Windows server 2008安装企业CA证书服务

zsyzhou

　　Windows server 2008安装企业CA证书服务
CA（证书颁发机构）
为了保证网络上信息的传输安全，除了在通信中采用更强的加密算法等措施外，必须建立一种信任及信任验证机制，即通信各方必须有一个可以被验证的标识，这就需要使用数字证书，证书的主体可以是用户、计算机、服务等。证书可以用于多方面，例如Web用户身份验证、web服务器身份验证、安全电子邮件等。安装证书确保望上传递信息的机密性、完整性、以及通信双方身份的真实性，从而保障网络应用的安全性。
提示：CA分为两大类，企业CA和独立CA；
企业CA的主要特征如下：
1）企业CA安装时需要AD（活动目录服务支持），即计算机在活动目录中才可以。
2.当安装企业根时，对于域中的所用计算机，它都将会自动添加到受信任的根证书颁发机构的证书存储区域；
3.必须是域管理员或对AD有写权限的管理员，才能安装企业根CA；
独立CA主要以下特征:
        1.CA安装时不需要AD（活动目录服务）。
        2 .情况下，发送到独立CA的所有证书申请都
被设置为挂起状态，需要管理员受到颁发。
这完全出于安全性的考虑，因为证书申请者
的凭证还没有被独立CA验证；
在简单介绍完CA的分类后，我们现在AD
（活动目录）环境下安装证书服务；
具体步骤如下：
1.域控制器上，在管理工具—服务器管理器—角色—打开添加角色向导—添加角色；AD安装服务；

2.点击—下一步，在选择角色服务中选择证书颁发机构和证书颁发机构Web注册；

3.在指定安装类型中选择”企业”，单击’下一步’；

4.在“CA类型中选择根CA”，单击下一步；

5.在设置私钥窗口中选择“新建私钥”，单击下一步；

6.在配置加密窗口，使用默认的加密服务程序、哈希算法和密钥长度，单击“下一步”；

7.选择按指导项单击“下一步”到确认—安装;

8.安装完成后，从管理工具中可以看到“Certification Authority”打开证书颁发机构管理器，管理证书的颁发；

9.为web站点应用证书前必须生成证书，用以标识证书应用于哪个站点，打开Insternet信息服务管理器中—打开—服务器证书；

10.打开后，首先先创建证书申请；在分辨名称属性窗口中通用名称可以是IP或者域名；其他设置根据需求填写；

11.在文件名窗口，为该证书申请指定一个文件名和保存路径单击完成创建证书申请；

12.打开证书申请文件C:\Users\Administrator\Desktop\qiangmeng.txt，可见证书申请文件时Base64编码，复制全部编码，提示：不能随意改动:

13.在申请到文件编码后，现在应该提交所申请的证书，在浏览器中输入：http://192.168.1.1/certsrv,单击申请证书；

14.点击—申请证书进去后，选择高级证书申请；

15.在“提交一个证书申请或续订申请”页面，将复制的证书内容粘贴到，‘保存的申请’区域中，证书模板选择“web服务器”；

16.进入后，选择使用base64编码的文件提交一个申请；下载证书；为证书选择存放路径；

17.下载完成后，打开insternet信息服务管理—服务器证书—完成申请；

18.将申请的证书导入服务器；

19.完成后，在Insternet信息服务管理上新添加站点，在绑定类型中选择https；SSL证书选择申请的证书；

20.在SSL设置上要求应用SSL；选择此项后用户都只能以https方式访问连接站点；

21.在设置完成后，可以通过在用户计算机上HTTPS协议访问网站；测试使用域名进行访问；

注：证书只有在指定的期限内才有效，
每个证书都包含起始日期和有效终止日
期。一旦过了证书的有效期，到期证书
的使用者就必须重新申请一个新的证书  
　　
　　补充：
　　1.安装证书服务器，windows2008 在AD证书服务处添加独立根
　　2.使用IP为通用名(通用名与浏览器中地址栏输入的域名一致)
　　3.在IIS中申请证书，然后将文本中的内容黏贴到，由http://localhost/certsrv中新建的证书中
　　4.在IIS默认网站中绑定443端口且证书（SSL）选择你生成的那个
　　5.http://localhost/certsrv中下载证书到客户端，然后安装到受信任的根证书发布者（IE是检测server的证书是否是在根发布处的，以去人其是否合法）