Windows 2003 CA 证书服务器配置

实验 5-1 CA证书的安装、申请及在Web中的应用1、实验目的通过观察和动手实验，使学生更深入理解PKI公钥基础设施中数字证书的作用，以win2003 server CA中心为例，学会客户端如何从独立CA中心申请数字证书，CA中心如何签发证书。

2、实验原理2.1 PKI基础PKI (Pubic Key Infrastructure)是一个用公钥密码学技术来实施和提供安全服务的安全基础设施，它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。

PKI基于数字证书基础之上，使用户在虚拟的网络环境下能够验证相互之间的身份，并提供敏感信息传输的机密性、完整性和不可否认性，为电子商务交易的安全提供了基本保障。

一个典型的PKI系统应包括如下组件：（1）安全策略安全策略建立和定义了组织或企业信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。

（2）证书操作阐述CPS（Certificate Practice Statement）一些PKI系统往往由商业证书发放机构(CCA)或者可信的第三方来对外提供服务，所以需要提供CPS给其使用者参考，以供其了解详细的运作机理。

CPS是一些操作过程的详细文档，一般包括CA是如何建立和运作的，证书是如何发行、接收和废除的，密钥是如何产生、注册和认证的等内容。

（3）证书认证机构CA（Certificate Authority）CA系统是PKI的核心部分，因为它管理公钥的整个生命周期。

CA的作用主要包括如下几个方面：发放证书，用数字签名绑定用户或系统的识别号和公钥。

规定证书的有效期。

通过发布证书废除列表（CRL）确保必要时可以废除证书。

（4）注册机构RA（Registration Authority）RA是CA的组成部分，是用户向CA申请服务的注册机构，它负责接收用户的证书申请，审核用户的身份，并为用户向CA提出证书请求，最后将申请的证书发放给用户。

远程桌面SSL设置说明————服务器与客户端均有证书首先要将服务器升级到最新版本windows2003，然后还需要通过windows update或网站将service packet 1补丁包安装。

因为只有安装了SP1的Windows2003才具备通过SSL 加密的远程桌面功能。

以下所有操作都是对服务器而言的，只有服务器经过设置容许支持SSL加密认证，客户端才可以通过远程桌面访问程序正常连接。

1.安装证书服务：第一步：默认情况下windows2003没有安装证书服务，我们通过控制面板的添加/删除windows组件来安装“证书服务”。

（如图8）图8 点击看大图第二步：在CA证书类型中选择“独立根CA”，然后点“下一步”继续。

（如图9）图9 点击看大图第三步：在CA识别信息窗口中为安装的CA起一个公用名称——softer，可分辨名称后缀处空白不填写，有效期限保持默认5年即可。

（如图10）图10 点击看大图第四步：在证书数据库设置窗口我们保持默认即可，因为只有保证默认目录（windows\system32\certlog）系统才会根据证书类型自动分类和调用。

点“下一步”后继续。

（如图11）图11 点击看大图第五步：配置好安装证书所需要的参数后系统就开始安装该组件，当然在安装过程中会提示要求插入WINDOWS2003系统光盘。

（如图12）图12 点击看大图第六步：插入光盘找到系统文件后继续安装，在安装服务的最后系统会提示“要容许证书服务需要启用IIS的ASP功能”，我们选择“是”来启用ASP。

（如图13）图13 点击看大图第七步：完成CA证书服务的windows组件安装工作。

（如图14）图14 点击看大图小提示：如果windows2003没有安装IIS组件的话还需要按照上面介绍的方法将IIS 组件也安装。

2.设置证书服务参数：默认情况下证书类型不是我们本次操作所需要的，所以还需要对其进行修改设置。

第一步：通过任务栏的“开始->程序->管理工具->证书颁发机构”来打开证书设置窗口。

数字证书证书安装使用说明1、使用环境要求：A）使用Windows操作系统，包括winXP,win2003等；B）浏览器使用IE7.0以上版本。

2、安装数字证书系统用户发放的都是无驱的USB-Key数字证书，这里讲解主要以无驱USB-Key安装为主。

第一步：把USB-Key插入电脑USB接口处，系统会自动运行安装驱动程序，安装完毕后在电脑右下方任务栏里会出现样式的图标。

提示：1）、如果在插入USB-Key后不能自动运行安装驱动程序，需要点击“我的电脑”中产生的虚拟光驱图标，打开后双击文件即可。

2）双击安装文件后若电脑右下方任务栏里没有出现样式的图标，点击“开始”-“程序”-“海泰方圆”-“用户工具”，驱动就会加载成功。

3）、安装过程中，如果有杀毒软件（如瑞星）、360安全卫士、3721等软件出现阻止安装的提示，全部允许，或点击信任，或者将其添加信任为白名单。

如360安全卫士所示。

第二步：修改PIN密码重要提示：首次使用证书，请先修改PIN码。

每个证书都具有PIN码（硬件保护密码），初始设置为“111111”，为保证安全，可以通过如下方法修改PIN码：在操作系统能正常识别USB-Key后，双击电脑右下方任务栏里图标，打开后在PIN码管理处，输入初始的PIN码（111111），两次输入新的PIN码并确认，PIN码修改完成，如下图。

提示：请牢记该PIN码，如果PIN码多次输入错误，为保证证书安全，USB-Key 将自动锁定，锁定后将无法进行正常操作。

这时请您拨打陕西省数字证书认证中心客服电话400-0506-369进行解锁申请。

第三步：查看数字证书信息点击用户工具上的“证书管理”，可以看到USB-Key里面的证书，点击一个点击右下角“查看”按钮，就可以看到证书的一些信息，如下图。

提示：这里看到两个证书，这是根据国家的标准规定，我国发放的数字证书都是双证书类型，包括一个签名证书和一个加密证书。

两个证书主体名称相同，但用途不一样，签名证书只能用于对数据进行数字签名，并代表用户的真实身份；加密证书则只能用于对数据进行加密或解密，不能用于数字签名，用户在应用时应用程序会调用合适证书。

1、Windows server 2003的安装（1）实验目的：通过本实例的学习，让我们学会为服务器选择合适的操作系统并进行安装。

（2）实验环境：windows server 2003 +VMware workstation（3）实验步骤：1）打开虚拟机，安装windows server 2003，单击“下一步”；2）选好系统镜像所在位置，单击“下一步”；3)输入密钥，单击“下一步”；4）选择系统所安装磁盘大小，单击“下一步”；5）等待系统的安装6）安装好了的界面。

再此虚拟机上需要安装两个相同的windows server 2003系统，一个当作服务器，另一个作客户机。

6）配置服务器和主机的IP：网络基础配置，右键单击“网上邻居”，从菜单中选择“属性”命令。

打开网络连接。

在“此连接使用下列项目”列表框中选择“internet协议”组件。

单击“属性”按钮，打开对话框，设置服务器的IP，子网掩码是自动生成的；同理在设置客户机的IP要与主机的IP不一样；（4）遇到的问题及解决方法：网络号的作用，是划分子网。

（5）实验总结：本次在虚拟机上安装windows server 2003系统，使我第一次接触到windows server 2003这个系统，更加深入的了解了windows server 2003系统中的构造，觉得它与windows XP很相似，就是视觉上没有XP漂亮；学会了如何配置IP，如何通过DOS来查看IP地址。

2、FTP服务器搭建与配置（1）实验目的：利用IIS创建FTP站点，管理FTP站点。

（2）实验环境：windows server 2003 +VMware workstation+IIS（3）实验步骤：1)安装FTP在“控制面板”上找到“添加或删除程序”选中“应用程序服务器”，单击“详细信息”再选中“Internet 信息服务（IIS）”，单击“详细信息”，把“文件传输协议（FTP）服务”选上，单击“确定”至此成功安装了FTP组件；2）配置FTP服务器右键单击“我的电脑”图标，弹出的快捷菜单中选择“管理”命令。

Windows 2003 终端服务器设置详解进入开始菜单——控制面板的，选择进入添加/删除组件界面组件的第一个不要选，如果打了√，要把√去掉选择下面的两个组件点击下一步，进行添加下一步选择宽松安全模式，下一步选择“使用自动搜索的许可证服务器”，下一步选择“每设备授权模式”下一步然后选择windows2003的i386文件夹路径进行安装完成重启电脑重启完之后进入开始菜单——所有程序——管理工具——终端服务器授权选择服务器，右键选激活服务器下一步选择电话激活，下一步选择地区——中国，下一步记住上面得到的产品ID，等会要用到/*****************************************************************************/ 这时候打开IE浏览器输入https:///打开网页语言那里选择Chinese（Simplified），然后点击啊旁边的图标，把语言换成中文点击下一步产品ID那里填入刚才得到的ID，姓、名、公司随便填，国家当然选中国啦，下一步下一步选“是”许可证程序那里选“Enterprise Agreement”，下一步产品类型选"Windows 2003终端服务“每设备”客户端访问许可证" 数量填100协议号码填4954438下一步下一步到此界面时，就得到了我们要的两组ID不要点结束，先记下这两组ID，回到刚刚“终端服务器授权”的界面，输入上面两组ID中下面的那组ID下一步下一步下一步填入两组ID中上面的那组ID，下一步点击完成。

激活完成进入开始菜单——运行，输入gpedit.msc，确定选择计算机配置——管理模板——windows组件——终端服务在“终端服务”的右边窗口选择“限制终端服务用户到一个远程会话”双击“限制终端服务用户到一个远程会话”，进入属性设置选择“已禁用”，点确定所有设置完成，关闭窗口。

HTTPS Web配置举例关键词：HTTPS、SSL、PKI、CA、RA摘要：HTTPS是支持SSL的HTTP协议。

用户可以通过HTTPS协议安全地登录设备，通过Web页面实现对设备的控制。

本文介绍了HTTPS的配置过程。

缩略语：缩略语英文全名中文解释Authority 证书机构CA CertificateHTTPS Hypertext Transfer Protocol Secure 安全超文本传输协议IIS Internet Information Service Internet信息服务MAC Message Authentication Code 消息验证码PKI Public Key Infrastructure 公钥基础设施RA RegistrationAuthority 注册机构SCEP Simple Certificate Enrollment Protocol 简单证书注册协议SSL Secure Sockets Layer 安全套接层目录1 特性简介 (3)2 应用场合 (3)3 配置举例 (3)3.1 组网需求 (3)3.2 配置思路 (4)3.2.1 CA服务器配置思路 (4)3.2.2 HTTPS服务器配置思路 (5)3.3 配置步骤 (5)3.3.1 配置CA服务器 (5)3.3.2 配置HTTPS服务器 (17)3.4 验证结果 (22)1 特性简介对于支持Web管理功能的设备，开启HTTP服务后，设备可以作为Web服务器，允许用户通过HTTP协议登录，并利用Web页面实现对设备的访问和控制。

但是HTTP协议本身不能对Web 服务器的身份进行验证，也不能保证数据传输的私密性，无法提供安全性保证。

为此，设备提供了HTTPS功能，将HTTP和SSL结合，通过SSL对服务器进行验证，对传输的数据进行加密，从而实现了对设备的安全管理。

HTTPS通过SSL协议，从以下几方面提高了安全性：z客户端通过数字证书对服务器进行身份验证，保证客户端访问正确的服务器。

Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装2008-09-2410:03安装准备：插入Windows Server 2003 系统安装光盘添加IIS组件：点击‘确定'，安装完毕后，查看IIS管理器，如下：添加”证书服务“组件如果您的机器没有安装活动目录，在勾选以上‘证书服务'时，将弹出如下窗口：由于我们将要安装的是独立CA，所以不需要安装活动目录，点击‘是'，窗口跳向如下：默认情况下，‘用自定义设置生成密钥对和CA证书'没有勾选，我们勾选之后点击‘下一步'可以进行密钥算法的选择：Microsoft 证书服务的默认CSP为：Microsoft Strong CryptographicProvider，默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。

点击‘下一步'：填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀'中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。

点击‘下一步'点击‘下一步'进入组件的安装，安装过程中可能弹出如下窗口：单击‘是'，继续安装，可能再弹出如下窗口：由于安装证书服务的时候系统会自动在IIS中（这也是为什么必须先安装IIS的原因）添加证书申请服务，该服务系统用ASP写就，所以必须为IIS启用ASP功能，点击‘是'继续安装：‘完成'证书服务的安装。

开始 --》管理工具 --》证书颁发机构，打开如下窗口：我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。

此时该服务器（CA）的IIS下多出以下几项：我们可以通过在浏览器中输入以下网址进行数字证书的申请：http://hostname/certsrv或http://hostip/certsrv申请界面如下：。

关于域控制器和证书服务器分离的部署策略配置过程如下：一．域控制器的配置1．安装DNS服务器。

首先，在服务器上安装WIN 2003 企业版（如果不是企业版，则V2模板有些不能使用）。

安装好WIN 2003系统以后，点击“配置你的服务器向导”，选择“自定义配置”，点中“DNS服务器”，安装DNS服务器，根据提示可以很容易的自行安装。

在此不再赘述。

2．配置AD。

安装好DNS后，再点击“配置你的服务器向导”，选择“自定义配置“，点中“域控制器”，点击“下一步“，等一下，会出现如下界面：选择“新域的域控制器“，点击”下一步”，出现如下界面：选择“在新林中的域”，点击“下一步”，出现如下界面输入新域的域名（例如“”，特别提示，一定要有后缀”.com”且不能和计算机重名）。

然后点击“下一步”，其他页面选择默认或自行更改，出现输入还原密码页面，如下：输入还原模式密码，。

点击“下一步”，剩下的就是等win 自动安装完成就可以了。

然后安装KEY的CSP程序小结：域控制服务器的配制顺序：先安装DNS，然后配置AD。

二．证书服务器的配制1．把另外一台服务器安装WIN2003 企业版，然后加入到按上述方法配制成的域中，即中。

2．安装IIS。

点击“配置你的服务器向导”，安装IIS 服务器。

以上两步皆为常规配制，在此不再赘述。

3．安装域控制器，点击“配置你的服务器向导”，点中“域控制服务器”，当出现下图时，选择“现有域的额外域控制器“，点击”下一步“，出现如下界面：输入用户名（例如，administrator，该用户必须是Domain admins组的成员），密码，域名，点击“下一步“，出现下图：输入还原模式密码，点击“下一步“，对配置文档的存放位置，可以是默认位置，或自行更改位置。

然后一路默认设置，就可以了，WIN 会自动安装完成域控制器4．添加证书服务。

点击“控制面板”－》“添加/删除程序”－》“添加/删除windows 组件”，点中“证书服务”，使其前面的方框中被打上勾，会出现如下一个对话框：选择“是”，点击“下一步”，出现如下：选择“企业根CA”，点击“下一步”，如下图：输入ca的公用名称，和有效年限，点击“下一步“。

Win2003证书服务配置/客户端(服务端)证书申请/IIS站点SSL设置转载自“菩提树下的杨过”一．CA证书服务器安装1．安装证书服务之前要先安装IIS服务并且保证“WEB服务扩展”中的“Active Server Pages”为允许状态2．在“控制面板”中运行“添加或删除程序”，切换到“添加/删除Windows组件”页3．在“Windows组件向导”对话框中，选中“证书服务”选项，接下来选择CA类型，这里选择“独立根CA”4．然后为该CA服务器起个名字(本例中的名字为CntvsServer)，设置证书的有效期限，建议使用默认值“5年”即可，最后指定证书数据库和证书数据库日志的位置后，就完成了证书服务的安装。

5.安装完成后，系统会自动在IIS的默认站点，建几个虚拟目录CertSrc,CertControl,CertEnroll二．客户端证书申请1. 运行Internet Explorer浏览器，在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”。

证书申请页面，输入相应的申请信息，然后点击［申请一个证书］。

接下来选择"Web浏览器证书"填写相关信息2. 系统将处理您提交的申请，此过程可能要等待10秒钟左右。

建议最好记下申请ID（本例为4）三。

客户端证书的颁发打开“管理工具”选择“证书颁发机构”，打开"挂起的申请",右击-->"颁发"四。

客户端证书的下载及安装1.运行Internet Explorer浏览器，在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”,选择“查看挂起的证书申请状态”2.找到自己申请的证书3.安装证书安装完成后，可到IE里查看刚刚安装好的证书五.服务器证书的申请1.以IIS的默认站为例，先右击站点，打开网站属性-->目录安全性-->服务器证书2.按IIS证书向导一步步提交服务器证书申请六。