windows2003服務(wù)器PKI證書(shū)服務(wù)配置詳解

1、實(shí)驗(yàn)六：PKI (證書(shū)服務(wù))實(shí)驗(yàn)實(shí)驗(yàn)?zāi)康模?1）安裝CA服務(wù)； 2）使用WEB方式申請(qǐng)證書(shū)和安裝證書(shū)； 3）證書(shū)查看及吊銷(xiāo)；實(shí)驗(yàn)拓?fù)鋱D：交換機(jī)客戶(hù)機(jī)3證書(shū)服務(wù)器任務(wù)一：安裝CA服務(wù)器 1 2.打開(kāi)windows組件向?qū)?在組件下，找到并單擊應(yīng)用程序服務(wù)器.單擊詳細(xì)信息.在應(yīng)用程序服務(wù)器的子組件中,單擊Internet信息服務(wù)（IIS）,然后點(diǎn)“確定”.最后通過(guò)下一步,下一步“完成”即可.(如圖)（支持web注冊(cè)請(qǐng)先安裝IIS服務(wù),然后再裝證書(shū)服務(wù)！）35421 3. 打開(kāi)windows組件向?qū)?在組件下，找到并單擊證書(shū)服務(wù).點(diǎn)下一步選“獨(dú)立根CA”如果您的計(jì)算機(jī)是域環(huán)境的成員服務(wù)器或域控制器就

2、可以安裝“企業(yè)根CA”和“企業(yè)從屬CA”（在域中的成員可以通過(guò)MMC和WEB方式申請(qǐng)證書(shū)）輸入一個(gè)公用名稱(chēng).最后“下一步”完成即可！打開(kāi)mmc控制臺(tái)添加“證書(shū)服務(wù)”如圖CA服務(wù)成功啟用.任務(wù)二：客戶(hù)機(jī)用web方式申請(qǐng)證書(shū)和安裝證書(shū). 1.在客戶(hù)機(jī)上打開(kāi)IE瀏覽器,并在地址欄“”選“下載證書(shū),證書(shū)鏈或CRL”,再選安裝CA證書(shū)安裝CA證書(shū)鏈后,客戶(hù)機(jī)上的登陸用戶(hù)就會(huì)信任CA服務(wù)器（證書(shū)服務(wù)器）. 2向CA服務(wù)器申請(qǐng)web瀏覽器證書(shū)，先回證書(shū)服務(wù)首頁(yè)，如圖選“申請(qǐng)一個(gè)證書(shū)”選“Web瀏覽器證書(shū)”添寫(xiě)自己個(gè)人信息！然后提交如圖 3.用證書(shū)服務(wù)器給用戶(hù)頒發(fā)證書(shū),我們回到證書(shū)服務(wù)器上,在掛起的申請(qǐng)上頒發(fā)

3、證書(shū). 4.給客戶(hù)機(jī)上的用戶(hù)安裝頒發(fā)的web服務(wù)器證書(shū).我們?cè)诨氐娇蛻?hù)機(jī)上打開(kāi)IE在地址欄輸入“”選“查看掛起的證書(shū)申請(qǐng)的狀態(tài)”選“Web瀏覽器證書(shū)”接著點(diǎn)安裝證書(shū).信任你安裝的證書(shū)清點(diǎn)（Y）如上圖說(shuō)明您的證書(shū)以安裝成功！任務(wù)三：證書(shū)查看及吊銷(xiāo) 1在客戶(hù)機(jī)上打開(kāi)mmc 控制臺(tái)添加“證書(shū)-當(dāng)前用戶(hù)”在個(gè)人證書(shū)可以看到安裝的web瀏覽器證書(shū). 2.查看“受信任的根證書(shū)頒發(fā)機(jī)構(gòu)”下的證書(shū)如圖 3在根CA服務(wù)器上打開(kāi)“mmc”控制臺(tái)右擊“頒發(fā)的證書(shū)”吊銷(xiāo)如圖附加實(shí)驗(yàn)一：SSL網(wǎng)站的連接實(shí)驗(yàn)?zāi)康模?. 建立ssl網(wǎng)站2. 客戶(hù)機(jī)用戶(hù)配置3. 客戶(hù)機(jī)對(duì)ssl網(wǎng)站的訪(fǎng)問(wèn)證書(shū)服務(wù)器web服務(wù)器DNS服務(wù)器實(shí)驗(yàn)

4、拓?fù)鋱D:客戶(hù)機(jī)任務(wù)一:建立ssl網(wǎng)站1. 我們打開(kāi)上述已經(jīng)建立好的網(wǎng)站“sina的網(wǎng)站”右鍵點(diǎn)擊web服務(wù)選屬性,點(diǎn)擊目錄安全性選項(xiàng)卡,如圖 2.在目錄安全性選項(xiàng)卡的安全通信處,點(diǎn)擊“服務(wù)器證書(shū)”下一步，下一步選“新建證書(shū)”下一步下一步下一步,輸入單位名稱(chēng)和部門(mén)名稱(chēng)下一步,下一步,輸入國(guó)家（地區(qū)）,省份下一步,在此注意一定要記住文件名的路徑,等下申請(qǐng)證書(shū)時(shí),需要該文件的內(nèi)容.最后完成即可！3.再點(diǎn)擊安全通信處的編輯,選上安全通道和要求客戶(hù)端證書(shū),確定即可.4.打開(kāi)IE瀏覽器在地址欄中輸入“”,點(diǎn)擊“申請(qǐng)一個(gè)證書(shū)”4.我們選擇“高級(jí)證書(shū)申請(qǐng)”,接著選“使用 base64 編碼的 CMC 或 PK

5、CS #10 文件提交 一個(gè)證書(shū)申請(qǐng)，或使用 base64 編碼的 PKCS #7 文件續(xù)訂證書(shū)申請(qǐng)?！?5.在保存的申請(qǐng)?zhí)?粘貼從C: certreq.txt文本文件內(nèi)的內(nèi)容,提交即可. 5.在證書(shū)服務(wù)器上打開(kāi)mmc控制臺(tái)添加證書(shū)頒發(fā)機(jī)構(gòu),在掛起的申請(qǐng)?zhí)庮C發(fā)證書(shū).6.在web服務(wù)器端打開(kāi)IE瀏覽器在地址欄中輸入“http:/192.168. 10.224/certsrv”，選“查看證書(shū)申請(qǐng)狀態(tài)”,選“保存的申請(qǐng)證書(shū)” 7.選下載證書(shū)鏈,再打開(kāi)mmc控制臺(tái)右鍵選“sina的網(wǎng)站”的屬性 8.選服務(wù)證書(shū),安裝證書(shū)步驟如下圖選擇安裝的證書(shū)查看安裝的證書(shū),確定后ssl的網(wǎng)站建立完成.任務(wù)二: 客戶(hù)機(jī)用戶(hù)配置1.在客戶(hù)機(jī)上,用戶(hù)首先向證書(shū)服務(wù)器申請(qǐng)瀏覽器證書(shū).(在以前的PKI實(shí)驗(yàn)中講述