windows2003服務(wù)器PKI證書服務(wù)配置詳解

1、實驗六：PKI (證書服務(wù))實驗實驗?zāi)康模?1）安裝CA服務(wù)； 2）使用WEB方式申請證書和安裝證書； 3）證書查看及吊銷；實驗拓撲圖：交換機客戶機3證書服務(wù)器任務(wù)一：安裝CA服務(wù)器 1 2.打開windows組件向?qū)?在組件下，找到并單擊應(yīng)用程序服務(wù)器.單擊詳細信息.在應(yīng)用程序服務(wù)器的子組件中,單擊Internet信息服務(wù)（IIS）,然后點“確定”.最后通過下一步,下一步“完成”即可.(如圖)（支持web注冊請先安裝IIS服務(wù),然后再裝證書服務(wù)?。?5421 3. 打開windows組件向?qū)?在組件下，找到并單擊證書服務(wù).點下一步選“獨立根CA”如果您的計算機是域環(huán)境的成員服務(wù)器或域控制器就

2、可以安裝“企業(yè)根CA”和“企業(yè)從屬CA”（在域中的成員可以通過MMC和WEB方式申請證書）輸入一個公用名稱.最后“下一步”完成即可！打開mmc控制臺添加“證書服務(wù)”如圖CA服務(wù)成功啟用.任務(wù)二：客戶機用web方式申請證書和安裝證書. 1.在客戶機上打開IE瀏覽器,并在地址欄“”選“下載證書,證書鏈或CRL”,再選安裝CA證書安裝CA證書鏈后,客戶機上的登陸用戶就會信任CA服務(wù)器（證書服務(wù)器）. 2向CA服務(wù)器申請web瀏覽器證書，先回證書服務(wù)首頁，如圖選“申請一個證書”選“Web瀏覽器證書”添寫自己個人信息！然后提交如圖 3.用證書服務(wù)器給用戶頒發(fā)證書,我們回到證書服務(wù)器上,在掛起的申請上頒發(fā)

3、證書. 4.給客戶機上的用戶安裝頒發(fā)的web服務(wù)器證書.我們在回到客戶機上打開IE在地址欄輸入“”選“查看掛起的證書申請的狀態(tài)”選“Web瀏覽器證書”接著點安裝證書.信任你安裝的證書清點（Y）如上圖說明您的證書以安裝成功！任務(wù)三：證書查看及吊銷 1在客戶機上打開mmc 控制臺添加“證書-當(dāng)前用戶”在個人證書可以看到安裝的web瀏覽器證書. 2.查看“受信任的根證書頒發(fā)機構(gòu)”下的證書如圖 3在根CA服務(wù)器上打開“mmc”控制臺右擊“頒發(fā)的證書”吊銷如圖附加實驗一：SSL網(wǎng)站的連接實驗?zāi)康模?. 建立ssl網(wǎng)站2. 客戶機用戶配置3. 客戶機對ssl網(wǎng)站的訪問證書服務(wù)器web服務(wù)器DNS服務(wù)器實驗

4、拓撲圖:客戶機任務(wù)一:建立ssl網(wǎng)站1. 我們打開上述已經(jīng)建立好的網(wǎng)站“sina的網(wǎng)站”右鍵點擊web服務(wù)選屬性,點擊目錄安全性選項卡,如圖 2.在目錄安全性選項卡的安全通信處,點擊“服務(wù)器證書”下一步，下一步選“新建證書”下一步下一步下一步,輸入單位名稱和部門名稱下一步,下一步,輸入國家（地區(qū)）,省份下一步,在此注意一定要記住文件名的路徑,等下申請證書時,需要該文件的內(nèi)容.最后完成即可！3.再點擊安全通信處的編輯,選上安全通道和要求客戶端證書,確定即可.4.打開IE瀏覽器在地址欄中輸入“”,點擊“申請一個證書”4.我們選擇“高級證書申請”,接著選“使用 base64 編碼的 CMC 或 PK

5、CS #10 文件提交 一個證書申請，或使用 base64 編碼的 PKCS #7 文件續(xù)訂證書申請。” 5.在保存的申請?zhí)?粘貼從C: certreq.txt文本文件內(nèi)的內(nèi)容,提交即可. 5.在證書服務(wù)器上打開mmc控制臺添加證書頒發(fā)機構(gòu),在掛起的申請?zhí)庮C發(fā)證書.6.在web服務(wù)器端打開IE瀏覽器在地址欄中輸入“http:/192.168. 10.224/certsrv”，選“查看證書申請狀態(tài)”,選“保存的申請證書” 7.選下載證書鏈,再打開mmc控制臺右鍵選“sina的網(wǎng)站”的屬性 8.選服務(wù)證書,安裝證書步驟如下圖選擇安裝的證書查看安裝的證書,確定后ssl的網(wǎng)站建立完成.任務(wù)二: 客戶機用戶配置1.在客戶機上,用戶首先向證書服務(wù)器申請瀏覽器證書.(在以前的PKI實驗中講述