第一篇：Windows_Server_2008上使用IIS搭建WEB服務(wù)器、CA數(shù)字證書應(yīng)用圖解(全)

Windows Server 2008上使用IIS搭建WEB服務(wù)器、客戶端的數(shù)字證書應(yīng)用

（一）一、什么是數(shù)字證書及作用？

數(shù)字證書就是互聯(lián)網(wǎng)通訊中標(biāo)志（證明）通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗(yàn)證您身份的方式，其作用類似于司機(jī)的駕駛執(zhí)照或日常生活中的身份證。它是由一個(gè)由權(quán)威機(jī)構(gòu)-----CA機(jī)構(gòu)，又稱為證書授權(quán)（Certificate Authority）中心發(fā)行的，人們可以在網(wǎng)上用它來識(shí)別對(duì)方的身份。數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個(gè)公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。常用的密鑰包括一個(gè)公開的密鑰和一個(gè)私有的密鑰即一組密鑰對(duì)，當(dāng)信息使用公鑰加密并通過網(wǎng)絡(luò)傳輸?shù)侥繕?biāo)主機(jī)后，目標(biāo)主機(jī)必需使用對(duì)應(yīng)的私鑰才能解密使用。使用它主要是為了提高IT系統(tǒng)在敏感數(shù)據(jù)應(yīng)用領(lǐng)域的安全性，為用戶業(yè)務(wù)提供更高安全保障； 注：數(shù)字證書，下面均簡稱證書；

二、如何搭建證書服務(wù)器？

搭建證書服務(wù)器步驟如下：

1、登陸Windows Server 2008服務(wù)器；

2、打開【服務(wù)器管理器】；

（圖2）

3、點(diǎn)擊【添加角色】，之后點(diǎn)擊【下一步】；

（圖3）

4、找到【Active Directory證書服務(wù)】勾選此選項(xiàng)，之后點(diǎn)擊【下一步】；

（圖4）

5、進(jìn)入證書服務(wù)簡介界面，點(diǎn)擊【下一步】；

（圖5）

6、將證書頒發(fā)機(jī)構(gòu)、證書頒發(fā)機(jī)構(gòu)WEB注冊(cè)勾選上，然后點(diǎn)擊【下一步】；

（圖6）

7、勾選【獨(dú)立】選項(xiàng)，點(diǎn)擊【下一步】；（由于不在域管理中創(chuàng)建，直接默認(rèn)為：“獨(dú)立”）

(圖7)

8、首次創(chuàng)建，勾選【根CA】，之后點(diǎn)擊【下一步】；

（圖8）

9、首次創(chuàng)建勾選【新建私鑰】，之后點(diǎn)擊【下一步】；

（圖9）

10、默認(rèn)，繼續(xù)點(diǎn)擊【下一步】；

（圖10）

11、默認(rèn)，繼續(xù)點(diǎn)擊【下一步】；

（圖11）

12、默認(rèn)，繼續(xù)點(diǎn)擊【下一步】；

（圖12）

13、默認(rèn)，繼續(xù)點(diǎn)擊【下一步】；

（圖13）

14、點(diǎn)擊【安裝】；

（圖14）

15、點(diǎn)擊【關(guān)閉】，證書服務(wù)器安裝完成；

（圖15）

Windows Server 2008上使用IIS如何配置WEB服務(wù)器上證書應(yīng)用（SSL應(yīng)用）？

此應(yīng)用用于提高WEB站點(diǎn)的安全訪問級(jí)別；配置后應(yīng)用站點(diǎn)可實(shí)現(xiàn)安全的服務(wù)器至客戶端的信道訪問；此信道將擁有基于SSL證書加密的HTTP安全通道，保證雙方通信數(shù)據(jù)的完整性，使客戶端至服務(wù)器端的訪問更加安全；

注：以證書服務(wù)器創(chuàng)建的WEB站點(diǎn)為示例，搭建WEB服務(wù)器端SSL證書應(yīng)用步驟如下：

1、打開IIS，WEB服務(wù)器，找到【服務(wù)器證書】并選中；

（圖1）

2、點(diǎn)擊【服務(wù)器證書】，找到【創(chuàng)建證書申請(qǐng)】項(xiàng)；

（圖2）

3、單擊【創(chuàng)建證書申請(qǐng)】，打開【創(chuàng)建證書申請(qǐng)】后，填寫相關(guān)文本框，填寫中需要注意的是：“通用名稱”必需填寫本機(jī)IP或域名，其它項(xiàng)則可以自行填寫； 注：下面的192.168.1.203為示例機(jī)IP地址，實(shí)際IP地址需根據(jù)每人主機(jī)IP自行填寫；填寫完后，單擊【下一步】；

（圖3）

4、默認(rèn)，點(diǎn)擊【下一步】 ；

（圖4）

5、選擇并填寫需要生成文件的保存路徑與文件名, 此文件后期將會(huì)被使用；（保存位置、文件名可以自行設(shè)定），之后點(diǎn)擊【完成】，此配置完成，子界面會(huì)關(guān)閉；

（圖5）

6、接下來，點(diǎn)擊IE（瀏覽器），訪問：http://192.168.1.203/certsrv/；注：此處的192.168.1.203為示例機(jī)IP地址，實(shí)際IP地址需根據(jù)每人主機(jī)IP自行填寫；

（圖6-1）

此時(shí)會(huì)出現(xiàn)證書服務(wù)頁面；此網(wǎng)站如果點(diǎn)擊【申請(qǐng)證書】，進(jìn)入下一界面點(diǎn)擊【高級(jí)證書申請(qǐng)】，進(jìn)入下一界面點(diǎn)擊【創(chuàng)建并向此CA提交一個(gè)申請(qǐng)】，進(jìn)入下一界面，此時(shí)會(huì)彈出一個(gè)提示窗口：“為了完成證書注冊(cè)，必須將該CA的網(wǎng)站配置為使用HTTPS身份驗(yàn)證”；也就是必須將HTTP網(wǎng)站配置為HTTPS的網(wǎng)站，才能正常訪問當(dāng)前網(wǎng)頁及功能；

（圖6-2）

在進(jìn)行后繼內(nèi)容前，相關(guān)術(shù)語名詞解釋：

HTTPS（全稱：Hypertext Transfer Protocol over Secure Socket Layer），是以安全為目標(biāo)的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。它是一個(gè)URI scheme（抽象標(biāo)識(shí)符體系），句法類同http:體系。用于安全的HTTP數(shù)據(jù)傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認(rèn)端口及一個(gè)加密/身份驗(yàn)證層（在HTTP與TCP之間）。這個(gè)系統(tǒng)的最初研發(fā)由網(wǎng)景公司進(jìn)行，提供了身份驗(yàn)證與加密通訊方法，現(xiàn)在它被廣泛用于萬維網(wǎng)上安全敏感的通訊，例如交易支付方面。

SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全（Transport Layer Security，TLS）是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密。至此，我們需要搭建一個(gè)HTTPS網(wǎng)站，即搭建WEB服務(wù)器的SSL應(yīng)用；

7、如何搭建HTTPS的網(wǎng)站呢？ 前期回顧：

證書服務(wù)已搭建，用于創(chuàng)建SSL的加密服務(wù)；使用證書服務(wù)器的WEB網(wǎng)站時(shí)，提示需要將證書WEB站點(diǎn)配置為HTTPS網(wǎng)站才能正常使用；

我們繼續(xù)以證書服務(wù)器的搭建為示例，完成WEB服務(wù)器的SSL應(yīng)用搭建；

8、接下來，由于搭建HTTPS需要先申請(qǐng)證書，但現(xiàn)在證書服務(wù)網(wǎng)站也需要配置為HTTPS才能正常使用，那 么在證書網(wǎng)站還未配置為HTTPS服務(wù)前我們?nèi)绾紊暾?qǐng)證書？方法如下： 方法：打開IE(瀏覽器)，找到工具欄，點(diǎn)擊【工具欄】，找到它下面的【Internet選項(xiàng)】；

（圖8）

9、點(diǎn)擊【Internet選項(xiàng)】->點(diǎn)擊【安全】->點(diǎn)擊【可信站點(diǎn)】；

（圖9）

10、點(diǎn)擊【可信站點(diǎn)】，并輸入之前的證書網(wǎng)站地址：http://192.168.1.203/certsrv，并將其【添加】到信任站點(diǎn)中；添加完后，點(diǎn)擊【關(guān)閉】，關(guān)閉子界面；

（圖10）

11、接下來，繼續(xù)在【可信站點(diǎn)】位置點(diǎn)擊【自定義級(jí)別】，此時(shí)會(huì)彈出一個(gè)【安全設(shè)置】子界面，在安全設(shè)置界面中拖動(dòng)右別的滾動(dòng)條，找到【對(duì)未標(biāo)記為可安全執(zhí)行腳本的ActiveX控件初始化并執(zhí)行腳本】選項(xiàng)，將選為【啟用】；之后點(diǎn)擊所有【確定】操作，直到【Internet選項(xiàng)】子界面關(guān)閉為止；

（圖11）

12、完成上面操作后，先將IE關(guān)閉，然后重新打開，輸入：http://192.168.1.203/certsrv；頁面出來后點(diǎn)擊【申請(qǐng)證書】；

（圖12）

13、點(diǎn)擊【高級(jí)證書申請(qǐng)】

（圖13）

14、點(diǎn)擊【使用base64編碼的CMC或PKCS#10文件提交一個(gè)證書申請(qǐng)，或使用Base64編碼的PKCS#7文件續(xù)訂證書申請(qǐng)】

(圖14）

15、將之前保存的密鑰文檔文件找到并打開，將里面的文本信息復(fù)制并粘貼到“Base-64編碼的證書申請(qǐng)”文本框中；確定文本內(nèi)容無誤后，點(diǎn)擊【提交】；

（圖15-1）

（圖15-2）

16、此時(shí)可以看到提交信息，申請(qǐng)已經(jīng)提交給證書服務(wù)器，關(guān)閉當(dāng)前IE；

（圖16）

17、打開證書服務(wù)器處理用戶剛才提交的證書申請(qǐng)； 回到Windows【桌面】->點(diǎn)擊【開始】->點(diǎn)擊【運(yùn)行】，在運(yùn)行位置輸入：certsrv.msc，然后回車就會(huì)打開證書服務(wù)功能界面；

打開后，找到【掛起的申請(qǐng)】位置，可以看到之前提交的證書申請(qǐng)；

（圖17）

18、點(diǎn)擊鼠標(biāo)右鍵會(huì)出現(xiàn)【所有任務(wù)】，點(diǎn)擊【所有任務(wù)】->點(diǎn)擊【頒發(fā)】將掛起的證書申請(qǐng)審批通過，此時(shí)掛起的證書會(huì)從當(dāng)前界面消失，即代表已完成操作；

（圖18）

19、點(diǎn)擊【頒發(fā)的證書】，可以看到新老已審批通過的證書；其它操作（吊銷的證書、失敗的申請(qǐng)）在此略掉，大家有空可以自己試用；

（圖19）

20、重新打開IE，輸入之前的網(wǎng)址：http://192.168.1.203/certsrv/； 打開頁面后，可點(diǎn)擊【查看掛起的證書申請(qǐng)的狀態(tài)】；之后會(huì)進(jìn)入“查看掛起的證書申請(qǐng)的狀態(tài)”頁面，點(diǎn)擊【保存的申請(qǐng)證書】；

（圖20）

21、進(jìn)入新頁面后，勾選Base 64編碼，然后點(diǎn)擊【下載證書】,將已申請(qǐng)成功的證書保存到指定位置，后續(xù)待用；

（圖21）

22、打開IIS服務(wù)器，點(diǎn)擊【服務(wù)器證書】->【完成證書申請(qǐng)】->選擇剛保存的證書，然后在“好記名稱”文本框中輸入自定義的名稱，完后點(diǎn)擊【確定】；

（圖22）

23、上述操作完后，可在“服務(wù)器證書”界面下看到“JZT_TEST1”證書；

（圖23）

24、點(diǎn)擊左邊的【Default Web Site】菜單，然后找到【綁定】功能，點(diǎn)擊【綁定】功能，會(huì)彈出【網(wǎng)站綁定】界面，默認(rèn)會(huì)出現(xiàn)一個(gè)類型為http，端口為80的主機(jī)服務(wù)，然后點(diǎn)擊【添加】，會(huì)彈出【添加網(wǎng)站綁定】界面，在此界面中選擇“類型：https”、“SSL證書：JZT_TEST1”，然后點(diǎn)【確定】；點(diǎn)完確定后，會(huì)看到【網(wǎng)站綁定】子界面中有剛配的HTTPS服務(wù)，點(diǎn)擊【關(guān)閉】，子界面消失；

(圖24)

25、點(diǎn)擊左菜單上的【CertSrv】證書服務(wù)網(wǎng)站，然后點(diǎn)擊【SSL設(shè)置】;

（圖25）

26、進(jìn)入SSL設(shè)置頁面，勾選上“要求ＳＳＬ”即啟用SSL功能，然后點(diǎn)擊【應(yīng)用】，保存設(shè)置；

（圖26）

27、此時(shí)一個(gè)基于ＳＳＬ應(yīng)用的WEB服務(wù)器站點(diǎn)已配置完成；讓我們用ＩＥ試下SSL的應(yīng)用； 首先，將我們之前為了申請(qǐng)證書而開放的【可信站點(diǎn)】的設(shè)置還原； 在IE的【可信站點(diǎn)】的【自定義級(jí)別】選項(xiàng)中【對(duì)未標(biāo)記為可安全執(zhí)行腳本的ActiveX控件初始化并執(zhí)行腳本】選項(xiàng)，由“啟用”改為【禁用】即可；

然后關(guān)閉IE，再重新打開并輸入：https://192.168.1.203； 此時(shí)會(huì)出現(xiàn)：“IIS7”字樣的頁面，如果出現(xiàn)此頁面，恭喜你SSL配置已成功！反之則有問題，從上到下把操作說明和自己的操作過程比對(duì)檢查看是否正確；（有問題別看我，我的示例可是沒問題的^_^，自己耐心再檢查下?。┲链耍篧EB服務(wù)器上配置基于SSL證書應(yīng)用的安全站點(diǎn)（HTTPS站點(diǎn)）操作已全部完成；

（圖27）

（圖28）

第二篇：搭建CA數(shù)字證書服務(wù)器

http://blog.163.com/bjzhl009@126/blog/static/***0545874/ 搭建CA服務(wù)器

2008-04-07 10:54:58| 分類：專業(yè)知識(shí) | 標(biāo)簽：it動(dòng)態(tài) 博客 播客

|字號(hào)大中小 訂閱

在Windows server 2003 Enterprise Edition安裝CA證書服務(wù)，具體步驟如下：

1、首先將Windows server 2003升級(jí)為DC

2、安裝IIS服務(wù)

a、打開系統(tǒng)的“控制面板”點(diǎn)擊“添加或刪除程序”

b、點(diǎn)擊“添加/刪除Windows組件”

c、鉤選“應(yīng)用程序服務(wù)器”后點(diǎn)擊下面“詳細(xì)信息”

d、鉤選“Internet信息服務(wù)”及“啟用網(wǎng)絡(luò)COM+訪問”并點(diǎn)擊確定

3、安裝CA服務(wù)

a、同樣進(jìn)入“添加/刪除Windows組件”下選擇“證書服務(wù)”點(diǎn)擊“下一步”

4、在DC上運(yùn)行MMC，添加證書模板的管理單元。

5、選擇“證書頒發(fā)機(jī)構(gòu)”選擇“本地計(jì)算機(jī)”并點(diǎn)擊“添加”

6、同時(shí)選擇“證書模板”并點(diǎn)擊“添加”及“確定”

7、點(diǎn)擊“證書模板”找到“計(jì)算機(jī)”模板，右擊選擇“復(fù)制模板”

8、在“常規(guī)”中設(shè)置名稱，這里為“123”，點(diǎn)擊“使用者名稱”并鉤選“在請(qǐng)求中提供”

9、點(diǎn)擊“證書頒發(fā)機(jī)構(gòu)”選擇“證書模板”點(diǎn)擊“新建”點(diǎn)擊“要頒發(fā)的證書模板”

10、選中“123”并點(diǎn)擊“確定”

11、選擇“證書頒發(fā)機(jī)構(gòu)”點(diǎn)擊“停止服務(wù)”按鈕后，再點(diǎn)擊“啟動(dòng)”按鈕

12、在“命令提示符”下運(yùn)行“iisreset”

服務(wù)器重新啟動(dòng)后就可以在客戶端申請(qǐng)證書。

13、客戶端申請(qǐng)證書

打開客戶端IE瀏覽器輸入CA服務(wù)器的IP地址：htt://11.147.16.199/certsrv（根據(jù)實(shí)況輸入）, 選擇“申請(qǐng)一個(gè)證書”

15、點(diǎn)擊“高級(jí)證書申請(qǐng)”

15、點(diǎn)擊“高級(jí)證書申請(qǐng)”

16、點(diǎn)擊“創(chuàng)建并向此CA提交一個(gè)申請(qǐng)”

17、選擇剛才頒發(fā)的“123”證書并填寫詳細(xì)的信息點(diǎn)擊“提交”

18、點(diǎn)擊“安裝此證書”

到此CA服務(wù)器已經(jīng)搭建完畢??！