Windows server配置生成认证证书（下）

疫情还没过去，海外的疫情形势依旧不如乐观，国内也不能盲目松懈。估计以后远程办公会成为一种新趋势，那么SSL VPN肯定还会推广使用。之前实验中涉及，SSL VPN是需要证书进行SSL加解密的。

今天，就以Windows Server 2008 R2生成证书为例，做一个操作演示。

根证书申请

使用浏览器访问证书申请页面http://192.168.100.112/certsrv/，点击“下载CA证书、证书链或CRL”。

 

选择编码方式为“Base 64”，点击“下载CA证书”，即可获取名为“certnew.cer”的根证书文件。

 

服务器和客户端身份验证证书申请

点击右上角“主页”，返回主页。点击“申请证书”。

 

在证书申请页面点击“高级证书申请”。

 

不同浏览器因为兼容性问题显示不同，使用chrome浏览器弹出页面如下：

 

使用IE8浏览器显示页面如下，这才是我们需要的页面，chrome浏览器直接进入了下面的链接中。这里，我们点击“创建并向此CA提交一个申请”。

 

页面提示需要使用ActiveX控件，并且需要将CA的网站配置为HTTPS身份认证，点击“确定”。

 

在“Internet选项”→“安全”中，添加该站点，并设置“自定义级别”。主要为启用ActiveX控件等相关设置，否则无法点击提交。

 

设置完成后，申请服务器身份验证证书，识别信息中“国家/地区”处必须填入大写的“CN”；秘钥选项中，勾选“标记秘钥为可导出”，其他保持默认即可，点击“提交”。

 

提交之后会提示“证书正在挂起”。

 

返回到证书申请页面，申请“客户端身份验证证书”，切换“需要的证书类型”为“客户端身份验证证书”即可，其他和服务器证书申请相同，注意勾选“标记秘钥为可导出”。

 

返回主页，可以通过“查看挂起的证书申请状态”查看申请状态。

 

点击进入，可以看到两次申请。

 

点进去看到状态为“证书正在挂起”。

 

证书颁发

在“服务器管理器”→“角色”→“Active Directory证书服务”下，点击服务器，可查看“挂起的申请”详情。

 

在申请上右击，选择“所有任务”→“颁发”，即可完成证书颁发。

 

证书安装

返回主页，再次通过“查看挂起的证书申请状态”查看申请状态。

 

点击申请，可以看到证书已颁发。

 

直接点击“安装此证书”，即可完成安装。重复操作完成两个证书的安装。

 

证书导出

打开IE浏览器，进入“Internet选项”→“内容”→“证书”，选择证书后点击“导出”即可将证书导出为独立的文件。

 

证书导出向导的第一屏，直接“下一步”。

 

导出私钥，启动私钥密码保护，选择“是，导出私钥”。

 

导出文件格式选择默认即可。

 

设置导出密码，我这里设置为guotiejun，点击“下一步”。

 

指定要导出的文件名。点击浏览选择位置并设置名称，客户端证书的名称我设置成了client，和服务器证书进行区分。

 

证书导出向导完成，文件生成到指定目录下。

 

相同操作，导出服务器证书。本次操作生成的三个证书如下：