证书服务器配置.pdfVIP

{售后服务}证书服务器 配置 WindowsCA 证书服务器配置(一)——Microsoft 证书服务安 安装准备：插入 WindowsServer2003 系统安装光盘 添加 IIS 组件： 点击 ‘确定’ ，安装完毕后，查看IIS 管理器，如下： 添加 ‘证书服务’组件： 如果您的机器没有安装活动目录，在勾选以上 ‘证书服务’时，将弹出如下窗口： 由于我们将要安装的是独立CA ，所以不需要安装活动目录，点击 ‘是’，窗口跳 向如下： 默认情况下， ‘用自定义设置生成密钥对和CA 证书’没有勾选，我们勾选之后 点击 ‘下一步’可以进行密钥算法的选择： Microsoft 证书服务的默认 CSP 为：MicrosoftStrongCryptographicProvider ， 默认散列算法：SHA-1 ，密钥长度：2048——您可以根据需要做相应的选择，这 里我们使用默认。点击 ‘下一步’ ： 填写 CA 的公用名称（以AAAAA 为例），其他信息（如邮件、单位、部门等）可 在 ‘可分辨名称后缀’中添加，有效期限默认为5 年（可根据需要作相应改动， 此处默认）。 点击 ‘下一步’ ： 点击 ‘下一步’进入组件的安装，安装过程中可能弹出如下窗口： 单击 ‘是’ ，继续安装，可能再弹出如下窗口： 由于安装证书服务的时候系统会自动在 IIS 中（这也是为什么必须先安 IIS 的 原因）添加证书申请服务，该服务系统用 ASP 写就，所以必须为 IIS 启用 ASP 功 能，点击 ‘是’继续安装： ‘完成’证书服务的安装。 开始》》》管理工具》》》证书颁发机构，打开如下窗口： 我们已经为服务器成功配置完公用名为 AAAAA 的独立根CA ，Web 服务器和客户端 可以通过访问该服务器的 IIS 证书申请服务申请相关证书。 此时该服务器（CA ）的IIS 下多出以下几项： 我们可以通过在浏览器中输入以下网址进行数字证书的申请： hostname/certsrv 或 hostip/certsrv 申请界面如下： WindowsCA 证书服务器配置(二)——申请数字证书 在 IE 地址栏中输入证书服务系统的地址，进入服务主页： 点击 ‘申请一个证书’进入申请页面： 如果证书用作客户端身份认证，则可点击 ‘Web浏览器证书’或 ‘高级证书申 请’，一般用户申请 ‘Web浏览器证书’即可， ‘高级证书申请’里有更多选项， 也就有很多专业术语，高级用户也可点击进入进行申请。 这里我们以点击申请 ‘Web浏览器证书’为例： 申请 ‘Web浏览器证书’， ‘姓名’是必填项，其他项目可不填，但由于 CA 服务 器的管理员是根据申请人的详细信息决定是否颁发的，所以请尽量多填，并且填 写真实信息，因为CA 管理员会验证申请人的真实信息，然后进行颁发。 需注意的一点是， ‘国家（地区）’需用国际代码填写，CN 代表中国。 如果想查看更多选项，请点击 ‘更多选项’ ： 在 ‘ 更 多 选 项 ’ 里 ， 默 认 的 CSP 为 MicrosoftEnhancedCryptographicProviderv1.0 ，选择其他CSP 不会对认证产生 影响。 默认情况下 ‘启用强私钥保护’并没有勾选上，建议将它勾选上，点击提交后就 会让申请人设置证书的安全级别，如果不将安全级别设置为高级并用口令进行保 护，则只要机器上装有该证书，任何人都可以用它作为认证，所以建议将证书设 置为高级安全级别，用口令进行保护。以下将作相应操作，点击 ‘提交’ ： 单击 ‘是’ ： 单击 ‘设置安全级别’ ： 将安全级别设置为 ‘高’ ，单击 ‘下一步’后会弹出口令设置窗口： 输入口令，对证书进行加密，并记住密码，因为在以后调用该证书的时候，浏览 器会弹出输入密码的窗口。 单击 ‘完成’ ： 单击 ‘确定’ ，浏览器页面跳向如下： 到这一步，申请人已经向 CA 服务器发送证书信息，并等待 CA 管理员对其进行核 对，然后决定是否要颁发，如果 CA 管理员核对信息后决定颁发此证书，则申请 人在其颁发之后再次访问该系统： 点击 ‘查看挂起的证书申请状态’ ： 该页面证明 CA 管理员已经颁发了申请人的证书，点击进入证书安装页面： 点击 ‘安装此证书’ ： 您应该已经信任 CA 机构，所以请单击 ‘是’ ： 您已经成功安装数字证书。