在windows服务器下完成pki实验（证书服务配置）

由于家庭版无法直接添加pki证书,所以下载虚拟机完成实验

环境：windows11家庭版

一、下载虚拟机和Windows Server

1. 下载虚拟机WMware Workstation Pro 17                                                                                  下载 VMware Workstation Pro | CNhttps://www.vmware.com/cn/products/workstation-pro/workstation-pro-evaluation.html                                                                                                                                            
2. 下载Windows Server 2012 r2           --windwos镜像                                                                   Windows Server 2012 R2 | Microsoft Evaluation Centerhttps://www.microsoft.com/zh-cn/evalcenter/evaluate-windows-server-2012-r2
3. 安装虚拟机和Windows Server                                                                                                     VWWare（虚拟机）下安装 Windows Server 2012 r2 （详细图文）_坚持是唯一的出路的博客-CSDN博客https://blog.csdn.net/weixin_42637993/article/details/102758703?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522167129186416782425681889%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=167129186416782425681889&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-1-102758703-null-null.142%5Ev68%5Econtrol,201%5Ev4%5Eadd_ask,213%5Ev2%5Et3_esquery_v3&utm_term=%E8%99%9A%E6%8B%9F%E6%9C%BA%E5%AE%89%E8%A3%85server2012%E6%95%99%E7%A8%8B&spm=1018.2226.3001.4187    
4. 安装中可能遇到Operating system not found                                                                               安装虚拟机出现Operating system not found_兮兮析的博客-CSDN博客https://blog.csdn.net/Mercurytt/article/details/128364600
5.  虚拟机联网设置  如图：

   

 重启虚拟机

二、pki申请证书实验

域服务：

1、安装
1）打开服务器管理器，如下图：

2）点击添加角色和功能，并且默认下一步
3）选择基于角色和功能的安装，并且默认下一步

4）从服务器池中选择服务器，默认本机，所以直接下一步

5）选择Active Directory域服务，并且添加默认功能（一定要先安装域服务再安装证书服务）

6）默认下一步之后，功能选择项直接选择下一步
7）AD DS界面直接选择下一步，然后确认界面选择安装
8）安装成功

2、配置
1）打开域配置界面，点开右上角黄色的小旗子，点击功能安装的蓝色字体，出现界面，并选择将此服务器配置为域服务器进行配置

2）选择添加新的林，名称随意设定

 

3）接着设置密码，但要注意前面的功能级别一定要为服务器主机的型号，默认会是自己服务器的型号，但有时也会不一样

4）DNS设置提示无法设置，直接选择下一步，在后面安装过程中会默认自动安装DNS服务器
5）NetBIOS名称系统会自己设定，可以直接选择下一步
6）路径也可以直接使用自己默认指定的路径，直接下一步
7）查看选项，直接下一步，从查看脚本中，可以看到脚本中会自动安装前面没有安装的DNS
8）先决条件检查无误，直接下一步进行安装，这一步如果出现错误，可以根据报错来进行修改，一般都是有其他服务运行出现冲突的结果
9）安装配置
这里安装需要一段时间，配置完成后，主机会自动重启，并且自动开机后，会使用一段时间来更新配置。

3、将域服务器添加到要管理的本地服务器中
1）选择要添加的其他服务器

 

2）点击后，会查找到服务器，双击选择添加

3）从本地服务器中，可以看到域已经变成了刚才设置的域

 

至此，域配置成功，接下来安装配置证书服务

二、证书服务
1、安装
步骤和安装域服务类似

选择添加角色和功能

【安装类型】如图

【服务器选择】

【服务器角色】选择Active Directory证书服务

【角色服务】选择添加，前面一步不需要选择，直接下一步

后面都直接点击下一步，直到下面这张图开始安装

 

安装成功

2、配置
直接点击安装完成界面上的配置目标服务器上的Active Directory证书服务即可。

1）凭据会自动添加，直接点击下一步
2）角色服务将刚才安装的选择

3）指定类型一定要为企业CA，如果这一个选项为灰色不可选，需要看一看域配置是否正确

 

 
4）CA类型选择默认，默认为根CA，直接下一步
5）私钥类型选择默认，创建新的私钥，直接下一步
6）选择加密算法，默认即可，下一步
7）CA名称主机会直接默认生成，不用修改默认即可
8）选择有效期，默认为5年

9）数据库位置也会自动生成，下一步
10）CEP身份验证类型，默认下一步

11）因为目前并没有设置ssl加密使用的现有证书，所以选择稍后为ssl分配

12）确认，开始配置
13）配置成功

此时，CA证书服务安装配置成功，可以在IIS上面添加证书并开始测试

工具栏中打开证书颁发机构，可以看到里面存在证书模板这一项，表示配置成功

三、IIS中进行添加签名证书服务测试并验证证书是否是这个服务器主机颁发的
1、在IIS中添加签名证书
1）在工具栏中打开IIS服务器

 

2）选择服务器证书

3）进行申请，点开之后选择创建证书申请，填写以下信息

通用名称可以自己写

 

4）点击下一步，直接选择一个路径，创建一个文件，只需输入文件名即可，不需要写入内容

5）打开那个文本文档，并复制里面的内容，如下图：

 

6）复制完成后，从shell里面可以看到本机的ip地址

①通过访问并输入主机用户名密码可以得到

②选择申请证书，再选择高级证书申请，选择使用base64编码申请

 

③将之前文档中复制的所有内容粘贴到文本框中，证书模板选择“WEB服务器“，并提交申请

7）此时会出现以下页面

 

 8）如果没有出现第七步的页面：

①点击菜单栏虚拟机-安装VWware Tools

②安装成功后在主机上下载360浏览器的驱动，Ctrl+C复制，Ctrl+V粘贴到虚拟机里，点击exe运行安装360浏览器

 

 ③用360浏览器重复6）的①②③步

 将证书下载下来

10）完成证书申请
先选择下载证书到本地，然后打开IIS管理器，完成证书申请

此时，就可以看到服务器证书中多了一个我们添加的站点，如下图：

 
11）查看证书信息如下图

四、可以通过https进行证书验证访问

在IIS里面通过对https进行设置ssl证书为新添加的证书

 

用浏览器进行查看

可以看到证书的信息的确为刚才添加的证书

---

 
参考资料：https://blog.csdn.net/lcl_xiaowugui/article/details/78746076