安装CA证书服务的过程

打开一台server 2008服务器以及一台普通客户机win 7虚拟机。

下面是server 2008上面的IP地址和DNS地址的配置。

下面这是win 7上面的IP配置一定要和server 2008在同一个网段，如果你也是虚拟机要绑定同一个物理网卡。

在win 7虚拟机上面进行ping命令测试。结果如下：互联互通是做实验的最基本步骤。

在server 2008虚拟机上面打开服务器管理器进行添加角色。

这种服务一般都是为企业准备的所以最好先安装AD域。

下面是使用命令建立AD域的过程。

因为是第一个域所以要选择“在新林中新建域”。

下面开始输入一个域名。

这里是选择域的版本信息。

在这里选择“是”就行了。

下面是设置AD域的一些相关文件存放位置（最好不要放在C盘，我是做实验所以就没动这些选项）。

下面这个密码注意要符合密码安全策略复杂性。

下面直接安装完成就行了（没图的地方都是默认配置）。

当域添加完成重启之后，以管理员身份进行登陆。下面这个意思是用benet域的administrator账户进行登录。

下面是打开计算机的属性进行查看。

因为域要有DNS来解析所以这里自动安装了DNS服务。下面添加AD证书服务角色。

现在开始添加AD证书服务。

下一步之后选择在web页面注册，然后添加必须的角色服务。

现在选择企业，如果没有提前安装AD域，“企业”这里是灰***标，是点击不了的。

企业CA的特点。

当安装企业根CA时，对于域中的所有用户和计算机，都会被自动添加到受信任的根证书颁发机构的证书存储区中。

必须是管理员或是对AD具有写权限的管理员，才能安装企业根CA。

独立CA主要有以下特征。

不需要使用AD目录服务。可以在涉及extranet和Internet时使用。

下面选择根域，然后继续下一步。

根CA是指在组织的PKI中最受信任的CA。虽然根CA也能向最终用户颁发证书，但是在大多数情况下，根CA只是用于向其他CA（称为从属CA）颁发证书。

子级CA是由组织中的另一CA（一般是根CA）颁发证书的CA。

选择新建私钥，然后下一步。

在这里选择默认的加密类型以及加密方式。字符长度2048就行了。

加密服务提供程序（CSP）：是执行身份验证、编码和加密服务的程序。

哈希算法：通过此选项，可以选择高级哈希算法。

密钥长度：通过此选项，可以指定在所选算法中使用的密钥所需的最小长度。

下面是配置CA的名称。我这里就使用了默认配置！

下面设置CA证书的有效期，默认是5年。

下面是配置数据存放位置，还是那句话最好不要放在C盘，第一是不安全，第二是容易损坏。

下面还有安装web服务器，搭建web的详细过程在：http://zhang2015.blog.51cto.com/这里就不在啰嗦了。最后点击安装就行了。

安装完之后打开CA证书的控制台。

在这里可以看到关于证书服务的一切信息，目前是空的。

下面打开web服务的IIS管理器。

右击计算机名称之后，双击打开服务器证书服务。

点击右边的创建证书申请，输入申请者的一些相关信息。

为web站点应用证书前必须先生成证书申请，用于标识证书将用于哪个web站点。

使用2048位的密钥长度，默认的加密程序就行了。

选择证书存放的位置，以及类型。

打开刚才证书存放的位置，双击可以看到证书申请的是base64编码。

下面是提交证书申请。这里首先要打开IE浏览器进行设置。因为我的证书不是经过正式机构认证的所以要关闭安全设置。

如下所示关闭IE浏览的增强配置。

此时使用IE浏览器访问web主站点下证书服务的虚拟目录。需要输入管理员账户以及计算机密码。

点击申请证书。

点击生成一个高级证书申请。

使用刚才创建完成的base64编码的证书申请。

复制刚才创建的base64编码内容到保存的申请。

粘贴完整之后在证书模板里下拉选择web服务器。然后提交。

转到新窗口点击下载证书，选择保存。另存一个地方。

点击浏览选择保存的位置，为了方便查看我这里选择的是桌面。

可以看到下面生成好了的证书。（如果是独立CA的话需要在CA控制台中右击证书选择颁发按钮）。

下面是证书的安装与使用。

再次回到web服务器的控制台，点击右边的完成证书的申请。

下面配置安全通道SSL，也就是在指定的站点启用https（安全超文本传输协议）。还是在IIS管理器的位置，点击网站站点，选择右边的绑定属性，在新窗口中点击添加，选择https安全超文本传输协议的类型，在SSL证书中选择之前安装的证书。

如图所说：当站点设置为https之后，SSL也需要配置，双击打开。

下图配置的释义是：

要求SSL：强制用户都使用SSL方式连接站点。

需要128位SSL：使用128位密钥加密SSL通道。

忽略：无论用户是否拥有证书，都将被授予访问权限。

接受：用户可以使用客户端证书访问资源，但证书并不是必须的。

必须：服务器在将用户与资源连接之前要验证客户端证书。

现在打开CA服务器的控制台在颁发的证书里面应该是有两个已经颁发的证书了。

下面可以win 7客户机使用https方式和站点建立连接。此时系统会弹出两个警报窗口。因为我的证书不是经过Internet上认证的。

下面就可以访问网站了。上面会显示证书错误（伪造的）。

证书的导入和导出，防止安装了证书的网站需要重新建立。打开IIS管理器点击计算机名选择服务器证书，点击想要导出的证书，最后点击导出按钮。

点击“导出至”右边的按钮，选择导出证书存放的位置。

输入导入导出的密码，最后点击确定。

可以看到我桌面上面现在由多了一个证书文件。

现在我把原来的证书删除掉，然后再点击右边的导入按钮。注意密码是刚才导出时的密码。

可以看到我现在又把zhangsan这个证书导入了回来。

OK实验完成！欢迎讨论！谢谢大家！

担心大家因为太长看着不方便可以下载附件放在电脑里面以后想怎么看都行：http://down.51cto.com/data/2036742

本文出自 “朕的天下” 博客，请务必保留此出处http://zhang2015.blog.51cto.com/9735109/162977