在Web服务器上配置SSL来验证CA服务器的搭建过程

                            
一.搭建CA前的实验环境

winsrv2003A  AD+DNS+DHCP IP:192.10.10.253  DNS:gary.com                       VM1

 

winsrv2003B  域成员Web服务器   IP:192.10.10.2   主机头为 www.gary.com  VM1       
                    

 XP-client    自动获得TCP/IP相关信息;  用于客户端测试 Web 服务器         VM1

 

说明:在winsrv2003A已经搭建好DHCP/DNS服务,且作为主域控器;通过在客户端XP-client输入 http://www.gary.com能访问到Web服务器则实验前准备环境搭建成功！

 

二.让winsrv2003A作为CA服务器
i.在winsrv2003A上安装IIS组件的同时还得安装asp.net,目的是提供CA在线申请平台.
ii.在安装好IIS等组件后(步骤2)安装证书服务 -->勾选 企业根(CA)-->公钥/私钥对  为默认-->下一步-->此CA的公用名称输入GARY(此项填写没有要求)-->一路点下一步-->到安装完成!

 

三.向CA申请证书
i.在Web服务器上创建证书申请文件(由于附图太多，请参照附件步骤1.1-1.9).

ii.证书申请.通过在浏览器中输入 http://192.10.10.253/certsrv 向CA服务器申请证书;弹出输入用户名密码要求对话框(输入administrator)-->将该网站添加到区域中,就打开了申请证书WEB页面-->点击申请证书-->高级证书申请-->使用base64编码....-->(由于附图太多，请参照附件步骤2.1-2.7).

 

iii.在Web服务器上安装证书(由于附图太多，请参照附件步骤3.1-3.5).

 

此步骤遇到问题：在安装完之后再查看证书时，出现“无法将这个证书验证到一个信任的证书颁发机构”吓点了很久，最后按图4.1-4.4步骤成功安装了证书。不过总觉得存在问题，为什么直接安装会出现不受信任关系呢？难道是AD与Web不在同一台服务器上的原因吗？和证书文件一同生成的证书链文件有何作用？

 

四.客户端测试

i.通过在Web服务器上的IIS控制台gary站点-->属性  -->目录安全性-->编辑-->安全通信窗口可设置"要求安全通道"客户端证书选项包括:忽略客户端证书；接受客户端证书；要求客户端证书等(由于附图太多，请参照附件步骤5.1-5.2)

 

ii.若在Web服务器上设置的是“要求客户端证书”则还得在winsrv2003A主域控上创建用户,此处创建aa用来验证申请用户证书.

在客户端的浏览器上输入http://192.10.10.253/certsrv 通过输入aa及密码打开申请证书页面.点击-->申请一个证书 -->用户证书 -->提交.接着会弹出一些对话框都点确认是,最后安装证书.就这样客户端aa就申请了一个证书.

也就是说客户端在输入https://www.gary.com就可以浏览了！

 

最后一个问题：如何在DNS中设置CA平台的主机头，也就不用输入像 http://192.10.10.253/certsrv 这样难记的地址了，怎么设置呢？

 

求助中！