Windows 2003 CA证书服务器配置.docVIP

Windows 2003 CA证书服务器配置 Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装 放入Windows Server 2003 系统安装光盘 添加IIS组件： 点击‘确定’，安装完毕后，查看IIS管理器，如下： 添加‘证书服务’组件： 如果您的机器没有安装活动目录，在勾选以上‘证书服务’时，将弹出如下窗口： 由于我们将要安装的是独立CA，所以不需要安装活动目录，点击‘是’，窗口跳向如下： 默认情况下，‘用自定义设置生成密钥对和CA证书’没有勾选，我们勾选之后点击‘下一步’可以进行密钥算法的选择： Microsoft 证书服务的默认CSP为：Microsoft Strong Cryptographic Provider，默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。点击‘下一步’： 填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀’中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。 点击‘下一步’： 点击‘下一步’进入组件的安装，安装过程中可能弹出如下窗口： 单击‘是’，继续安装，可能再弹出如下窗口： 由于安装证书服务的时候系统会自动在IIS中（这也是为什么必须先安装IIS的原因）添加证书申请服务，该服务系统用ASP写就，所以必须为IIS启用ASP功能，点击‘是’继续安装： ‘完成’证书服务的安装。 开始—— 管理工具——证书颁发机构，打开如下窗口： 我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。 此时该服务器（CA）的IIS下多出以下几项： 我们可以通过在浏览器中输入以下网址进行数字证书的申请： http://hostname/certsrv或http://hostip/certsrv 申请界面如下： Windows CA 证书服务器配置(二) 申请数字证书 在IE地址栏中输入证书服务系统的地址，进入服务主页 点击‘申请一个证书’进入申请页面： 如果证书用作客户端身份认证，则可点击‘Web浏览器证书’或‘高级证书申请’，一般用户申请‘Web浏览器证书’即可，‘高级证书申请’里有更多选项，也就有很多专业术语，高级用户也可点击进入进行申请。 这里我们以点击申请‘Web浏览器证书’为例： 申请‘Web浏览器证书’，‘姓名’是必填项，其他项目可不填，但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的，所以请尽量多填，并且填写真实信息，因为CA管理员会验证申请人的真实信息，然后进行颁发。 需注意的一点是，‘国家（地区）’需用国际代码填写，CN代表中国。 如果想查看更多选项，请点击‘更多选项’： 在‘更多选项’里，默认的CSP为Microsoft Enhanced Cryptographic Provider v1.0，选择其他CSP不会对认证产生影响。 默认情况下‘启用强私钥保护’并没有勾选上，建议将它勾选上，点击提交后就会让申请人设置证书的安全级别，如果不将安全级别设置为高级并用口令进行保护，则只要机器上装有该证书，任何人都可以用它作为认证，所以建议将证书设置为高级安全级别，用口令进行保护。以下将作相应操作，点击‘提交’： 单击‘是’： 单击‘设置安全级别’： 将安全级别设置为‘高’，单击‘下一步’后会弹出口令设置窗口： 输入口令，对证书进行加密，并记住密码，因为在以后调用该证书的时候，浏览器会弹出输入密码的窗口。 单击‘完成’： 单击‘确定’，浏览器页面跳向如下： 到这一步，申请人已经向CA服务器发送证书信息，并等待CA管理员对其进行核对，然后决定是否要颁发，如果CA管理员核对信息后决定颁发此证书，则申请人在其颁发之后再次访问该系统： 点击‘查看挂起的证书申请状态’： 该页面证明CA管理员已经颁发了申请人的证书，点击进入证书安装页面： 点击‘安装此证书’： 您应该已经信任CA机构，所以请单击‘是’： 您已经成功安装数字证书。 如果要找回您刚才安装的数字证书，请单击浏览器上的：工具 —— Internet选项—— 内容—— 证书，弹出如下窗口： 此时您已经发现，在证书个人存储区内已经安装了您刚刚申请并成功安装的证书。 单击‘查看’： 这就是您的数字证书了。