Windows CA 证书服务器配置 - 图文

更新时间：2024-05-10 14:03:01 阅读量：综合文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

windows10推荐度：
相关推荐

Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装

安装准备：插入Windows Server 2003 系统安装光盘添加IIS组件：

点击‘确定’，安装完毕后，查看IIS管理器，如下：

添加‘证书服务’组件：

如果您的机器没有安装活动目录，在勾选以上‘证书服务’时，将弹出如下窗口：

由于我们将要安装的是独立CA，所以不需要安装活动目录，点击‘是’，窗口跳向如下：

默认情况下，‘用自定义设置生成密钥对和CA证书’没有勾选，我们勾选之后点击‘下一步’可以进行密钥算法的选择：

Microsoft 证书服务的默认CSP为：Microsoft Strong Cryptographic Provider，默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。点击‘下一步’：

填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀’中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。点击‘下一步’：

点击‘下一步’进入组件的安装，安装过程中可能弹出如下窗口：

单击‘是’，继续安装，可能再弹出如下窗口：

由于安装证书服务的时候系统会自动在IIS中（这也是为什么必须先安装IIS的原因）添加证书申请服务，该服务系统用ASP写就，所以必须为IIS启用ASP功能，点击‘是’继续安装：

‘完成’证书服务的安装。

开始》》》管理工具》》》证书颁发机构，打开如下窗口：

我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。此时该服务器（CA）的IIS下多出以下几项：

我们可以通过在浏览器中输入以下网址进行数字证书的申请： http://hostname/certsrv或http://hostip/certsrv 申请界面如下：

Windows CA 证书服务器配置(二) —— 申请数字证书

在IE地址栏中输入证书服务系统的地址，进入服务主页：

点击‘申请一个证书’进入申请页面：

如果证书用作客户端身份认证，则可点击‘Web浏览器证书’或‘高级证书申请’，一般用户申请‘Web浏览器证书’即可，‘高级证书申请’里有更多选项，也就有很多专业术语，高级用户也可点击进入进行申请。这里我们以点击申请‘Web浏览器证书’为例：

申请‘Web浏览器证书’，‘姓名’是必填项，其他项目可不填，但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的，所以请尽量多填，并且填写真实信息，因为CA管理员会验证申请人的真实信息，然后进行颁发。需注意的一点是，‘国家（地区）’需用国际代码填写，CN代表中国。如果想查看更多选项，请点击‘更多选项’：

这一步很关键。公用名称不能随便更改，只能是该网站的DNS，如果尚未申请DNS则可以用IP地址代替。默认情况下是服务器的计算机名，但这种情况只适合于企业机构（AD管理），我们要配置的是独立机构，所以公用名只能是DNS或IP地址。单击‘下一步’：

这些信息也将是CA管理员的审核对象。单击‘下一步’：

至此，数字证书的信息已经填写完毕，这一步将这些信息以Base64编码的形式保存在本地，Web管理员可以用编码到CA证书申请系统进行证书的申请。单击‘下一步’：

以上就是数字证书的本地信息，CA管理员将对其进行审核，并决定是否颁发。单击‘下一步’：

单击‘完成’

接下来就是到CA的证书申请系统申请服务器验证证书。

（待续）

Windows CA 证书服务器配置（四） —— Web 服务器配置（2）

打开如下网页：点击‘申请一个证书’：点击‘高级证书申请’：

‘使用base64编码的CMC或PKCS#10文件提交一个证书申请，或使用base64编码的PKCS#7文件续订证书申请’

我们的用于申请的base64编码保存在一个名为certreq.txt的请求文件中。将其打开

全选编码，并将其复制，粘贴到：点击‘提交’：