1、三、操作步骤(1)安装证书服务CA:(注意证书服务必须是建立在安装IIS服务的基础上的。)两个服务一起安装,如下图:选择安装IIS(虚拟机内已经安装过了),然后选择安装证书服务:注意:在这里是工作组模式,所以不出现上面两项(域环境会出现上面两项),如下图:输入CA识别信息,此处可随意取名。保证证书数据库及日志信息的位置默认值:开始安装:在开始管理工具中单击证书颁发机构,打开证书颁发机构:使用IIS管理器,观察默认网站下有certsrv等虚拟目录。在虚拟目录certsrv属性-目录安全性-身份验证和访问控制-启用匿名访问,以便允许Internet来宾账户通过访问此站点提交证书申请。(2)在Web
2、服务器上配置WWW服务(真实机里已有IIS),如下图所示:安装完成后,打开并设置来宾用户的访问权限:配置网站,可通过客户端IE浏览网站。(3)接下来为web网站申请证书,打开web服务器,属性目录安全性,选择服务器证书:选择新建证书:接着选择下一步输入名称:输入站点名称,注意这里不要输入错误了。输入地理信息,单击下一步:按提示完成certreq.txt证书申请文件。(4)web方式提交证书申请:打开IE浏览器, http:/192.168.10.11/certsrv(这是运行证书服务的计算机的IP地址)选择申请一个证书,下一步:选择高级证书申请:在这里选择的是用base64编码:复制certr
3、eq.txt文件内容到下拉列表框,提交。出现如下图所示,证书挂起:(注意如果是在域环境,则直接就会颁发,在这里就需要手工颁发了).(5)手工颁发证书:打开证书颁发机构,可以查看到挂起的证书,右击所有任务颁发证书:可以看到已经颁发了的证书:(6)下载证书:/192.168.10.11/certsrv(这是运行证书服务的计算机的IP地址),选择查看挂起的证书申请的状况:选择保存的申请证书,选择下载证书:下载证书到本地:(7)为WEB服务器安装证书,打开web服务器,属性-选择目录安全服务器证书:选择处理挂起的请求并安装证书:浏览到刚才下载到本地的证书:保持默认端口443:查看证书:发现证书有一个红
4、叉(分析原因:没有添加CA的证书到受信任的根证书颁发机构,接着添加!),注:如果是在域环境下,则不会出现红叉。(8)下载ca证书到本地添加到信任的证书机构:在这里选择下载一个ca证书,证书链或CRL接下来下载ca证书到本地在运行里输入 mmc打开管理控制台:选择添加/删除管理单元选择添加选择证书:选择计算机帐户:保持默认,完成展开管理控制台,选择证书,右击出现所有任务选择导入:如下图:导入刚下载ca的证书,如下图:查看刚才打红叉的证书,现在正常了,如下图:(9)在web服务器上启用安全通道,如图选择编辑:勾选“要求安全通道(SSL)”。若此时客户端证书选择“忽略客户端证书”,此时web客户机可
5、以通过Https:/web服务器IP地址访问网站注意以下可选做:若勾选了要求客户端证书,则需要给客户端申请证书。客户端访问:无法访问原因:客户端没有申请证书:客户端申请证书:选择申请证书,通过浏览器:填写相关内容,提交给客户机颁发证书:客户机下载证书并安装:证书安装完成:客户机访问:总结:1. ca建好之后,时间和计算机名都不可修改。2. 给web服务器申请证书时,必须下载ca的证书并且导入到受信任的根证书颁发机构。这样web服务器才能信任此CA颁发的证书。3. 在给web服务器应用证书时注意一定要勾选“要求安全通道(SSL)”,再勾选“要求客户端证书”。4. 在工作组模式下证书颁发需要手工颁发,但在加入域环境下证书是自动颁发的(如果ca是域控,则颁发证书时一定要有域管理员权限的用户才可以申请证书)。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1