企业CA应用之--Web服务器申请证书(完美版)
2010-11-26 12:08
405 查看
1.[/b]应用环境:XX公司有一个Web站点,域名为www.dongfang.com,启用的身份验证方式是基本身份方式。由于该网站有公司敏感数据,因此公司希望用户访问时,保证用户密码和访问的数据在传输时的安全性(信息不能被协议分析工具破解出来)。[/b]
2.[/b]拓扑图:[/b]
[/b]
[align=left]3.[/b]步骤:[/b][/align]
[align=left](1)安装证书服务:(注意证书服务必须是建立在安装IIS服务的基础上的。)[/b][/align]
[align=left]两个服务一起安装,如下图:选择安装IIS[/b][/align]
[/b]
[/b]
输入CA识别信息[/b]
[/b]
[/b]
保证证书数据库及日志信息的位置默认值:[/b]
开始安装:[/b]
[/b]
[align=left] [/align]
[/b]
(3)安装WWW服务,如下图所示:[/b]
[/b]
(4)安装完成后,打开并设置来宾用户的访问权限:[/b]
[/b]
[/b]
[/b]
[/b]
(5)打开Web服务器,属性[/b]—[/b]目录安全性,选择服务器证书:[/b]
[/b]
[/b]
选择新建证书:[/b]
[/b]
[/b]
接着选择下一步[/b]
[/b]
[/b]
输入名称:[/b]
[/b]
输入站点名称www.dongfang.com,注意这里不要输入错误了[/b]
[/b]
输入地理信息,单击下一步:[/b]
[/b]
按提示完成。[/b]
(6)web方式提交证书申请:[/b]
打开IE浏览器,导航到http://192.168.10.11/certsrv(这是运行证书服务的计算机的IP地址)[/b]
[/b][/b][/b]
[/b]
选择申请一个证书,下一步:[/b]
[/b]
[/b]
选择高级证书申请:[/b]
[/b]
[/b]
在这里选择的是用base64编码:[/b]
复制certreq.txt文件内容到下拉列表框,提交。[/b]
[/b]
出现如下图所示,证书挂起:(注意如果是在域环境,则直接就会颁发,在这里就需要手工颁发了).[/b]
[/b]
[/b]
(7)手工颁发证书:[/b]
打开证书颁发机构,可以查看到挂起的证书,右击所有任务[/b]—[/b]颁发证书:[/b]
[/b]
[/b][/b]
可以看到已经颁发了的证书:[/b]
[/b]
[/b]
(8)下载证书:[/b]
打开IE浏览器,导航到http://192.168.10.11/certsrv(这是运行证书服务的计算机的IP地址)[/b]
选择查看挂起的证书申请的状况:[/b]
选择保存的申请证书,选择下载证书:[/b]
[/b]
下载证书到本地:[/b]
[/b]
(9)安装证书,打开Web服务器,属性-选择目录安全[/b]—[/b]服务器证书:[/b]
[/b]
[/b]
选择处理挂起的请求并安装证书:[/b]
浏览到刚才下载到本地的证书:[/b]
[/b][/b]
(10)查看证书:[/b]
[/b]
发现证书有一个红叉(分析原因:没有添加CA的证书到受信任的根证书颁发机构,接着添加!),注:如果是在域环境下,则不会出现红叉。[/b]
(11)下载CA证书到本地添加到信任的证书机构:[/b]
打开IE浏览器,导航到http://192.168.10.11/certsrv(这是运行证书服务的计算机的IP地址)[/b]
在这里选择下载一个CA证书,证书链或CRL[/b]
接下来下载CA证书到本地[/b]
在运行里输入 mmc打开管理控制台:[/b]
选择添加/删除管理单元[/b]—[/b]选择添加[/b]—[/b]选择证书:[/b]
选择计算机帐户:[/b]
保持默认,完成[/b]
展开管理控制台,选择证书,右击出现所有任务选择导入:如下图:[/b]
导入刚下载CA的证书,如下图:[/b]
[/b]
(12)查看刚才打红叉的证书,现在正常了,如下图:[/b]
[/b]
[/b]
(13)启用安全通道,如图选择编辑:[/b]
勾选“要求安全通道(SSL)”,再勾选要求客户端证书:[/b]
[/b]
(14)客户端访问:[/b]
无法访问原因:客户端没有申请证书:[/b]
(15)客户端申请证书:[/b]
打开IE浏览器,导航到http://192.168.10.11/certsrv(这是运行证书服务的计算机的IP地址)[/b]
选择申请证书,通过浏览器:填写相关内容,提交[/b]
(16)给客户机颁发证书:[/b]
[/b]
(17)客户机下载证书并安装:[/b]
[/b]
证书安装完成:[/b]
[/b]
[/b]
[/b]
(18)客户机访问:[/b]
[/b]
[/b]
总结:[/b]
1. [/b]CA[/b]建好之后,时间和计算机名都不可修改。[/b]
2. [/b]给Web服务器颁发证书时,必须下载CA的证书并且导入到受信任的根证书颁发机构。[/b]
3. [/b]在给Web服务器应用证书时注意一定要勾选“要求安全通道(SSL)”,再勾选“要求客户端证书”。[/b]
4. [/b]在工作组模式下证书颁发需要手工颁发,但在加入域环境下证书是自动颁发的(如果CA是域控,则颁发证书时一定要有域管理员权限的用户才可以申请证书)。[/b]
5.先从IIS的本地网站申请服务证书,生成一个TXT文本文件,再通过IE浏览器把TXT文件里面申请证书信息导入,生成CER文件,最后在IIS里面的服务器证书导入CER文件生成证书。
[/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b]
(2)在开始[/b]—[/b]管理工具中单击证书颁发机构,打开证书颁发机构:[/b]
[/b]
使用IIS管理器,观察默认网站下有certsrv等虚拟目录:[/b]
[/b]
[/b]
[/b]
然后选择安装证书服务:[/b]
[/b]
注意:在这里是工作组模式,所以不出现上面两项(域环境会出现上面两项),如下图:[/b][/b]
[/b][/b]
2.[/b]拓扑图:[/b]
[/b]
[align=left]3.[/b]步骤:[/b][/align]
[align=left](1)安装证书服务:(注意证书服务必须是建立在安装IIS服务的基础上的。)[/b][/align]
[align=left]两个服务一起安装,如下图:选择安装IIS[/b][/align]
[/b]
[/b]
输入CA识别信息[/b]
[/b]
[/b]
保证证书数据库及日志信息的位置默认值:[/b]
开始安装:[/b]
[/b]
[align=left] [/align]
[/b]
(3)安装WWW服务,如下图所示:[/b]
[/b]
(4)安装完成后,打开并设置来宾用户的访问权限:[/b]
[/b]
[/b]
[/b]
[/b]
(5)打开Web服务器,属性[/b]—[/b]目录安全性,选择服务器证书:[/b]
[/b]
[/b]
选择新建证书:[/b]
[/b]
[/b]
接着选择下一步[/b]
[/b]
[/b]
输入名称:[/b]
[/b]
输入站点名称www.dongfang.com,注意这里不要输入错误了[/b]
[/b]
输入地理信息,单击下一步:[/b]
[/b]
按提示完成。[/b]
(6)web方式提交证书申请:[/b]
打开IE浏览器,导航到http://192.168.10.11/certsrv(这是运行证书服务的计算机的IP地址)[/b]
[/b][/b][/b]
[/b]
选择申请一个证书,下一步:[/b]
[/b]
[/b]
选择高级证书申请:[/b]
[/b]
[/b]
在这里选择的是用base64编码:[/b]
复制certreq.txt文件内容到下拉列表框,提交。[/b]
[/b]
出现如下图所示,证书挂起:(注意如果是在域环境,则直接就会颁发,在这里就需要手工颁发了).[/b]
[/b]
[/b]
(7)手工颁发证书:[/b]
打开证书颁发机构,可以查看到挂起的证书,右击所有任务[/b]—[/b]颁发证书:[/b]
[/b]
[/b][/b]
可以看到已经颁发了的证书:[/b]
[/b]
[/b]
(8)下载证书:[/b]
打开IE浏览器,导航到http://192.168.10.11/certsrv(这是运行证书服务的计算机的IP地址)[/b]
选择查看挂起的证书申请的状况:[/b]
选择保存的申请证书,选择下载证书:[/b]
[/b]
下载证书到本地:[/b]
[/b]
(9)安装证书,打开Web服务器,属性-选择目录安全[/b]—[/b]服务器证书:[/b]
[/b]
[/b]
选择处理挂起的请求并安装证书:[/b]
浏览到刚才下载到本地的证书:[/b]
[/b][/b]
(10)查看证书:[/b]
[/b]
发现证书有一个红叉(分析原因:没有添加CA的证书到受信任的根证书颁发机构,接着添加!),注:如果是在域环境下,则不会出现红叉。[/b]
(11)下载CA证书到本地添加到信任的证书机构:[/b]
打开IE浏览器,导航到http://192.168.10.11/certsrv(这是运行证书服务的计算机的IP地址)[/b]
在这里选择下载一个CA证书,证书链或CRL[/b]
接下来下载CA证书到本地[/b]
在运行里输入 mmc打开管理控制台:[/b]
选择添加/删除管理单元[/b]—[/b]选择添加[/b]—[/b]选择证书:[/b]
选择计算机帐户:[/b]
保持默认,完成[/b]
展开管理控制台,选择证书,右击出现所有任务选择导入:如下图:[/b]
导入刚下载CA的证书,如下图:[/b]
[/b]
(12)查看刚才打红叉的证书,现在正常了,如下图:[/b]
[/b]
[/b]
(13)启用安全通道,如图选择编辑:[/b]
勾选“要求安全通道(SSL)”,再勾选要求客户端证书:[/b]
[/b]
(14)客户端访问:[/b]
无法访问原因:客户端没有申请证书:[/b]
(15)客户端申请证书:[/b]
打开IE浏览器,导航到http://192.168.10.11/certsrv(这是运行证书服务的计算机的IP地址)[/b]
选择申请证书,通过浏览器:填写相关内容,提交[/b]
(16)给客户机颁发证书:[/b]
[/b]
(17)客户机下载证书并安装:[/b]
[/b]
证书安装完成:[/b]
[/b]
[/b]
[/b]
(18)客户机访问:[/b]
[/b]
[/b]
总结:[/b]
1. [/b]CA[/b]建好之后,时间和计算机名都不可修改。[/b]
2. [/b]给Web服务器颁发证书时,必须下载CA的证书并且导入到受信任的根证书颁发机构。[/b]
3. [/b]在给Web服务器应用证书时注意一定要勾选“要求安全通道(SSL)”,再勾选“要求客户端证书”。[/b]
4. [/b]在工作组模式下证书颁发需要手工颁发,但在加入域环境下证书是自动颁发的(如果CA是域控,则颁发证书时一定要有域管理员权限的用户才可以申请证书)。[/b]
5.先从IIS的本地网站申请服务证书,生成一个TXT文本文件,再通过IE浏览器把TXT文件里面申请证书信息导入,生成CER文件,最后在IIS里面的服务器证书导入CER文件生成证书。
[/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b]
(2)在开始[/b]—[/b]管理工具中单击证书颁发机构,打开证书颁发机构:[/b]
[/b]
使用IIS管理器,观察默认网站下有certsrv等虚拟目录:[/b]
[/b]
[/b]
[/b]
然后选择安装证书服务:[/b]
[/b]
注意:在这里是工作组模式,所以不出现上面两项(域环境会出现上面两项),如下图:[/b][/b]
[/b][/b]
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 企业CA应用之--Web服务器申请证书(完美版)
- 企业CA应用之--Web服务器申请证书(完美版) 推荐
- 独立根CA服务器的建立及web证书的申请
- ca 服务器的搭建 和证书的申请与颁发
- 企业Web应用以谁为中心:服务器?浏览器?
- 数字证书(CA)的申请、安装及应用
- 客户端数字证书(企业CA证书)登陆---------(1)服务器证书的申请及配置
- 使用Exchange 命令行工具通过企业CA来申请证书
- iOS企业证书申请(包含第二个应用申请流程)
- Lync 2013边缘服务器部署5—向CA申请证书
- 利用用户自己的服务器、tomcat下的解决iOS7.1企业应用无法安装应用程序 因为证书无效的问题
- Web服务器证书应用配置手册(二)
- CA证书服务器(6) 利用CA证书配置安全Web站点
- openssl创建CA、申请证书及其给web服务颁发证书
- Web服务器证书应用配置手册(一)
- 在工作组环境下配置CA并应用到Web服务器和客户端
- Web服务器证书应用配置手册(三)
- Web服务器证书应用配置手册(四)
- 利用用户自己的服务器、tomcat下的解决iOS7.1企业应用无法安装应用程序 因为证书无效的问题
- Openssl应用实例:创建私有CA并申请证书