实验五 CA的安装和使用

实验环境

Windows 7 ip：192.168.30.220（可以不用设置静态ip）
Windows server 2008设置静态ip：192.168.30.229 （注意VMnet8网卡网段）

都设置为NAT网卡，保证在同一网段，能访问到即可

实验步骤

0x01 安装AD域环境

1. 输入命令dcpromo，回车，安装域服务
   
   
2. 点击下一步
   
   
   
3. 命名林根域
   
4. 设置林功能级别
   
5. 选取DNS服务器
   

6. 安装路径保持默认即可
   
7. 此密码是用作还原域时使用，该实验用不到
   
8. 继续下一步
   
   

等待。
完成后立即重启。

查看计算机属性，发现该计算机以属于xupt域

0x02 添加AD证书服务角色

1. 服务器管理器—角色—添加角色
   
   

2. 选择AD证书服务
   
   

3. 选择Web页注册，添加所需角色服务
   
   

4. 只有安装AD域后，这里才可以选择企业CA。前面安装AD域的原因就是在这里选择企业CA

5. 第一个CA证书选择根CA
   
6. 选择新建私钥
   
7. 秘钥字符长度选择2048，哈希算法选择SHA1
   
8. 默认下一步
   
   
   
   
   
9. 点击安装，安装成功
   
   

0x03 申请证书

1. 打开CA证书控制台查看，开始—所有程序—管理工具——证书颁发机构
   
   发现这里的证书服务信息都是空的
   

2. 打开Internet信息服务管理器，开始—所有程序—管理工具——Internet 信息服务（IIS）管理器
   

3. 双击打开服务器证书
   

4. 点击创建证书申请，并填写基本信息
   

5. 默认加密服务提供程序，位长选择2048
   

6. 选择保存路径，并为证书指定文件名
   
   

7. 打开刚保存的证书，可以发现内容是经base64编码后的内容
   

8. 因为我们的证书不是经过正式机构颁发的，并且浏览器开启着安全配置，所以我们不能访问安全加密的https，下面我们需要关闭安全配置
   
   关闭安全配置
   

9. 关闭浏览器安全配置后，使用IE浏览器访问Web站点下证书服务的虚拟目录，这里访问需要输入管理员用户名及密码

10. 点击申请证书

11. 点击高级证书申请

12. 点击使用base64编码的CMC文件提交一个证书申请

13. 将刚才的base64编码复制到证书申请处

15. 选择Web服务器，提交

16. 将申请的证书保存到桌面

0x04 证书的安装和使用

1. 返回Web服务器控制台，点击完成证书申请，选择刚刚申请的证书，并进行重命名
   
   

2. 指定站点启用https（安全超文本传输协议），选择刚刚我们保存到桌面的证书
   
   这里为了实验简单化，这里就不进行SSL配置

3. 打开证书颁发机构，查看颁发的证书，这里就有刚刚给我颁发的证书
   

0x05 win7通过https访问08server

1. https访问,因为证书是我们自己认证的，所以显示证书有问题，但是不影响，继续浏览
   
2. 虽然显示证书错误，但是我们可以通过https正常访问
   

0x06 证书的导入与导出

目的是为了防止安装的证书的网站需要重新建立

1. 证书导出
   
   成功导出
   

2. 删除原有的证书
   

3. 导入证书
   
   
   可以看到成功导入