Windows Server 2008 CA认证实验
首先做个广告,一般搞技术的人追求的是技术,根本不在乎技能证书和学历证书,但在现实工作中却需要,我这为技术男提供理真实网上可查的学历证书,详细咨询Q 83992088
Windows Server 2008支持两种证书服务器,分别是应用于企业内部的企业证书服务器和用于企业或Internet的独立证书服务器。其中,企业证书服务器应用于域环境,需要AD的支持,用户可以直接向证书服务器申请并安装证书;而独立根证书服务器应用于非域环境。
Win2008只有企业版和数据中心版支持web注册功能,标准版和web版不支持。
本实验用3台win2008做一个独立根CA实验。如果电脑配置差,Client可以用xp代替。
实验拓扑:
准备工作:
这里域名为abc.com,IP地址如上图所示。此实验在VM7中进行,三台电脑网卡全部桥接;当然也可以全部建在一个分组内做实验。
实验心得:我做实验的电脑内存是3G,系统自动给win2008分配的内存是1G,物理机我用的是XP,导致很卡,所以要手动给虚拟机分配内存900M,这样3台win2008消耗2.7G内存,留下300多M给XP。
下面对客户机IE浏览器做设置:打开Internet选项,调整安全级别:
1 将对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本(不安全); 必须启用
2允许运行以前未使用的ActiveX控件而不提示; 必须启用
3下载未签名的ActiveX控件(不安全); 启用
4下载已签名的ActiveX控件(不安全); 启用
5 使用仿冒网站筛选; 禁用
6没有证书或只有一个证书时不提示进行客户端证书选择;如果不想有证书选择提示窗口,可以把它启用。
实验心得:平时做实验,我们可以把安全性降到最低,以免干扰实验。前2个必须启用,否则在申请证书时会跳出如下对话框:
下面安装配置CA服务器:
首先打开“服务器管理器”→添加角色,选中“Acitve Directory证书服务”。如下图所示
单击“下一步”,选中“证书颁发机构”和“证书颁发机构web注册”。后者主要是通过web界面来进行证书的相关操作。如下图所示。
单击“下一步”,如下图所示,由于不在AD中,我们选“独立”。
单击“下一步”,如下图所示,由于是企业中第一个证书服务器,所以我们选“根CA”。
单击“下一步”,如下图所示,选择“新建私钥”;
单击“下一步”,如下图所示,这里就用默认的。
单击“下一步”,如下图所示,这边修改CA的公用名称为CA01,该名称无实际意义,随便取。
上图中的可分辨后缀名可不填写。下面的操作全部默认,过程这里省略了。
安装IIS服务过程略过,但注意一定要选择"Asp.Net"组件!
下面配置web服务器
首先安装好IIS和DNS组件,这里省略。
打开IIS,这里我们的加密网站就直接使用原来的默认网站了,当然新建网站也一样做。首先修改C:\inetpub\wwwroot中的首页,把原来的文件删除,新建一个index.htm,内容任意。并且测试下这个网页能被访问到,如下图所示:
注意:新建网页的时候,我们一般是用记事本,然后另存为index.htm,这里注意和windows 2003不一样,需要打开后缀名。否则另存为后的文件是index.htm.txt。在这里把DNS也配好,添加主机记录,客户机的的DNS地址也要设置好,测试通过域名能访问该网站。
IIS服务器此时还不信任颁发证书的CA服务器。解决办法是将CA服务器添加到IIS服务器计算机"受信任的根证书颁发机构",
在web服务器上打开http://1.1.1.1/certsrv/
选择“下载CA证书、证书链或CRL”。为了方便,下载保存到桌面上,然后双击安装。安装过程中把证书导入到“受信任的根证书颁发机构”中,如下图:(这里最好勾选“显示物理存储区”,导入到local computer)
接下来在网站中配置证书,打开IIS,选中“计算机名字”,在中间选中“服务器证书”如下图所示,
在右边选中“创建证书申请”,如下图所示:
输入证书请求信息,通用名称请输入完整的域名(包含主机名),企业名称可以用中文,国家代码一般用CN(请按照ISO 3166-1 A2):我们的证书是用于web服务的,所以这里一定要填网站的访问域名,比如www.abc.com,注意这里如果填abc.com,用www.abc.com就无法访问,会出现证书不是颁发给该网站之类的提示。
选择加密服务程序和密钥长度,加密服务程序选择缺省的Microsoft RSA Schannel Cryptographic Provider,加密长度一般可以为1024位,如果申请EV证书至少2048位。
单击“下一步”,出现保存证书申请文件对话框,输入任意文件名,保存到桌面,用记事本打开,如下图:
接下来我们来完成证书申请,
在第二台win2008客户机上打开浏览器,输入:http://1.1.1.1/certsrv;如下图:这里选申请证书。
这里选“高级证书申请”
这里选“使用base64……”
此图中的编码从之前的abc中用记事本打开复制过来,注意包含-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----。
接下来去CA服务器上颁发证书。在“管理工具”中打开“Certification Authority”,进入“挂起的证书”中颁发,如下图所示:
打开http://1.1.1.1/certsrv,选“查看挂起的证书申请的状态”,如下图所示:
![clip_image040[1]](http://img1.51cto.com/attachment/201102/12/201995_1297529284m1uI.jpg "clip_image040[1]")
这里下载证书到桌面,保存为“webca“。
接下来在IIS中完成证书申请,如下图:
主要这里不要放一开始申请的导入“受信任的根证书颁发机构”的certnew证书,而是后来申请的certnew2证书。当弄错了,是不会继续的,所以这步一般不会错。
注:证书申请除了通过网页方式申请外,还可以打开MMC,添加证书模块来做。
接下来对网站进行设置,配置HTTPS执行双向认证
默认情况下,HTTPS单向认证的模式工作,即客户端通过网站证书来验证网站的身份,但网站并不验证客户端的身份,如果需要通过证书验证客户端身份,则可以要求试图访问网站的客户端必须提供证书才能进行访问,执行双向认证时,网站将只接受HTTPS访问。在IIS右侧打开“网站绑定“,如下图:
在上图中点击右边的“添加“后,如下图:这里SSL证书选择abc。
在IIS中打开SSL设置,如下图:如图设置,最后不要忘记右边的“应用“。
“要求SSL”选项,如果没有选中,则用户可以通过HTTPs,也可以通过HTTP来访问,如果“要求SSL”被选中,则用户必须通过HTTPS访问
“客户证书”有3个选项:忽略、接受、必需。如果“要求SSL”选项没有选中,则不能选择客户证书“必需”项。如果选择“忽略”,则服务器不会去检查是否有客户证书,即使客户端有客户证书,也不会被服务器接收。如果选择“接受”,如果客户有证书,会自动跳出,让客户选择如下图,如果没有,则正常转入原来的页面。建议客户不要选中“要求SSL”,如果需要使用客户端证书,也可以选择“接受”客户证书。如果有些页面要求客户必须通过HTTPS访问,可以使用代码自动跳转的方式。
当我们把设置改成必须通过SSL才能访问网站时,经常发现原来不加密的还是能访问,主要是网页缓存的问题,在Internet选项中清空缓存即可,最好再重启IIS,重新打开IE。
配置客户端正常访问SSL网站。
IIS服务器上配置好安全访问后,客户端要能正确访问该网站,此时客户端也必须向CA服务器申请证书!具体步骤如下:
1: 配置客户端信任颁发证书的CA服务器:访问独立证书颁发机构的证书申请站点,选择“下载一个 CA 证书、证书链或CRL”。将获得的CA证书导入到客户端计算机的“受信任的根证书颁发机构”容器中,以使得客户端计算机信任您的独立证书颁发机构。
2:在客户端上,为需要访问此IIS站点的用户申请证书,这里千万不要点击“WEB浏览器证书”,否则会后面会跳出一个没有证书的对话框(XP下可以,2008下不行),如下图所示,而是应该点“高级证书申请”。
3:然后点击“创建并向此 CA 提交一个申请”。如下图,创建一个“客户端身份验证证书”。
4.在证书颁发机构颁发该证书,再到客户机上获得此证书并安装。
实验总结和注意点:
1. 可在运行中输入:certmgr.msc 可直接打开证书管理器来管理证书。
2. 实验过程中不要修改系统时间。否则出现下图:
3. 在工作组模式下证书颁发需要手工颁发,但在加入域环境下证书是自动颁发的(如果CA是域控,则颁发证书时一定要有域管理员权限的用户才可以申请证书)。
4. 实验中当客户机是windows 2003时访问https://IP没问题,但是一旦使用2008作为客户机做测试就会出现证书错误,是因为2008中严格规定证书是颁发给网站域名的,必须配置域名,用域名访问网站。
5. 实验中用以前的老虚拟机配置IIS时,发现地址无法绑定,如图,是因为在网络设置中一块网络配置了多个地址。
6.关闭IE的增强的安全配置,可以在“服务器管理里”→“配置IE ESC”,管理员和用户都禁用。
.7.有学生做该实验的时候虚拟机都是克隆的,计算机名都一样,会导致实验失败,如下图:
