51CTO下载-Win2003证书服务配置客户端证书申请IIS站点SSL设置.docVIP

Win2003证书效劳配置/客户端(效劳端)证书申请/IIS站点SSL设置 一．CA证书效劳器安装 1．安装证书效劳之前要先安装IIS效劳并且保证“WEB效劳扩展〞中的“Active Server Pages〞为允许状态 2．在“控制面板〞中运行“添加或删除程序〞，切换到“添加/删除Windows组件〞页 3．在“Windows组件向导〞对话框中，选中“证书效劳〞选项，接下来选择CA类型，这里选择“独立根CA〞?????? 　4．然后为该CA效劳器起个名字(本例中的名字为CntvsServer)，设置证书的有效期限，建议使用默认值“5年〞即可，最后指定证书数据库和证书数据库日志的位置后，就完成了证书效劳的安装。5.安装完成后，系统会自动在IIS的默认站点，建几个虚拟目录CertSrc,CertControl,CertEnroll　 二．客户端证书申请 1. 运行Internet Explorer浏览器，在地址栏中输入“ ://证书效劳器IP/CertSrv/default.asp〞。证书申请页面，输入相应的申请信息，然后点击［申请一个证书］。 接下来选择Web浏览器证书 填写相关信息 2. 系统将处理您提交的申请，此过程可能要等待10秒钟左右。 建议最好记下申请ID 三。客户端证书的颁发 翻开“管理工具〞选择“证书颁发机构〞，翻开挂起的申请,右击--颁发 四。客户端证书的下载及安装??1.运行Internet Explorer浏览器，在地址栏中输入“ ://证书效劳器IP/CertSrv/default.asp〞,选择“查看挂起的证书申请状态〞 ??2.找到自己申请的证书 3.安装证书 安装完成后，可到IE里查看刚刚安装好的证书 五.效劳器证书的申请 1.以IIS的默认站为例，先右击站点，翻开网站属性--目录平安性--效劳器证书 2.按IIS证书向导 一步步 提交效劳器证书申请 六。效劳器证书的颁发1.先翻开证书颁发机构，提交刚刚的申请 选择刚刚的c:certreq.txt 按提示一步步完成2.颁发证书在挂起的申请里，可以看到刚刚的申请(本例ID为5)，右击--颁发 3.导出证书在颁发的证书里，可以看到多了个证书，在新颁发的效劳器证书上右击--翻开 切换到详细信息，单击复制到文件，将该证书导出为cer文件 七。IIS中效劳器证书/SSL的设置 １。还是先翻开网站属性，切换到目录平安性，点击效劳器证书 2.安装效劳器证书 选择刚刚导出的cer文件 然后一路下一步，直到完成. 3.设置SSL 有了效劳器证书后，IIS的相关站点，可以改用 s://来访问，还是翻开网站属性--目录平安性--平安通信--编辑 把要求平安通知(SSL)选中，确定即可 这里，如果我们再访问 ://localhost/CertSrv/default.asp,会提示以下错误： s://来访问，即 s://localhost/CertSrv/default.asp,如果是IE7，会提示证书错误，如下列图: 先不管这个错误(马上会说到如何处理)，点击继续浏览网站(不推荐)即可正常访问最后来分析一下，为什么会有这个证书错误，强行浏览这个页面后，会发现地址栏是红色的，我们点击地址栏右侧的证书错误--“查看证书 观察一下会发现，刚刚我们申请的效劳器证书，在颁发证书时，默认是颁发给计算机名，本例中也就是jimmycntvs这台计算机的，而我们现在用localhost来访问，效劳器会认为localhost与jimmycntvs不是同一台机器，因此觉得不平安！ 既然知道原因了，也就能解决了，我们把访问地址换成 s://jimmycntvs/certsrv/default.asp (即把localhost换成jimmycntvs)，这回IE就认为访问地址与证书中的信息对上号了，也就没有提示了，呵呵