超详细！！ Windows部署PKI与证书服务 主打一个手把手教学！！！

windows部署PKI与证书服务

安装证书服务

本博主练习时长两年半，超详细步骤，欢迎大家来学习！！！！！！！！

        首先我们先创建部署了域环境的一台windows Server-2016服务器用来部署PKI与证书服务和一台客户端: Windows -7用来验证

        因为在Windows Server 2016操作系统中，证书服务不是Windows 默认的服务，所以需要在系统安装完成后手动添加证书服务。

        （1）打开“服务器管理器”窗口，单击“添加角色与功能”

        （2）一直下一步直至“服务器角色”，勾选“Active Directory 域服务”

        （3）在“选择角色服务”窗口中，选择“证书颁发机构”和“证书颁发机构Web注册”两个复选框，后一直下一步直至“安装”（“证书颁发机构Web注册”复选框用于使用户通过Web浏览器连接到CA，以便申请证书或检索证书吊销列表）

        （4）安装好后，单击“完成”按键

        配置证书服务  

        （1）单机服务器管理的“通知”按键，在展开的菜单中选择“配置目标服务器上的Active Directory 证书服务”

        （2）若要安装证书颁发机构Web注册和企业证书颁发机构，则分别需要本地Adiministrators组和Enterprise Adims组的权限。默认为当前登录的域管理员，权限满足，单击“下一步”按键

        （3）在“角色服务”窗口中，选择 “证书颁发机构” 和 “证书颁发机构Web注册”

        （4）在“设置类型”窗口中选择“企业CA”，然后单击“下一步”按键

          (5)在“CA类型”窗口中，选择“根CA”单选按键，单击“下一步”按键

        （5）在“私钥”窗口中，选择“创建新的私钥”单选按键，单击“下一步”

        （6）在“CA的加密”窗口中，使用默认的CSP（加密提供程序），哈希算法和密钥长度，单击“下一步”按键

        （7）在“CA名称”窗口中使用默认配置 ，单击“下一步”

        （8）在“有效期”窗口使用默认配置，单击“下一步”按键，默认有效期五年

        （9）在“CA数据库”窗口中，可以修改数据库存放的位置和数据库日志存放的位置，使用默认配置，单击“下一步”按键

        （10）在“确认”窗口中，查看角色，角色服务或功能的配置信息，确认无误后单击“配置”按键

        （11）配置完成后从“服务器管理器”窗口中单击“关闭”按键

        （12）从“服务器管理器”窗口的“工具”菜单中选择“证书颁发机构”，打开证书管理器，管理证书的颁发

应用证书服务

1.申请证书

        （1）在Web服务器上，打开“Internet Information Server（IIS）管理器”窗口，在左侧窗格中选择服务器名称，双击中间窗格的“服务器证书”

        （2）点击右侧窗格的“创建证书申请”后，输入证书的必须信息

        （3）在“加密服务提供程序属性”窗口中，使用默认的加密程序和密钥长度，单击“下一步”

        （4）在“文件夹”窗口中，指定证书的文件名和保存位置

        （5）打开证书申请文件“C:\xin.txt”文本文件，里面是申请的证书文件编码

        2.提交申请证书

        通过浏览器可以访问certsrv虚拟目录来提交申请

        （1）复制证书申请里的全部内容

        （2）打开浏览器输入“http://ip/certsrv"(ip是Windows Server 2016 的IP地址)

如果弹出这个页面，选择“添加”，出现IP地址后，再选择“添加”按键

        点击“申请证书”

        （3）在“申请一个证书”页面中，单击“高级证书申请”

        （4）在“高级证书申请”页面中，选择第二项，使用Base64编码的证书申请

        （5）在“提交一个证书申请或续订申请”页面，将第一步复制的证书申请内容粘贴到“保存的申请”文本框中，在“证书模板”下拉列表框中选择“Web服务器”

        3.颁发证书

        我们使用的是域环境企业级CA申请的证书，提交申请后会自动颁发，并直接进入“证书颁发”页面。

       （1） 选择“Base 64编码”单选按键，并点击“下载证书”，并将证书另存为在本地（如C:\）

使用和安装证书

        1.在Web服务器上 安装证书

               打开Internet Information Services（IIS）管理器，点击“证书”

2.配置安全通道

        （1）展开左侧窗口的节点树，选择需要使用该证书的站点，点击右侧操作窗格中的“绑定按键”

        （2）在“添加网站绑定”对话框中选择类型为“https”，选择SSL证书为上次安装的证书“web”，使用默认“443”端口

        （3）选择需要配置SSL的站点，双击中间窗格中的“SSL设置”，进入“SSL设置”页面

        （4）勾选“要求SSL”选项，后应用

 证书的导入与导出

        1.导出证书

        （1）点进“服务器证书”页面

        （2）在中间窗格选择目标证书，点击右侧窗格的“导出”按键

        2.导入证书

        （1）点进“服务器证书”页面

        （2）在中间窗格选择目标证书，点击右侧窗格的“导出”按键

        （3）在“导入证书”对话框中，输入证书路径，文件名和密码后完成证书的导入

安装证书

        （1）点击“安装证书”，后选择“存储位置”

        （2）选择证书存储

        

        （3）完成安装证书