实验3-应用层安全技术-windows-server证书配置操作指南.docVIP

WINDOWSSERVER2003证书配置

目录

TOC\o1-3\h\z\uWINDOWSSERVER2003证书配置 1

一、证书组件安装 1

1.首先在服务器上安装IIS组件,并配置WEB站点: 2

2.使用IE浏览器输入IP地址访问本地站点: 7

3.在服务器上安装CA组件: 8

4.使用IIS查看默认站点多出关于CA证书的列表: 18

5.证书颁发机构 18

二、客户端安装证书 20

1．申请数字证书 20

2.CA证书颁发 30

3.打开证书颁发机构查看: 32

三、在WEB服务器上设置SSL 32

1.生成证书申请: 32

2.提交证书申请: 43

3.颁发证书: 50

4.在使用WEB形式访问证书申请页面,并选择下载证书: 54

5.在WEB服务器上安装证书: 55

四、练习 60

1.启用安全通道(SSL): 60

2.使用HTTPS方式访问站点 62

一、证书组件安装

1.首先在服务器上安装IIS组件,并配置WEB站点:

并配置WEB服务器:

2.使用IE浏览器输入IP地址访问本地站点:

3.在服务器上安装CA组件:

因为没有AD(活动目录),所以只能创建独立CA,又因为是第一个CA,所以选择独立根CA,并选择自定义安装:

配置公钥/私钥对,保持默认即可:

设置CA名字和使用年限:

选择证书数据库及其日志信息的位置:

安装证书时需要停止INTERNET信息服务:

起用ASP支持:

完成CA的安装:

4.使用IIS查看默认站点多出关于CA证书的列表:

5.证书颁发机构

开始》》》管理工具》》》证书颁发机构，打开如下窗口：

我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。

此时该服务器（CA）的IIS下多出以下几项：

我们可以通过在浏览器中输入以下网址进行数字证书的申请：

http://hostname/certsrv或http://hostip/certsrv

申请界面如下：

二、客户端安装证书

1．申请数字证书

在IE地址栏中输入证书服务系统的地址，进入服务主页：

点击‘申请一个证书’进入申请页面：

如果证书用作客户端身份认证，则可点击‘Web浏览器证书’或‘高级证书申请’，一般用户申请‘Web浏览器证书’即可，‘高级证书申请’里有更多选项，也就有很多专业术语，高级用户也可点击进入进行申请。

这里我们以点击申请‘Web浏览器证书’为例：

申请‘Web浏览器证书’，‘姓名’是必填项，其他项目可不填，但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的，所以请尽量多填，并且填写真实信息，因为CA管理员会验证申请人的真实信息，然后进行颁发。

需注意的一点是，‘国家（地区）’需用国际代码填写，CN代表中国。

如果想查看更多选项，请点击‘更多选项’：

在‘更多选项’里，默认的CSP为MicrosoftEnhancedCryptographicProviderv1.0，选择其他CSP不会对认证产生影响。

默认情况下‘启用强私钥保护’并没有勾选上，建议将它勾选上，点击提交后就会让申请人设置证书的安全级别，如果不将安全级别设置为高级并用口令进行保护，则只要机器上装有该证书，任何人都可以用它作为认证，所以建议将证书设置为高级安全级别，用口令进行保护。以下将作相应操作，点击‘提交’：

单击‘是’：

单击‘设置安全级别’：

将安全级别设置为‘高’，单击‘下一步’后会弹出口令设置窗口：

输入口令，对证书进行加密，并记住密码，因为在以后调用该证书的时候，浏览器会弹出输入密码的窗口。

单击‘完成’：

单击‘确定’，浏览器页面跳向如下：

到这一步，申请人已经向CA服务器发送证书信息，并等待CA管理员对其进行核对，然后决定是否要颁发，如果CA管理员核对信息后决定颁发此证书，则申请人在其颁发之后再次访问该系统：

点击‘查看挂起的证书申请状态’：

该页面证明CA管理员已经颁发了申请人的证书，点击进入证书安装页面：（说明：管理员需在“证书颁发机构”中颁发该证书。具体参考下一步。）

点击‘安装此证书’：

您应该已经信任CA机构，所以请单击‘是’：

您已经成功安装数字证书。

如果要找回您刚才安装的数字证书，请单击浏览器上的：工具》》》Internet选项》》》内容》》》证书，弹出如下窗口：

此时您已经发现，在证书个人存储区内已经安装了您刚刚申请并成功安装的证书。

单击‘查看’：

这就是您的数字证书了。

2.CA证书颁发