windows部署PKI与证书服务
安装证书服务
本博主练习时长两年半,超详细步骤,欢迎大家来学习!!!!!!!!
首先我们先创建部署了域环境的一台windows Server-2016服务器用来部署PKI与证书服务和一台客户端: Windows -7用来验证
因为在Windows Server 2016操作系统中,证书服务不是Windows 默认的服务,所以需要在系统安装完成后手动添加证书服务。
(1)打开“服务器管理器”窗口,单击“添加角色与功能”
(2)一直下一步直至“服务器角色”,勾选“Active Directory 域服务”
(3)在“选择角色服务”窗口中,选择“证书颁发机构”和“证书颁发机构Web注册”两个复选框,后一直下一步直至“安装”(“证书颁发机构Web注册”复选框用于使用户通过Web浏览器连接到CA,以便申请证书或检索证书吊销列表)
(4)安装好后,单击“完成”按键
配置证书服务
(1)单机服务器管理的“通知”按键,在展开的菜单中选择“配置目标服务器上的Active Directory 证书服务”
(2)若要安装证书颁发机构Web注册和企业证书颁发机构,则分别需要本地Adiministrators组和Enterprise Adims组的权限。默认为当前登录的域管理员,权限满足,单击“下一步”按键
(3)在“角色服务”窗口中,选择 “证书颁发机构” 和 “证书颁发机构Web注册”
(4)在“设置类型”窗口中选择“企业CA”,然后单击“下一步”按键
(5)在“CA类型”窗口中,选择“根CA”单选按键,单击“下一步”按键
(5)在“私钥”窗口中,选择“创建新的私钥”单选按键,单击“下一步”
(6)在“CA的加密”窗口中,使用默认的CSP(加密提供程序),哈希算法和密钥长度,单击“下一步”按键
(7)在“CA名称”窗口中使用默认配置 ,单击“下一步”
(8)在“有效期”窗口使用默认配置,单击“下一步”按键,默认有效期五年
(9)在“CA数据库”窗口中,可以修改数据库存放的位置和数据库日志存放的位置,使用默认配置,单击“下一步”按键
(10)在“确认”窗口中,查看角色,角色服务或功能的配置信息,确认无误后单击“配置”按键
(11)配置完成后从“服务器管理器”窗口中单击“关闭”按键
(12)从“服务器管理器”窗口的“工具”菜单中选择“证书颁发机构”,打开证书管理器,管理证书的颁发
应用证书服务
1.申请证书
(1)在Web服务器上,打开“Internet Information Server(IIS)管理器”窗口,在左侧窗格中选择服务器名称,双击中间窗格的“服务器证书”
(2)点击右侧窗格的“创建证书申请”后,输入证书的必须信息
(3)在“加密服务提供程序属性”窗口中,使用默认的加密程序和密钥长度,单击“下一步”
(4)在“文件夹”窗口中,指定证书的文件名和保存位置
(5)打开证书申请文件“C:\xin.txt”文本文件,里面是申请的证书文件编码
2.提交申请证书
通过浏览器可以访问certsrv虚拟目录来提交申请
(1)复制证书申请里的全部内容
(2)打开浏览器输入“http://ip/certsrv"(ip是Windows Server 2016 的IP地址)
如果弹出这个页面,选择“添加”,出现IP地址后,再选择“添加”按键
点击“申请证书”
(3)在“申请一个证书”页面中,单击“高级证书申请”
(4)在“高级证书申请”页面中,选择第二项,使用Base64编码的证书申请
(5)在“提交一个证书申请或续订申请”页面,将第一步复制的证书申请内容粘贴到“保存的申请”文本框中,在“证书模板”下拉列表框中选择“Web服务器”
3.颁发证书
我们使用的是域环境企业级CA申请的证书,提交申请后会自动颁发,并直接进入“证书颁发”页面。
(1) 选择“Base 64编码”单选按键,并点击“下载证书”,并将证书另存为在本地(如C:\)
使用和安装证书
1.在Web服务器上 安装证书
打开Internet Information Services(IIS)管理器,点击“证书”
2.配置安全通道
(1)展开左侧窗口的节点树,选择需要使用该证书的站点,点击右侧操作窗格中的“绑定按键”
(2)在“添加网站绑定”对话框中选择类型为“https”,选择SSL证书为上次安装的证书“web”,使用默认“443”端口
(3)选择需要配置SSL的站点,双击中间窗格中的“SSL设置”,进入“SSL设置”页面
(4)勾选“要求SSL”选项,后应用
证书的导入与导出
1.导出证书
(1)点进“服务器证书”页面
(2)在中间窗格选择目标证书,点击右侧窗格的“导出”按键
2.导入证书
(1)点进“服务器证书”页面
(2)在中间窗格选择目标证书,点击右侧窗格的“导出”按键
(3)在“导入证书”对话框中,输入证书路径,文件名和密码后完成证书的导入
安装证书
(1)点击“安装证书”,后选择“存储位置”
(2)选择证书存储
(3)完成安装证书