性。 下面直接安装完成就行了（没图的地方都是默认配置）。 当域添加完成重启之后，以管理员身份进行登陆。下面这个意思是用benet域的administrator账户进行登录。 下面是打开计算机的属性进行查看。 因为域要有DNS来解析所以这里自动安装了DNS服务。下面添加AD证书服务角色。 现在开始添加AD证书服务。 下一步之后选择在web页面注册，然后添加必须的角色服务。 现在选择企业，如果没有提前安装AD域，“企业”这里是灰色图标，是点击不了的。 企业CA的特点。 当安装企业根CA时，对于域中的所有用户和计算机，都会被自动添加到受信任的根证书颁发机构的证书存储区中。 必须是管理员或是对AD具有写权限的管理员，才能安装企业根CA。 独立CA主要有以下特征。 不需要使用AD目录服务。可以在涉及extranet和Internet时使用。 下面选择根域，然后继续下一步。根CA是指在组织的PKI中最受信任的CA。虽然根CA也能向最终用户颁发证书，但是在大多数情况下，根CA只是用于向其他CA（称为从属CA）颁发证书。 子级CA是由组织中的另一CA（一般是根CA）颁发证书的CA。 选择新建私钥，然后下一步。 在这里选择默认的加密类型以及加密方式。字符长度2048就行了。 加密服务提供程序（CSP）：是执行身份验证、编码和加密服务的程序。 哈希算法：通过此选项，可以选择高级哈希算法。 密钥长度：通过此选项，可以指定在所选算法中使用的密钥所需的最小长度。 下面是配置CA的名称。 下面设置CA证书的有效期，默认是5年。 下面是配置数据存放位置，还是那句话最好不要放在C盘，第一是不安全，第二是容易损坏。 下面还有安装web服务器，详细过程在: HYPERLINK "mailto:http://9735109/1627401" /9735109/1627401这里就不在啰嗦了。最后点击安装就行了。 安装完之后打开CA证书的控制台。 在这里可以看到关于证书服务的一切信息，目前是空的。 下面打开IIS管理器。 点击计算机名称之后，打开服务器证书服务。 点击右边的创建证书申请，输入申请者的一些相关信息。 为web站点应用证书前必须先生成证书申请，用于标识证书将用于哪个web站点。 使用2048位的密钥长度，默认的加密程序就行了。 选择证书存放的位置，以及类型。 打开证书存放的位置，双击可以看到证书申请是base64编码。 下面是提交证书申请。我这里首先要打开IE浏览器进行设置。因为我的证书不是经过正式机构认证的所以要关闭安全设置。 如下所示关闭IE浏览的增强配置。 此时使用IE浏览器访问web主站点下证书服务的虚拟目录（默认的是certsrv）。需要输入管理员账户以及计算机密码。 点击申请证书。 生成一个高级证书申请。 使用刚才创建完成的base64编码的证书申请。 复制刚才创建的base64编码内容到保存的申请。 粘贴完整之后在证书模板里下拉选择web服务器。然后提交。 转到新页面点击下载证书，选择保存。另存一个地方。 点击浏览选择保存的位置，为了方便查看我这里选择的是桌面。 可以看到下面生成好了的证书。（如果是独立CA的话需要在CA控制台中右击证书选择颁发按钮）。 下面是证书的安装与使用。 再次回到web服务器的控制台，点击右边的完成证书的申请。 下面配置安全通道SSL，还是在IIS管理器的位置。点击网站站点，选择右边的绑定属性，在新窗口中点击添加，选择https安全超文本传输协议的类型，在SSL证书中选择之前安装的证书。 如图所说：当站点设置为https之后，SSL也需要配置，双击打开。 下图配置的释义是： 要求SSL：强制用户都使用SSL方式连接站点。 需要128位SSL：使用128位密钥加密SSL通道。 忽略：无论用户是否拥有证书，都将被授予访问权限。 接受：用户可以使用客户端证书访问资源，但证书并不是必须的。 必须：服