Windows Server 2008 R2 安装证书服务配置SSL网站

SSL是一个一pki为基础的安全协议，若要让网站拥有SSL安全连接功能的话，就必须为网站向证书颁发机构CA申请SSL证书（网页服务器证书），证书内包含了公钥、证书有效期限、发放此证书的CA、CA的数字签名等数据。在网站拥有SSL证书之后，客户端与网站之间就可以通过SSL安全连接来通信了。

一、 根CA的安装

无论是电子邮件保护或SSL网站安全连接，都必须申请证书，才可以使用公钥与私钥来执行数据加密与身份验证的操作。负责发放证书的机构就被称为证书颁发机构（Certification Authority，CA），下面我将演示如何安装CA证书颁发机构

Windows server 2008 R2	192.168.47.1
Windows XP	192.168.47.3

前期准备测试客户机和服务器机器的连通性（我将CA WEB都装在同一台服务器上）

---

服务器上打开服务器管理器

---

选择角色>选择添加角色

---

选择我们要装的两个服务Active Directory 证书服务和WEB服务器
勾选上进行下一步

---

默认阅读后进行下一步

---

选择角色服务记得勾选上证书颁发机构WEB注册，不然就证书申请就不能发布在web上，后面申请证书操作一定要用到。

---

当前服务器不在域中是独立服务器所以只能选择安装独立CA，当然域成员也可以按照独立CA（企业CA等会讲）

---

选择根CA

---

选择新建私钥

---

没有其他要求就默认加密配置

---

这里随自己的要求自定义CA的名称

---

根据要求自己选择证书有效期，我默认五年

---

数据库存放位置，默认

---

配置WEB服务器（IIS）

---

默认选上

---

确认安装选择开始安装

---

等待安装完成

---

安装完成

---

运行中输入certsrv.msc 打开证书颁发机构

---

到这里就说明证书服务安装成功。

---

在浏览器中输入http://localhost/certsrv 证书颁发机构web申请页面

如果CA和WEB是分开的需要手动信任证书颁发机构

---

二、 SSL网站证书

我们必须为网站申请SSL证书，网站才会具备SSL安全连接的能力。若网站是要对外网（因特网）用户来提供服务的话，请向商业CA来申请证书。下面我将演示为我自己的网站申请证书完成SSL网站的设置。

首先我将web颁发机构改一下端口换成8080
之后的访问地址就改为了http://192.168.47.1:8080/certsrv

---

改掉端口后的地址

---

用记事本编辑一个我自己的网页然后在C盘下创建一个名为index的html文件，另存为保存在web文件夹下文件类型改为所有文件选择html网页文件。

---

回到IIS中选择添加网站，物理路径指向我刚才新建的web文件夹下。
之后立即启动网站

---

到xp客户机上用浏览器访问192.168.47.1，可以看到我的网页发布好了。
接下来开始为web服务器申请证书

---

先申请web服务器证书，选择服务器证书》创建证书申请》填上申请信息
选择下一步

---

位长是用来指定网站公钥的位长，越长安全越高但性能会降低一般默认1024位即可
下一步

---

这里我选择C:\Users\Administrator\Desktop\webzs.txt 来保存证书申请文件的文件名和村粗位置，可以自定。但位置一定要记清楚后步骤用来申请服务器证书会用到

---

编码文件

---

输入http://192.168.47.1:8080/certsrv 开始申请证书

---

这里选择高级证书申请

---

把刚才保存在桌面上的证书申请文件中的base64编码内容全部复制进去，提交申请

---

申请证书被挂起了，独立CA不会自动颁发需要我们手动颁发

---

运行中输入certsrv.msc 打开证书颁发机构，点击挂起的申请就可以看到刚才的申请被挂起了，这里直接选择颁发就行。
因为独立CA不会自动颁发证书需要我们自己手动颁发证书，而企业CA会自动颁发

---

颁发后回到主页后选择 查看挂起的证书申请的状态

---

查看保存的申请证书就可以看到证书已经颁发了
把它下载到本地自定位置

---

到IIS继续回到服务器证书中选择完成证书申请，把刚才下载的证书选择好即可

---

完成后就可以看到我们颁发的这本证书了。

---

回到自己的网站管理选择编辑绑定，完成最后的证书绑定

---

进入后选择添加把http类型改为https端口443，证书选择我们刚才申请的那本证书即可

---

后我们把http的那条绑定删除只留下https的那条

---

选择SSL设置

---

勾选上要求SSL然后客户证书选择忽略。本次不要要求证书
选好后右上角应用操作

---

重启一下服务器

---

回到xp客户机上再去访问https://192.168.47.1 说明已经是SSL加密了。

---

选择是后就可以看到我们的网页了，可以看到右下角带锁的图片显示SSL可靠。接下来我将演示需要提供证书访问web。

---

回到IIS服务器上设置网站SSL为必需提供客户证书。

---

再去访问时已经强制要求提供数字证书来验证身份了

---

http://192.168.47.1:8080/certsrv
xp客户机上访问我们的证书申请网页选择申请证书

---

选择web浏览器证书把要求的信息填完后提交

---

证书申请挂起了，到服务器证书颁发机构上去颁发即可

---

certsrv.msc打开，看到挂起的申请选择颁发证书

---

颁发好后，回到主页查看挂起的证书申请的状态。

---

证书已颁发

---

点击安装此证书即可

---

再去访问时刚才安装好的证书就可以被选择了，确定点击开始访问。

---

提供数字证书后就能正常访问啦！现在就是要求证书访问的结果了
到此安装步骤结束

---