Windows server 2008安装企业CA证书服务

Windowsserver上CA证书的建立颁发安装一、测试环境配置 (1)1、win2003系统_1 (1)1.1. 安装IIS以承载CA证书服务 (1)1.2. 安装证书服务，CA的公用名称设置为TestCA (1)2、win2003系统_2 (2)2.1. 安装IIS (2)3、win2003系统_3 (2)二、配置过程 (3)1、win2003系统_2申请并配置IIS 的SSL的服务端证书 (3)1.1. 生成证书申请文件 (3)1.2. 提交证书申请 (8)1.3. 颁发证书 (8)1.4. 上安装证书 (9)1.5. 将web站点配置为要求SSL 访问 (11)1.6. 测试IE使用SSL浏览 (11)2、win2003系统_3申请安装客户端证书ClientCert2003 (12)3、在win2003系统_2上设置客户证书映射 (12)3.1. Web服务器上导入客户端证书 (12)3.2. 导入客户端证书的根证书 (13)3.3. 设置IIS中网站的客户端证书映射 (16)3.4. Web网站读取客户端映射的windows账户 (18)三、测试 (18)本文给出了如何配置IIS通过SSL安全通道进行访问的方法，并在此基础上详细讨论了IIS 如何设置要求对客户端提供客户端证书进行身份验证。

IIS端SSL服务器证书申请和安装，从而配置SSL安全访问通道。

客户端证书的申请和安装，IIS端如何映射客户端证书到服务器上的windows账户等等。

一、测试环境配置准备三台机器，都是windows 2003操作系统，每台机器的作用，和其上需要安装的服务和配置如下：1、win2003系统_1ip：192.168.1.11机器名：win2003base1服务器作用：这个服务器是用来安装证书服务，作为一个CA提供证书服务。

1.1.安装IIS以承载CA证书服务1.2.安装证书服务，CA的公用名称设置为TestCA在安装证书服务过程中会生成一个证书服务的证书，一个自己颁给自己的证书作为这个CA的根证书：在安装了证书服务后，会把这个TestCA证书保存证书存储区的多个位置：●本地计算机存储区中的“个人”、“受信任的根证书颁发机构”、“中级证书颁发机构”，其中在“中级证书颁发机构”下的“证书”和“证书吊销列表”中都有（为什么会出现在“证书吊销列表”中？）。

CA的架设与证书的管理阶段一一、实验目的CA服务器为客户端提供CA证书服务二、实验环境1、在一台windows server 2008 r2 操作系统上安装DNS服务器并兼CA服务器，主机名为king1King1配置为IP：192.168.1.250、NDS：192.168.1.250、网关：192.168.1.2542、客户端为XP系统，配置为IP：192.168.1.1、NDS：192.168.1.250、网关：192.168.1.254三、安装ADCS与架设根CA1、选择“角色”，然后选择“添加角色”勾选“Active Directory证书服务”，然后点击下一步向导”界面，点击“添加所需要的角色服务”3、完成后点击下一步注意要点：（1）工作组环境只能选择独立CA，不能选择企业CA（2）AD域环境下，企业CA和独立CA都能选择（3）如果网络中没有根CA，一定要先安装根CA创建CA根4、私钥要创建新的，因为没有旧的5、加密，选择默认的加密程序及算法秘钥长度，越长加密越强，但效率越低6、填写一个CA公用名称，此处填写的是robin-CA，域环境下需要填写可分辨名称后缀7、根证书默认时长为5年8、路径可以更改，此处默认9、点击安装后选择下一把步10、安装完成后显示的界面四、根证书的申请以及客户端信任CA设置1、在客户端浏览器上输入/certsrv或IP地址：192.168.1.250/certsrv来进行访问，然后选择页面中的“下载CA 证书、证书链或CRL（证书吊销列表）”2、在win7或R2中，会因为IE阻止此站点以不安全的方式使用ActiveX控件导致网页显示不正确，以至于不能直接选择安装此CA的证书链。

因此需要下载证书或证书链。

我们这里点击“下载CA证书链”。

3、默认证书或证书链的名字为“certnew.p7b”,这里保存到桌面4、保存效果如下图5、右键单击安装证书5、指定放入存储区，点击下一步6、下一步完成后直到导入证书成功7、在客户端Internet选项上点击--内容--证书，可以查看到已经安装到root-CA的证书五、证书的管理1、CA证书的备份与还原（1）备份操作设置一个强密码备份完成（2）还原操作还原完成2、管理证书模板非域环境，显示不了，这里略企业CA提供了许多其他模板，需要先开启，用户才可申请。

1.4 习题一、填空题（1）Windows Server 2008 R2版本共有6个，每个Windows Server 2008 R2都提供了关键功能，这6个版本是：、、、、、。

（2）Windows Server 2008所支持的文件系统包括、、。

Windows Server 2008系统只能安装在文件系统分区。

（3）Windows Server 2008有多种安装方式，分别适用于不同的环境，选择合适的安装方式可以提高工作效率。

除了常规的使用DVD启动安装方式以外，还有、及。

（4）安装Windows Server 2008 R2时，内存至少不低于，硬盘的可用空间不低于。

并且只支持位版本。

（5）Windows Server 2008要管理员口令要求必须符合以下条件：①至少6个字符；②不包含用户账户名称超过两个以上连续字符；③包含、大写字母（A～Z）、小写字母（a～z）4组字符中的3组。

（6）Windows Server 2008中的，相当于Windows Server 2003中的Windows 组件。

（7）Windows Server 2008安装完成后，为了保证能够长期正常使用，必须和其他版本的Windows操作系统一样进行激活，否则只能够试用。

（8）页面文件所使用的文件名是根目录下的，不要轻易删除该文件，否则可能会导致系统的崩溃。

（9）对于虚拟内存的大小，建议为实际内存的。

（10）MMC有和模式。

二、选择题（1）在Windows Server 2008系统中，如果要输入DOS命令，则在“运行”对话框中输入（）。

A、CMDB、MMCC、AUTOEXED、TTY（2）Windows Server 2008系统安装时生成的Documents and Settings、Windows以及Windows\System32文件夹是不能随意更改的，因为它们是（）。

A、Windows的桌面B、Windows正常运行时所必需的应用软件文件夹C、Windows正常运行时所必需的用户文件夹D、Windows正常运行时所必需的系统文件夹（3）有一台服务器的操作系统是Windows Server 2003，文件系统是NTFS，无任何分区，现要求对该服务进行Windows Server 2008的安装，保留原数据，但不保留操作系统，应使用下列（）种方法进行安装才能满足需求。

CA认证软件安装与配置文档一、服务器端设备证书安装与配置系统安装分为两种情况：WINDOWS平台安装和UNIX平台安装。

1.WINDOWS平台安装1.1.在安装前先插好设备证书载体（USBKEY）。

1.2.运行安装光盘中的windows.exe安装文件，按窗口提示，点击“下一步”。

1.3.在安装过程中出现“设备证书导出工具”窗口，根据不同应用系统输入不同的“输出文件名”。

对于联网监测应用输入“HRSIND”；对于基金监管应用输入“SIFS”；对于异地总线输入“RDTB”。

异地总线请选择“导出C环境使用证书”，其他各个系统选择“JAVA环境使用证书”。

1．4点击“导出证书”按钮后，出现如下提示窗口，窗口中“输入证书保护口令”使用系统默认口令，不需要修改。

点击确定后，系统会导出相应的设备证书和有关文件。

1．5安装完毕，显示如下画面，单击“完成”即可完成安装。

注：安装完成后，在系统的C:\Program Files\目录下会产生hrssca文件夹。

1．6配置证书列表更新服务器域名打开并编辑C:\WINDOWS\system32\drivers\etc\hosts文件，在最后一行添加：“ldap.mohrss”。

1．7运行证书列表更新服务程序进入C:\Program Files\hrssca\CRL_EXE目录或“桌面”，运行run.bat，会出现相应的运行窗口（此窗口不能关闭，否则CRL列表文件无法及时更新）：1．8检查C:\Program Files\hrssca\CRL目录下是否已产生crlFile.crl文件。

如果有，则部署成功；如果没有，请检查当前服务器与部端网络是否通畅，可通过“ping ldap.mohrss”进行网络检查。

2.UNIX平台安装2．1在安装有WINDOWS操作系统的终端上，运行安装光盘中的unix.exe 安装文件。

2．2按照“WINDOWS平台安装”的操作步骤进行安装。

2．3安装完成后，在系统的C:\Program Files\目录下会产生hrssca文件夹，请将此文件夹拷贝到需要部署的UNIX服务器中的/usr/local目录下。

Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装2008-09-2410:03安装准备：插入Windows Server 2003 系统安装光盘添加IIS组件：点击‘确定'，安装完毕后，查看IIS管理器，如下：添加”证书服务“组件如果您的机器没有安装活动目录，在勾选以上‘证书服务'时，将弹出如下窗口：由于我们将要安装的是独立CA，所以不需要安装活动目录，点击‘是'，窗口跳向如下：默认情况下，‘用自定义设置生成密钥对和CA证书'没有勾选，我们勾选之后点击‘下一步'可以进行密钥算法的选择：Microsoft 证书服务的默认CSP为：Microsoft Strong CryptographicProvider，默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。

点击‘下一步'：填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀'中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。

点击‘下一步'点击‘下一步'进入组件的安装，安装过程中可能弹出如下窗口：单击‘是'，继续安装，可能再弹出如下窗口：由于安装证书服务的时候系统会自动在IIS中（这也是为什么必须先安装IIS的原因）添加证书申请服务，该服务系统用ASP写就，所以必须为IIS启用ASP功能，点击‘是'继续安装：‘完成'证书服务的安装。

开始 --》管理工具 --》证书颁发机构，打开如下窗口：我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。

此时该服务器（CA）的IIS下多出以下几项：我们可以通过在浏览器中输入以下网址进行数字证书的申请：http://hostname/certsrv或http://hostip/certsrv申请界面如下：。

WindowsCA_证书服务器配置Windows CA证书服务器配置指南一、引言Windows CA（Certificate Authority）是一种权威的证书颁发机构，负责为组织内部或互联网上的计算机、用户或设备颁发数字证书。

数字证书是一种用于验证实体身份的电子文档，可用于确保通信的安全性和完整性。

本文将详细介绍Windows CA证书服务器的配置方法，帮助您完成证书颁发的整个流程。

二、配置步骤1、安装证书服务在Windows服务器上安装证书服务，可以打开“服务器管理器”，然后从“角色”页面选择“添加角色”。

在“角色”对话框中，选择“证书”，然后按照向导完成安装。

2、创建根CA在安装完证书服务后，需要创建一个根CA。

在“服务器管理器”中，打开“证书”并选择“根CA”。

在“根CA”对话框中，输入CA的名称和其他相关信息，然后按照向导完成创建。

3、配置颁发机构策略在创建完根CA后，需要配置颁发机构策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“策略”选项卡，然后根据需要进行配置。

例如，可以设置证书的有效期、设置证书的主题和其他相关信息等。

4、配置申请策略在配置完颁发机构策略后，需要配置申请策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请”选项卡，然后根据需要进行配置。

例如，可以设置申请者的身份验证方法和证书模板等。

5、接受申请当有用户或设备需要申请数字证书时，需要在证书服务器上接受申请。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请队列”选项卡，然后双击需要处理的申请。

在“处理申请”对话框中，选择处理方式（例如自动批准或手动批准），然后按照向导完成处理。

6、颁发证书在处理完申请后，需要颁发数字证书。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“已颁发的证书”选项卡，然后双击需要颁发的证书。

第二章安装Windows server2008企业版一、实验目的1．创建Windows Server 2008虚拟机2．在虚拟机中安装操作系统Windows Server2008企业版二、实验拓扑（忽略）三、实验步骤1 桌面打开虚拟机新建虚拟机，选择标准点击下一步（如下图）2 然后选择第三个我将操作系统以后安装下一步（如下图）.3 如下图界面选择windows 版本选择windows server 2008 下一步4 如下图虚拟机名称随便起名位置除了系统盘存到其他空间比较大点的盘然后下一步5 如下图最大磁盘建议为40.0 点击下一步再下一步6 如下图选择CPU（processors）双击打开窗口7 如下图选择CPU双核2 点击OK8 如下图然后选择第三项CD/DVD （IDE）双击打开窗口9 如下图选择use ISO image file 在本地电脑找到镜像压缩包位置点击OK界面11 如下图可做选择或者默认点击下一步12. 如下图鼠标点击现在安装13. 如下图界面选择第二项操作系统windows server2008 Enterprise (完全安装)然后点击下一步。

14. 如下图选择打勾我接受许可条款点击下一步15. 如下图界面选择自定义（高级）点击进入下一步16. 如下图鼠标左击磁盘然后左点击下方驱动器选项（高级）17. 如下图选择新建（添加磁盘）18. 如下图主分区大小40960MB 把主分区分配成30960 然后点击应用分配出个磁盘19. 如下图选择主分区点击下方格式化（F）然后点击下一步20. 如下图进入操作系统安装状态界面（等待…时间会有点久）安装完毕后会自动重启。

21.如下图设置管理员密码先点击确定22. 如下图设置系统管理员密码设置好了后选择向右方向的箭头点击23. 如下图管理员密码更改成功点击确认24. 进入操作系统桌面，安装完毕。

四、实验总结在虚拟机中安装操作系统Windows Server 2008企业版，最后得出安装成功。

实验7 Windows Server 2008 R2中的证书服务1 实验目的通过实验掌握Windows Server 2008 R2中证书服务的安装与使用。

2 实验环境VMware中两台Windows Server 2008 R2计算机：Win2008R2与CWin2008R2，一台XP/Win7客户机，它们之间均可以互相访问。

服务器Win2008R2的IP地址假定为192.168.10.2，CWin2008R2的IP地址为192.168.10.3。

3 实验原理3.1 Wind ows Server 2008 R2中证书服务的特点证书与生活中的“证书”功能相似，都是由信任的证书颁发机构或第三方机构颁发的，并且不同的证书只能应用于特定的领域。

数字证书是一段由证书颁发机构（CA）数字签名、包含用户身份信息和用户公钥信息以及身份验证机构数字签名的数据，用于代表用户的身份。

其中，身份验证机构的数字签名可以确定证书信息的真实性，而用户公钥信息可以保证数字信息传输的完整性，用户的数字签名可以保证数字信息的不可否认性。

Windows Server 2008 R2中集成的PKI（Public Key Infrastructure，公共密钥基础结构）系统提供了证书服务功能，可以让用户通过Internet/Extranet/Intranet安全地交互敏感信息，以确保电子邮件、电子商务交易、文件发送等各类数据的安全性。

Windows Server 2008 R2通过创建一个证书机构CA（Certification Authority认证中心）来管理其公钥基础设施PKI，以提供证书服务。

一个CA通过发布证书来确认用户公钥和其他属性的绑定关系，以提供对用户身份的证明。

Windows Server 2008 R2证书服务创建的CA 可以接收证书请求、验证请求信息和请求者身份、颁发和撤销证书，以及发布证书废除列表CRL（Certificate Revocation List）。