服务器CA数字证书应用图解.docx

1、服务器CA数字证书应用图解服务器CA数字证书应用图解一、什么是数字证书及作用？数字证书确实是互联网通讯中标志证明通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-CA机构，又称为证书授权Certificate Authority中心发行的，人们能够在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公布密钥拥有者信息以及公布密钥的文件。最简单的证书包含一个公布密钥、名称以及证书授权中心的数字签名。常用的密钥包括一个公布的密钥和一个私有的密钥即一组密钥对，当信息使用公钥加密并通过网

2、络传输到目标主机后，目标主机必需使用对应的私钥才能解密使用。使用它要紧是为了提高IT系统在敏锐数据应用领域的安全性，为用户业务提供更高安全保证；注：数字证书，下面均简称证书；二、如何搭建证书服务器？搭建证书服务器步骤如下：1、登陆Windows Server 2020服务器；2、打开【服务器治理器】；图23、点击【添加角色】，之后点击【下一步】；图34、找到【Active Directory证书服务】勾选此选项，之后点击【下一步】；图45、进入证书服务简介界面，点击【下一步】；图56、将证书颁发机构、证书颁发机构WEB注册勾选上，然后点击【下一步】；图67、勾选【独立】选项，点击【下一步】；由

3、于不在域治理中创建，直截了当默认为：独立(图7)8、首次创建，勾选【根CA】，之后点击【下一步】；图89、首次创建勾选【新建私钥】，之后点击【下一步】；图910、默认，连续点击【下一步】；图1011、默认，连续点击【下一步】；图1112、默认，连续点击【下一步】；图1213、默认，连续点击【下一步】；图1314、点击【安装】；图1415、点击【关闭】，证书服务器安装完成；图15Windows Server 2020上使用IIS如何配置WEB服务器上证书应用SSL应用？此应用用于提高WEB站点的安全访问级别；配置后应用站点可实现安全的服务器至客户端的信道访问；此信道将拥有基于SSL证书加密的 安

4、全通道，保证双方通信数据的完整性，使客户端至服务器端的访问更加安全； 注：以证书服务器创建的WEB站点为例如，搭建WEB服务器端SSL证书应用步骤如下：1、打开IIS，WEB服务器，找到【服务器证书】并选中；图12、点击【服务器证书】，找到【创建证书申请】项；图23、单击【创建证书申请】，打开【创建证书申请】后，填写相关文本框，填写中需要注意的是：通用名称必需填写本机IP或域名，其它项那么能够自行填写； 注：下面的192.168.1.203为例如机IP地址，实际IP地址需依照每人主机IP自行填写；填写完后，单击【下一步】；图34、默认，点击【下一步】；图45、选择并填写需要生成文件的储存路径与

5、文件名, 此文件后期将会被使用；储存位置、文件名能够自行设定，之后点击【完成】，此配置完成，子界面会关闭；图56、接下来，点击IE扫瞄器，访问： :/192.168.1.203/certsrv/；注：此处的192.168.1.203为例如机IP地址，实际IP地址需依照每人主机IP自行填写；图6-1现在会显现证书服务页面；此网站假如点击【申请证书】，进入下一界面点击【高级证书申请】，进入下一界面点击【创建并向此CA提交一个申请】，进入下一界面，现在会弹出一个提示窗口：为了完成证书注册，必须将该CA的网站配置为使用 S身份验证；也确实是必须将 网站配置为 S的网站，才能正常访问当前网页及功能；图6

6、-2在进行后继内容前，相关术语名词说明： S全称：Hypertext Transfer Protocol over Secure Socket Layer，是以安全为目标的 通道，简单讲是 的安全版。即 下加入SSL层， S的安全基础是SSL，因此加密的详细内容就需要SSL。 它是一个URI scheme抽象标识符体系，句法类同 :体系。用于安全的 数据传输。 s:URL说明它使用了 ，但 S存在不同于 的默认端口及一个加密/身份验证层在 与TCP之间。那个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏锐的通讯，例如交易支付方面。SSL(Secure

7、 Sockets Layer 安全套接层),及其继任者传输层安全Transport Layer Security，TLS是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。至此，我们需要搭建一个 S网站，即搭建WEB服务器的SSL应用；7、如何搭建 S的网站呢？前期回忆：证书服务已搭建，用于创建SSL的加密服务；使用证书服务器的WEB网站时，提示需要将证书WEB站点配置为 S网站才能正常使用；我们连续以证书服务器的搭建为例如，完成WEB服务器的SSL应用搭建；8、接下来，由于搭建 S需要先申请证书，但现在证书服务网站也需要配置为 S才能正常使用，那么在证书

8、网站还未配置为 S服务前我们如何申请证书？方法如下：方法：打开IE(扫瞄器)，找到工具栏，点击【工具栏】，找到它下面的【Internet选项】；图89、点击【Internet选项】-点击【安全】-点击【可信站点】；图910、点击【可信站点】，并输入之前的证书网站地址： :/192.168.1.203/certsrv，并将其【添加】到信任站点中；添加完后，点击【关闭】，关闭子界面；图1011、接下来，连续在【可信站点】位置点击【自定义级别】，现在会弹出一个【安全设置】子界面，在安全设置界面中拖动右别的滚动条，找到【对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本】选项，将选为【启用】

9、；之后点击所有【确定】操作，直到【Internet选项】子界面关闭为止；图1112、完成上面操作后，先将IE关闭，然后重新打开，输入： :/192.168.1.203/certsrv；页面出来后点击【申请证书】；图1213、点击【高级证书申请】图1314、点击【使用base64编码的CMC或PKCS#10文件提交一个证书申请，或使用Base64编码的PKCS#7文件续订证书申请】 (图1415、将之前储存的密钥文档文件找到并打开，将里面的文本信息复制并粘贴到Base-64编码的证书申请文本框中；确定文本内容无误后，点击【提交】；图15-1图15-216、现在能够看到提交信息，申请差不多提交给证

10、书服务器，关闭当前IE；图1617、打开证书服务器处理用户刚才提交的证书申请；回到Windows【桌面】-点击【开始】-点击【运行】，在运行位置输入：certsrv.msc，然后回车就会打开证书服务功能界面；打开后，找到【挂起的申请】位置，能够看到之前提交的证书申请；图1718、点击鼠标右键会显现【所有任务】，点击【所有任务】-点击【颁发】将挂起的证书申请审批通过，现在挂起的证书会从当前界面消逝，即代表已完成操作；图1819、点击【颁发的证书】，能够看到新老已审批通过的证书；其它操作吊销的证书、失败的申请在此略掉，大伙儿有空能够自己试用；图1920、重新打开IE，输入之前的 :/192.168

11、.1.203/certsrv/；打开页面后，可点击【查看挂起的证书申请的状态】；之后会进入查看挂起的证书申请的状态页面，点击【储存的申请证书】；图2021、进入新页面后，勾选Base 64编码，然后点击【下载证书】,将已申请成功的证书储存到指定位置，后续待用； 图2122、打开IIS服务器，点击【服务器证书】-【完成证书申请】-选择刚储存的证书，然后在好记名称文本框中输入自定义的名称，完后点击【确定】；图2223、上述操作完后，可在服务器证书界面下看到JZT_TEST1”证书；图2324、点击左边的【Default Web Site】菜单，然后找到【绑定】功能，点击【绑定】功能，会弹出【网站绑

12、定】界面，默认会显现一个类型为 ，端口为80的主机服务，然后点击【添加】，会弹出【添加网站绑定】界面，在此界面中选择类型： s、SSL证书：JZT_TEST1”，然后点【确定】；点完确定后，会看到【网站绑定】子界面中有刚配的 S服务，点击【关闭】，子界面消逝； (图24)25、点击左菜单上的【CertSrv】证书服务网站，然后点击【SSL设置】;图2526、进入SSL设置页面，勾选上要求即启用SSL功能，然后点击【应用】，储存设置；图2627、现在一个基于应用的WEB服务器站点已配置完成；让我们用试下SSL的应用；第一，将我们之前为了申请证书而开放的【可信站点】的设置还原；在IE的【可信站点】的【自定义级别】选项中【对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本】选项，由启用改为【禁用】即可；然后关闭IE，再重新打开并输入： s:/192.168.1.203；现在会显现：IIS7字样的页面，假如显现此页面，恭喜你SSL配置已成功！反之那么有问题，从上到下把操作说明和自己的操作过程比对检查看是否正确；有问题别看我，我的例如但是没问题的_，自己耐心再检查下！至此：WEB服务器上配置基于SSL证书应用的安全站点 S站点操作已全部完成；图27图28