证书服务应用

环境：一台域控制器server 2008，一台客户端

目的：加密数据

步骤：

1. 在域控制器上的“管理工具”中打开“服务器管理器”，选择“角色”，点击“添加角色”。

2. 在“选择服务器角色”窗口中，选择“Active Directory证书服务”，然后点击“下一步”。如图所示：

3. 在“证书服务简介”窗口中，直接点击“下一步”。

4. 在“选择角色服务”窗口中，选择“证书颁发机构”和“证书颁发机构Web注册”，在弹出的对话窗口中，点击“添加必须的角色服务”，然后点击“下一步”。如图所示：

5. 在“指定安装类型”窗口中，选择“企业”，然后点击“下一步”。如图所示：

注：企业CA的主要特点：    
企业CA需要AD服务，即计算机在活动目录中才可以使用。    
当安装企业根CA时，对于域中的所有用户和计算机，都会被自动添加到受信任的 根证书颁发机构的证书存储区中。    
必须是域管理员，或是对AD具有写权限的管理员，才能安装企业根CA。    
独立CA的主要特点：    
独立CA不需要使用AD目录服务。独立CA可以在涉及Extranet和Internet时使用。    
向独立CA提交证书申请时，证书申请者必须在证书申请中明确提供所有关于自己 的标识信息以及所需的证书类型（向企业CA提交证书申请时无需提供这些信息，因为企业用户的信息已经在AD中。）    
默认情况下，发送到独立CA的所有证书申请都被设置为挂起，直到独立CA的管理员验证申请者的身份并批准申请。这完全是出于安全性的考虑，因为证书申请者的凭证还没有被独立CA验证。

6. 在“指定CA类型”窗口中，选择“根CA”，然后点击“下一步”。如图所示：

7. 在“设置私钥”窗口中，选择“新建私钥”，然后点击“下一步”。如图所示：

8. 在“为CA配置加密”窗口中，使用默认设置，然后点击“下一步”。如图所示：

9. 在“配置CA名称”窗口中，使用默认配置，然后点击“下一步”。如图所示：

10. 在“设置有限期”窗口中，使用默认设置，然后点击“下一步”。如图所示：

注：证书只有在指定的期限内有效，每个证书都包含“有效起始日期”和“有效终止日期”，这两个值设置了有效期的期限。一旦过了证书的有效期，到期证书的使用者就必须申请一个新的证书。

11. 在“配置证书数据库”窗口中，可以修改数据库存放的位置和数据库日志存放的位置，也可以使用默认配置，然后点击“下一步”。如图所示：

12. 在“Web服务器简介”界面，直接点击“下一步”。

13. 在“选择角色服务”窗口中，使用默认为Web服务器添加的角色服务，然后点击“下一步”。

14. 点击“安装”，完成角色添加后，点击“关闭”。

15. 安装完成后可以从“管理工具”中选择“CA（Certification Authority）”，打开证书颁发机构管理器，管理证书的颁发。如图所示：

16. 在域控制器上的“管理工具”中打开“Internet 信息服务（IIS）管理器”，在左侧的窗口中点击服务器名称，双击中间窗口的“服务器证书”。如图所示：

17. 点击右侧窗口的“创建证书申请”。如图所示：

18. 在“可分辨名称属性”窗口中，输入证书的必须信息，然后点击“下一步”。如图所示：

19. 在“加密舒服提供程序属性”窗口中，使用默认的加密程序和密钥长度，然后点击“下一步”。如图所示：

20. 在“文件名”窗口中，为该证书申请指定一个文件名和保存位置，然后点击“完成”。如图所示：

注：打开证书申请文件“C：\webcer.txt”，可见证书申请文件是Base64编码。如图所示：

21. 复制证书申请文件内的全部内容。使用浏览器“http：//192.168.1.1/certsrv”链接到证书服务器的虚拟目录，点击“申请证书”。如图所示：

22. 在“申请一个证书”页面，点击“高级证书申请”。如图所示：

23. 在“高级证书申请”页面，选择第2项，使用Base64编码的证书申请。如图所示：

24. 在“提交一个证书申请或续订申请”页面，将复制的证书申请内容粘贴到“保存的申请：”文本框中，在“证书模板”下拉列表框中选择“Web服务器”，点击“提交”。如图所示：

25. 在域环境下申请的证书，提交申请后会直接进入“证书已颁发”页面，选择“Base64编码”，点击“下载证书”，将证书保存到本地，如图所示：

注：如果使用的是企业CA，在提交申请后CA会自动颁发证书。如果是独立CA，则还需要人工操作颁发证书。打开独立CA，在左侧窗口选择“挂起的申请”，在右侧窗口右键申请，在弹出的菜单中，选择“所有人物”→“颁发”，为该申请颁发证书。证书颁发完成后，在“证书已颁发”页面，选择“Base64编码”，下载证书。如上图所示：

26. 在如下图所示窗口中，点击右侧窗口中的“完成证书申请”。

27. 在“指定证书颁发机构响应”窗口中，输入CA响应文件（已下载的数字证书文件）的路径和文件名，并给该文件起个好记的名字，然后点击“下一步”。如图所示：

28. 展开“Internet信息服务（IIS）管理器”左侧窗口的节点树，选择需要使用该证书的站点，单机右侧窗口中的“绑定”。

29. 在“网站绑定”窗口中，点击“添加”。

30. 在“添加网站绑定”窗口中，选择类型为“https”，选择SSL证书为先前安装的证书“Web”，使用默认“443”端口，然后点击“确定”。如图所示：

31. 当为站点设置https类型的绑定后，还需要修改该站点的SSL设置。展开“Internet信息服务（IIS）管理器”，左侧窗口中的节点树，选择需要配置SSL的站点，双击中间功能窗口的“SSL设置”。如图所示：

32. 如果需要强制用户都使用SSL方式链接站点，则选择“要求SSL”。选择此项后不管站点是否有https类型的绑定，用户都只能以https方式连接站点。选择“要求SSL”后可以进一步先择“需要128位SSL”，使用128 为密钥加密SSL通信。

在“SSL设置”页面还可以设置是否需要客户端证书。  
忽略：无论用户是否拥有证书，都将被授予访问权限。客户端不需要申请和安装客户端证书。    
接受：用户可以使用客户端证书访问资源，但证书并不是必须的。客户端不需要申请和安装客户端证书。    
必须：服务器在将用户与资源连接之前要验证客户端证书。客户端必须申请和安装客户端证书，例如“用户”证书。    
如图所示：

33. 当安装证书并为站点添加了https类型的绑定后，用户就可以使用https方式（https：//192.168.1.1）和站点建立连接。当用户以https访问时，系统会弹出以下如图所示的安全警报窗口。

住：如果没有在“SSL设置”页面选择“要求SSL”，并且站点还有https类型的绑定，那么用户还可以使用https方式访问该站点。如果选择了“要求SSL”，当用户使用https方式访问时将会弹出错误提示。    
当证书有Internet上的公信CA颁发或同一个域内的企业CA颁发时，不会出现如上图所示的安全警报。另外，由于浏览器版本的不同，安全警报的显示方式可能会有所不同。