使用Windows Server 2003配置PKI與證書服務

㈠PKI基礎認識

⑴PKI（Public Key Infrastructure，公開密鑰基礎設施）

PKI產生於二十世紀八十年代，它是在公開密鑰理論和技術基礎上發展起來的一種綜合安全平台，能夠為所有網絡應用透明地提供采用加密和數字簽名等密碼服務所必需的密鑰和證書管理，從而達到保證網上傳遞信息的安全、真實、完整和不可抵賴的目的。

⑵目前，PKI技術已趨於成熟，其應用已覆蓋了從安全電子郵件、虛擬專用網絡（VPN）、Web交互安全到電子商務、電子政務、電子事務安全的眾多領域，許多企業和個人已經從PKI技術的使用中獲得了巨大的收益。

 

⑶公開密鑰加密法（Public Key Encryption）

PKI使用“公開密鑰加密法”來將信息加密、解密。如寄件者在加密時使用收件者的公開密鑰將信息加密，而收件者會利用自己的私有密鑰將信息解密

 

⑷用戶除了必須擁有公開密鑰與私有密鑰外，還必須申請證書(certification) 或是數字識別碼，才可以使用公開密鑰與私有密鑰來執行信息加密與身份驗證。而負責發放證書的機構稱為“證書認證機構(CA)”

 

⑸證書中包含擁有證書者的姓名、地址、電子郵件賬號、公開密鑰、證書有效期限、發放證書的CA、CA的數字簽名等信息。

 

㈡CA的架構

⑴微軟的PKI支持結構化的CA，其分為：
①根CA
位於此架構的最上層，可發放用來保護電子郵件安全的證書、提供網站SSL安全傳輸的證書，在很多時候，被用來發放證書給從屬CA

②從屬CA
從屬CA必須先向其父CA取得證書之后，才可以發放證書

 

⑵通過安裝“證書服務”，可以讓Windows Server 2003扮演CA的角色，而且你可以選擇將其設置為：

  ①企業根CA (enterprise root CA)

  ②獨立根CA (standard-alone root CA)

 

㈢安裝證書服務

步驟如下:

1.域環境下CA的搭建

2.SSL站點的搭建

   ⑴生成證書申請

   ⑵提交證書申請，申請證書

   ⑶在根CA上頒發證書

   ⑷在web服務器上安裝證書

   ⑸起用安全通道

3.客戶機用https：//訪問安全的web站點

 

㈣具體步驟演示

⒈域環境下CA的搭建

創建PKI與證書服務器和站點

開始-設置-控制面板-添加或刪除程序

 

添加或刪除組件

 

如下圖所示：

 

選擇證書服務

 

彈出下面的圖片，點擊是

 

選擇獨立根CA

 

接下來如圖所示：

單擊導入,可以使用現有的密鑰對,就不用生成新的密鑰.

密鑰長度,根CA,默認長度為2048位,如果安裝從屬CA,默認密鑰長度為1024位.

如果不選"允許此CSP與桌面交互"系統服務就無法與當前用戶的桌面進行交互.

 

此CA的公用名稱：自己起名，后面可以用空格或_加上CA,示例：benet CA 或 benet_CA

可分辨名稱后綴：DC=所起的名稱，DC=com

輸入CA的公用名稱,安裝后就不能更改了.可修改默認的有效期限.

 

下一步如圖所示：

共享文件用於存儲CA的相關信息以便用戶查找,只有在安裝獨立的CA但不使用AD時才有用

 

下一步彈窗，點擊是

 

配置組件：

 

點擊完成：

 

可以查看一下證書頒發機構下是否創建成功

步驟：程序-管理工具-證書頒發機構

 

⒉SSL站點的搭建

⑴生成證書申請

右擊默認網站​-屬性

 

目錄安全性-安全通信-服務器證書

 

點擊編輯進入下面的頁面

 

選擇新建證書

 

選擇-現在准備證書請求，但稍后發送

 

接下來如圖所示：

 

如圖所示：

 

如圖所示：

 

 

如圖所示：

 

如圖所示：瀏覽：放到桌面-certreq.txt--保存

 

如圖所示：

 

點擊完成：

 

這是桌面上保存的certreq.txt

 

⑵提交證書申請，申請證書

打開"開始"-所有程序-INTERNET EXPLORER.打開IE

在地址欄中輸入http://192.168.1.1/certsrv/

打開如下圖所示頁面，然后單擊申請一個證書

 

這里選高級證書申請

 

點擊使用Base64編碼那個選項

 

把保存在桌面的certreq.txt文本中的編碼復制粘貼到保存的申請框中，然后點擊提交

 

顯示證書掛起，申請的ID為2，這樣便提交了一個證書申請

 

⑶頒發證書

然后在根CA上頒發證書

程序-管理工具-證書頒發機構

 

點擊掛起的申請

 

右擊所有任務-頒發

 

可以在頒發的證書中查看，是否頒發

 

下面來看獲取並安裝證書

這里在從屬CA上,同樣打開申請頁面,點查看掛起的證書,便可以看到保存的申請證書.點保存

 

單擊下載證書鏈,證書鏈中包含了當前證書和當前證書上級所有的CA證書,包括根CA

選擇Base64編碼

 

⑷在web服務器上安裝證書

右擊網站-屬性-目錄安全性-服務器證書

 

選擇處理掛起的請求並安裝證書

 

輸入包含證書頒發機構響應的文件的路徑和名稱-瀏覽：桌面，點擊certnew.cer-打開

 

下一步如圖所示：

 

下一步如圖所示：

 

點擊完成

 

查看證書

 

證書詳情：

 

⑸起用安全通道

點擊安全通信的編輯按鈕

 

安全通信-把要求安全通道（SSL）打√-確定-完成

 

⒊客戶機用https：//訪問安全的web站點

 

如圖所示：

 

如圖所示：

 

使用HTTPS協議訪問網站