实验二：安装和配置证书服务实验实验目的：1、安装一个独立存在的CA2、从某个CA请求一个证书3、发放证书实验内容：一、安装和设置证书服务证书授权服务器是Windows 2000 Server的一个附件，它放在Windows 2000 Server的安装盘上。

它可让你为建立和管理X509版本3的数字证书创建一个自定制的服务以作证书之用。

你可以为Internet或者公司的内部网创建服务器证书，从而可让你的组织完全控制它自己的证书管理策略它包含了一个向导来设置安装。

要注意的是：你将需要在安装的时候提供精确的信息。

在安装证书服务前先查看一下需要的信息。

要使用常用的设置选项来安装证书授权服务器附件，你可以使用以下的步骤：1.将Windows 2000 Server CD-ROM放入光驱，然后选择Install Add-on Components2.Windows组件向导将会提示你选择安装哪些组件。

选择证书服务的选择框。

你将会马上看到一个对话框，提示你一旦安装证书服务，该计算机将不能重命名，也不能加入或者由一个域中移走。

在选择YES来继续前，你应该考虑一下以下几点：由于在安装证书服务后，除非你重新安装Windows 2000，否则你将不能修改计算机的名字，因此你需要确保你对当前的名字感到满意，或者在继续前先换一个名字。

在继续前你要确保计算机加入到适当的域中3.接着，在Windows组件向导中选择证书授权类型，有四种类型：Enterprise root CAEnterprise subordinate CAStand-alone root CAStand-alone subordinate CA4.一个网络上的第一个CA必须是一个root CA。

要创建一个Enterprise CA，必须允许Active Directory。

一个Stand-alone CA 并不需要Active Directory。

在你的局域网中可选择Stand-alone CA 来实现证书服务。

证书授权服务不但定义证书服务功能如何在你的服务器上运作，还定义了你将需要如何来管理它。

5.在Windows组件向导中选择CA Identifying Information。

输入适当的数据然后继续安装。

6.在Windows组件向导中选择Data Storage Location。

我建议使用默认的位置就可以了。

按Next继续。

7.如果你已经在你的计算机上安装并运行Internet Information Services，按Yes继续。

微软的证书服务将会提示你在继续安装前，必须停止Internet Information Services。

8.Windows组件向导将会设置组件，并且将文件拷贝到你的机器上。

你可以通过安装进度条来监视安装的过程。

9.当Windows组件向导提示你已经完成配置所选的组件时，按Finish。

二、如何在Web 服务器上设置SSL目标是：•获取SSL 证书。

•在IIS 服务器上安装SSL 证书。

•配置虚拟目录以要求SSL。

生成证书申请此过程创建一个新的证书申请，此申请可发送到证书颁发机构(CA) 进行处理。

如果成功，CA 将给您发回一个包含有效证书的文件。

•生成证书申请1.启动IIS Microsoft 管理控制台(MMC) 管理单元。

2.展开Web 服务器名，选择要安装证书的Web 站点。

3.右键单击该Web 站点，然后单击“属性”。

4.单击“目录安全性”选项卡。

5.单击“安全通信”中的“服务器证书”按钮，启动Web 服务器证书向导。

注意：如果“服务器证书”不可用，可能是因为您选择了虚拟目录、目录或文件。

返回第2 步，选择Web 站点。

6.单击“下一步”跳过欢迎对话框。

7.单击“创建一个新证书”，然后单击“下一步”。

8.该对话框有以下两个选项：• “现在准备申请，但稍后发送”该选项总是可用的。

•“立即将申请发送到在线证书颁发机构”仅当Web 服务器可以在配置为颁发Web 服务器证书的Windows 2000 域中访问一个或多个Microsoft 证书服务器时，该选项才可用。

在后面的申请过程中，您有机会从列表中选择将申请发送到的颁发机构。

单击“现在准备申请，但稍后发送”，然后单击“下一步”。

9.在“名称”字段中键入证书的描述性名称，在“位长”字段中键入密钥的位长，然后单击“下一步”。

向导使用当前Web 站点名称作为默认名称。

它不在证书中使用，但作为友好名称以助于管理员识别。

10.在“组织”字段中键入组织名称（例如Contoso），在“组织单位”字段中键入组织单位（例如“销售部”），然后单击“下一步”。

注意：这些信息将放在证书申请中，因此应确保它的正确性。

CA 将验证这些信息并将其放在证书中。

浏览您的Web 站点的用户需要查看这些信息，以便决定他们是否接受证书。

11.在“公用名”字段中，键入您的站点的公用名，然后单击“下一步”。

重要说明：公用名是证书最后的最重要信息之一。

它是Web 站点的DNS 名称（即用户在浏览您的站点时键入的名称）。

如果证书名称与站点名称不匹配，当用户浏览到您的站点时，将报告证书问题。

如果您的站点在Web 上并且被命名为，这就是您应当指定的公用名。

如果您的站点是内部站点，并且用户是通过计算机名称浏览的，请输入计算机的NetBIOS 或DNS 名称。

12.在“国家/地区”、“州/省”和“城市/县市”等字段中输入正确的信息，然后单击“下一步”。

13.输入证书申请的文件名。

该文件包含类似下面这样的信息。

-----BEGIN NEW CERTIFICATE REQUEST-----MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy... -----END NEW CERTIFICATE REQUEST-----这是您的证书申请的Base 64 编码表示形式。

申请中包含输入到向导中的信息，还包括您的公钥和用您的私钥签名的信息。

将此申请文件发送到CA。

然后CA 会使用证书申请中的公钥信息验证用您的私钥签名的信息。

CA 也验证申请中提供的信息。

当您将申请提交到CA 后，CA 将在一个文件中发回证书。

然后您应当重新启动Web 服务器证书向导。

14.单击“下一步”。

该向导显示证书申请中包含的信息概要。

15.单击“下一步”，然后单击“完成”完成申请过程。

证书申请现在可以发送到CA 进行验证和处理。

当您从CA 收到证书响应以后，可以再次使用IIS 证书向导，在Web 服务器上继续安装证书。

二、提交证书申请此过程使用Microsoft 证书服务提交在前面的过程中生成的证书申请。

1. 使用“记事本”打开在前面的过程中生成的证书文件，将它的整个内容复制到剪贴板。

2.启动Internet Explorer，导航到http://hostname/CertSrv，其中hostname 是运行Microsoft 证书服务的计算机的名称。

3.单击“申请一个证书”，然后单击“下一步”。

4.在“选择申请类型”页中，单击“高级申请”，然后单击“下一步”。

5.在“高级证书申请”页中，单击“使用Base64 编码的PKCS#10 文件提交证书申请”，然后单击“下一步”。

6.在“提交一个保存的申请”页中，单击“Base64 编码的证书申请（PKCS #10 或#7）”文本框，按住CTRL+V，粘贴先前复制到剪贴板上的证书申请。

7.在“证书模板”组合框中，单击“Web 服务器”。

8.单击“提交”。

9.关闭Internet Explorer。

三、颁发证书1. 从“管理工具”程序组中启动“证书颁发机构”工具。

2. 展开您的证书颁发机构，然后选择“挂起的申请”文件夹。

3. 选择刚才提交的证书申请。

4. 在“操作”菜单中，指向“所有任务”，然后单击“颁发”。

5. 确认该证书显示在“颁发的证书”文件夹中，然后双击查看它。

6. 在“详细信息”选项卡中，单击“复制到文件”，将证书保存为Base-64 编码的X.509证书。

7. 关闭证书的属性窗口。

8. 关闭“证书颁发机构”工具。

三、在Web 服务器上安装证书此过程在Web 服务器上安装在前面的过程中颁发的证书。

1.如果Internet 信息服务尚未运行，则启动它。

2.展开您的服务器名称，选择要安装证书的Web 站点。

3.右键单击该Web 站点，然后单击“属性”。

4.单击“目录安全性”选项卡。

5.单击“服务器证书”启动Web 服务器证书向导。

6.单击“处理挂起的申请并安装证书”，然后单击“下一步”。

7.输入包含CA 响应的文件的路径和文件名，然后单击“下一步”。

8.检查证书概述，单击“下一步”，然后单击“完成”。

四、将资源配置为要求SSL 访问1.如果Internet 信息服务尚未运行，则启动它。

2.展开您的服务器名称和Web 站点。

（这必须是已安装证书的Web 站点）3.右键单击某个虚拟目录，然后单击“属性”。

4.单击“目录安全性”选项卡。

5.单击“安全通信”下的“编辑”。

6.单击“要求安全通道(SSL)”。

现在客户端必须使用HTTPS 浏览到此虚拟目录。

7.单击“确定”，然后再次单击“确定”关闭“属性”对话框。

9. 关闭Internet 信息服务。

五、在客户端计算机上安装证书颁发机构的证书此过程在客户端计算机上安装CA 所颁发的证书，并将该CA 作为受信任的根证书颁发机构。

客户端计算机必须信任该颁发证书的CA，以便接受服务器证书，但不显示“安全警报”对话框。

1.仅在您的Web 服务器证书是由Microsoft 证书服务CA 颁发的情况下，才需执行此过程。

否则，如果您有CA 的 .cer 文件，请转到第8 步。

2.启动Internet Explorer 并浏览到http://hostname/certsrv，其中hostname 是颁发服务器证书的Microsoft 证书服务所在计算机的名称。

3.单击“检索CA 证书或证书吊销列表”，然后单击“下一步”。

4.单击“安装此CA 证书路径”。

5.在“根证书存储”对话框中，单击“是”。

6.使用HTTPS 浏览到Web 服务。

例如：https://WebServer/securemath/math.asmx浏览器中现在应该正确显示Web 服务测试页，而不显示“安全警报”对话框。

现在您已经在个人受信任根证书存储中安装了CA 的证书。

您必须将CA 的证书添加到计算机的受信任根存储中，然后才能够从 页成功调用Web 服务。

7.重复第1 步和第2 步，单击“下载CA 证书”，然后将其保存到本地计算机上的某个文件中。

8.现在执行其余步骤。

如果有CA 的 .cer 证书文件10.在任务栏上，单击“开始”，然后单击“运行”。