Windows server 2008安裝企業CA證書服務
CA(證書頒發機構)
為了保證網絡上信息的傳輸安全,除了在通信中采用更強的加密算法等措施外,必須建立一種信任及信任驗證機制,即通信各方必須有一個可以被驗證的標識,這就需要使用數字證書,證書的主體可以是用戶、計算機、服務等。證書可以用於多方面,例如Web用戶身份驗證、web服務器身份驗證、安全電子郵件等。安裝證書確保望上傳遞信息的機密性、完整性、以及通信雙方身份的真實性,從而保障網絡應用的安全性。
提示:CA分為兩大類,企業CA和獨立CA;
企業CA的主要特征如下:
1)企業CA安裝時需要AD(活動目錄服務支持),即計算機在活動目錄中才可以。
2.當安裝企業根時,對於域中的所用計算機,它都將會自動添加到受信任的根證書頒發機構的證書存儲區域;
3.必須是域管理員或對AD有寫權限的管理員,才能安裝企業根CA;
獨立CA主要以下特征:
1.CA安裝時不需要AD(活動目錄服務)。
2 .情況下,發送到獨立CA的所有證書申請都
被設置為掛起狀態,需要管理員受到頒發。
這完全出於安全性的考慮,因為證書申請者
的憑證還沒有被獨立CA驗證;
在簡單介紹完CA的分類后,我們現在AD
(活動目錄)環境下安裝證書服務;
具體步驟如下:
1.域控制器上,在管理工具—服務器管理器—角色—打開添加角色向導—添加角色;AD安裝服務;
2.點擊—下一步,在選擇角色服務中選擇證書頒發機構和證書頒發機構Web注冊;
3.在指定安裝類型中選擇”企業”,單擊’下一步’;
4.在“CA類型中選擇根CA”,單擊下一步;
5.在設置私鑰窗口中選擇“新建私鑰”,單擊下一步;
6.在配置加密窗口,使用默認的加密服務程序、哈希算法和密鑰長度,單擊“下一步”;
7.選擇按指導項單擊“下一步”到確認—安裝;
8.安裝完成后,從管理工具中可以看到“Certification Authority”打開證書頒發機構管理器,管理證書的頒發;
9.為web站點應用證書前必須生成證書,用以標識證書應用於哪個站點,打開Insternet信息服務管理器中—打開—服務器證書;
10.打開后,首先先創建證書申請;在分辨名稱屬性窗口中通用名稱可以是IP或者域名;其他設置根據需求填寫;
11.在文件名窗口,為該證書申請指定一個文件名和保存路徑單擊完成創建證書申請;
12.打開證書申請文件C:\Users\Administrator\Desktop\qiangmeng.txt,可見證書申請文件時Base64編碼,復制全部編碼,提示:不能隨意改動:
13.在申請到文件編碼后,現在應該提交所申請的證書,在瀏覽器中輸入:http://192.168.1.1/certsrv,單擊申請證書;
14.點擊—申請證書進去后,選擇高級證書申請;
15.在“提交一個證書申請或續訂申請”頁面,將復制的證書內容粘貼到,‘保存的申請’區域中,證書模板選擇“web服務器”;
16.進入后,選擇使用base64編碼的文件提交一個申請;下載證書;為證書選擇存放路徑;
17.下載完成后,打開insternet信息服務管理—服務器證書—完成申請;
18.將申請的證書導入服務器;
19.完成后,在Insternet信息服務管理上新添加站點,在綁定類型中選擇https;SSL證書選擇申請的證書;
20.在SSL設置上要求應用SSL;選擇此項后用戶都只能以https方式訪問連接站點;
21.在設置完成后,可以通過在用戶計算機上HTTPS協議訪問網站;測試使用域名進行訪問;
注:證書只有在指定的期限內才有效,
每個證書都包含起始日期和有效終止日
期。一旦過了證書的有效期,到期證書
的使用者就必須重新申請一個新的證書
補充:
1.安裝證書服務器,windows2008 在AD證書服務處添加獨立根
2.使用IP為通用名(通用名與瀏覽器中地址欄輸入的域名一致)
3.在IIS中申請證書,然后將文本中的內容黏貼到,由http://localhost/certsrv中新建的證書中
4.在IIS默認網站中綁定443端口且證書(SSL)選擇你生成的那個
5.http://localhost/certsrv中下載證書到客戶端,然后安裝到受信任的根證書發布者(IE是檢測server的證書是否是在根發布處的,以去人其是否合法)