证书服务应用
环境:一台域控制器server 2008,一台客户端
目的:加密数据
步骤:
1. 在域控制器上的“管理工具”中打开“服务器管理器”,选择“角色”,点击“添加角色”。
2. 在“选择服务器角色”窗口中,选择“Active Directory证书服务”,然后点击“下一步”。如图所示:
3. 在“证书服务简介”窗口中,直接点击“下一步”。
4. 在“选择角色服务”窗口中,选择“证书颁发机构”和“证书颁发机构Web注册”,在弹出的对话窗口中,点击“添加必须的角色服务”,然后点击“下一步”。如图所示:
5. 在“指定安装类型”窗口中,选择“企业”,然后点击“下一步”。如图所示:
注:企业CA的主要特点:
企业CA需要AD服务,即计算机在活动目录中才可以使用。
当安装企业根CA时,对于域中的所有用户和计算机,都会被自动添加到受信任的 根证书颁发机构的证书存储区中。
必须是域管理员,或是对AD具有写权限的管理员,才能安装企业根CA。
独立CA的主要特点:
独立CA不需要使用AD目录服务。独立CA可以在涉及Extranet和Internet时使用。
向独立CA提交证书申请时,证书申请者必须在证书申请中明确提供所有关于自己 的标识信息以及所需的证书类型(向企业CA提交证书申请时无需提供这些信息,因为企业用户的信息已经在AD中。)
默认情况下,发送到独立CA的所有证书申请都被设置为挂起,直到独立CA的管理员验证申请者的身份并批准申请。这完全是出于安全性的考虑,因为证书申请者的凭证还没有被独立CA验证。
6. 在“指定CA类型”窗口中,选择“根CA”,然后点击“下一步”。如图所示:
7. 在“设置私钥”窗口中,选择“新建私钥”,然后点击“下一步”。如图所示:
8. 在“为CA配置加密”窗口中,使用默认设置,然后点击“下一步”。如图所示:
9. 在“配置CA名称”窗口中,使用默认配置,然后点击“下一步”。如图所示:
10. 在“设置有限期”窗口中,使用默认设置,然后点击“下一步”。如图所示:
注:证书只有在指定的期限内有效,每个证书都包含“有效起始日期”和“有效终止日期”,这两个值设置了有效期的期限。一旦过了证书的有效期,到期证书的使用者就必须申请一个新的证书。
11. 在“配置证书数据库”窗口中,可以修改数据库存放的位置和数据库日志存放的位置,也可以使用默认配置,然后点击“下一步”。如图所示:
12. 在“Web服务器简介”界面,直接点击“下一步”。
13. 在“选择角色服务”窗口中,使用默认为Web服务器添加的角色服务,然后点击“下一步”。
14. 点击“安装”,完成角色添加后,点击“关闭”。
15. 安装完成后可以从“管理工具”中选择“CA(Certification Authority)”,打开证书颁发机构管理器,管理证书的颁发。如图所示:
16. 在域控制器上的“管理工具”中打开“Internet 信息服务(IIS)管理器”,在左侧的窗口中点击服务器名称,双击中间窗口的“服务器证书”。如图所示:
17. 点击右侧窗口的“创建证书申请”。如图所示:
18. 在“可分辨名称属性”窗口中,输入证书的必须信息,然后点击“下一步”。如图所示:
19. 在“加密舒服提供程序属性”窗口中,使用默认的加密程序和密钥长度,然后点击“下一步”。如图所示:
20. 在“文件名”窗口中,为该证书申请指定一个文件名和保存位置,然后点击“完成”。如图所示:
注:打开证书申请文件“C:\webcer.txt”,可见证书申请文件是Base64编码。如图所示:
21. 复制证书申请文件内的全部内容。使用浏览器“http://192.168.1.1/certsrv”链接到证书服务器的虚拟目录,点击“申请证书”。如图所示:
22. 在“申请一个证书”页面,点击“高级证书申请”。如图所示:
23. 在“高级证书申请”页面,选择第2项,使用Base64编码的证书申请。如图所示:
24. 在“提交一个证书申请或续订申请”页面,将复制的证书申请内容粘贴到“保存的申请:”文本框中,在“证书模板”下拉列表框中选择“Web服务器”,点击“提交”。如图所示:
25. 在域环境下申请的证书,提交申请后会直接进入“证书已颁发”页面,选择“Base64编码”,点击“下载证书”,将证书保存到本地,如图所示:
注:如果使用的是企业CA,在提交申请后CA会自动颁发证书。如果是独立CA,则还需要人工操作颁发证书。打开独立CA,在左侧窗口选择“挂起的申请”,在右侧窗口右键申请,在弹出的菜单中,选择“所有人物”→“颁发”,为该申请颁发证书。证书颁发完成后,在“证书已颁发”页面,选择“Base64编码”,下载证书。如上图所示:
26. 在如下图所示窗口中,点击右侧窗口中的“完成证书申请”。
27. 在“指定证书颁发机构响应”窗口中,输入CA响应文件(已下载的数字证书文件)的路径和文件名,并给该文件起个好记的名字,然后点击“下一步”。如图所示:
28. 展开“Internet信息服务(IIS)管理器”左侧窗口的节点树,选择需要使用该证书的站点,单机右侧窗口中的“绑定”。
29. 在“网站绑定”窗口中,点击“添加”。
30. 在“添加网站绑定”窗口中,选择类型为“https”,选择SSL证书为先前安装的证书“Web”,使用默认“443”端口,然后点击“确定”。如图所示:
31. 当为站点设置https类型的绑定后,还需要修改该站点的SSL设置。展开“Internet信息服务(IIS)管理器”,左侧窗口中的节点树,选择需要配置SSL的站点,双击中间功能窗口的“SSL设置”。如图所示:
32. 如果需要强制用户都使用SSL方式链接站点,则选择“要求SSL”。选择此项后不管站点是否有https类型的绑定,用户都只能以https方式连接站点。选择“要求SSL”后可以进一步先择“需要128位SSL”,使用128 为密钥加密SSL通信。
在“SSL设置”页面还可以设置是否需要客户端证书。
忽略:无论用户是否拥有证书,都将被授予访问权限。客户端不需要申请和安装客户端证书。
接受:用户可以使用客户端证书访问资源,但证书并不是必须的。客户端不需要申请和安装客户端证书。
必须:服务器在将用户与资源连接之前要验证客户端证书。客户端必须申请和安装客户端证书,例如“用户”证书。
如图所示:
33. 当安装证书并为站点添加了https类型的绑定后,用户就可以使用https方式(https://192.168.1.1)和站点建立连接。当用户以https访问时,系统会弹出以下如图所示的安全警报窗口。
住:如果没有在“SSL设置”页面选择“要求SSL”,并且站点还有https类型的绑定,那么用户还可以使用https方式访问该站点。如果选择了“要求SSL”,当用户使用https方式访问时将会弹出错误提示。
当证书有Internet上的公信CA颁发或同一个域内的企业CA颁发时,不会出现如上图所示的安全警报。另外,由于浏览器版本的不同,安全警报的显示方式可能会有所不同。