1. 应用环境:XX公司有一个Web站点,域名为[url]www.dongfang.com[/url],启用的身份验证方式是基本身份方式。由于该网站有公司敏感数据,因此公司希望用户访问时,保证用户密码和访问的数据在传输时的安全性(信息不能被协议分析工具破解出来)。

2. 拓扑图:

3. 步骤:

1)安装证书服务:(注意证书服务必须是建立在安装IIS服务的基础上的。

两个服务一起安装,如下图:选择安装IIS

输入CA识别信息

保证证书数据库及日志信息的位置默认值:

开始安装:

 

 

3)安装WWW服务,如下图所示:

4)安装完成后,打开并设置来宾用户的访问权限:

 

5)打开Web服务器,属性目录安全性,选择服务器证书:

选择新建证书:

接着选择下一步

输入名称:

输入站点名称[url]www.dongfang.com[/url]注意这里不要输入错误了

 
输入地理信息,单击下一步:

 
按提示完成。

6web方式提交证书申请:

打开IE浏览器,导航到[url]http://192.168.10.11/certsrv[/url](这是运行证书服务的计算机的IP地址)

选择申请一个证书,下一步:

选择高级证书申请:

在这里选择的是用base64编码:

复制certreq.txt文件内容到下拉列表框,提交。
出现如下图所示,证书挂起:(注意如果是在域环境,则直接就会颁发,在这里就需要手工颁发了).

7)手工颁发证书:

打开证书颁发机构,可以查看到挂起的证书,右击所有任务颁发证书:

可以看到已经颁发了的证书:

8)下载证书:

打开IE浏览器,导航到[url]http://192.168.10.11/certsrv[/url](这是运行证书服务的计算机的IP地址)

选择查看挂起的证书申请的状况:

 
选择保存的申请证书,选择下载证书:

下载证书到本地:

9)安装证书,打开Web服务器,属性-选择目录安全服务器证书:

选择处理挂起的请求并安装证书:

浏览到刚才下载到本地的证书:

 

10)查看证书:

发现证书有一个红叉(分析原因:没有添加CA的证书到受信任的根证书颁发机构,接着添加!),注:如果是在域环境下,则不会出现红叉。
11)下载CA证书到本地添加到信任的证书机构:

打开IE浏览器,导航到[url]http://192.168.10.11/certsrv[/url](这是运行证书服务的计算机的IP地址)

 

在这里选择下载一个CA证书,证书链或CRL

接下来下载CA证书到本地

 

在运行里输入 mmc打开管理控制台:

选择添加/删除管理单元选择添加选择证书:

选择计算机帐户:

保持默认,完成

展开管理控制台,选择证书,右击出现所有任务选择导入:如下图:

导入刚下载CA的证书,如下图:

12)查看刚才打红叉的证书,现在正常了,如下图:

13)启用安全通道,如图选择编辑:

勾选“要求安全通道(SSL)”,再勾选要求客户端证书:

14)客户端访问:

无法访问原因:客户端没有申请证书:

15)客户端申请证书:

打开IE浏览器,导航到[url]http://192.168.10.11/certsrv[/url](这是运行证书服务的计算机的IP地址)

选择申请证书,通过浏览器:填写相关内容,提交

16)给客户机颁发证书:

17)客户机下载证书并安装:

证书安装完成:

18)客户机访问:

总结:

1. CA建好之后,时间和计算机名都不可修改。

2. Web服务器颁发证书时,必须下载CA的证书并且导入到受信任的根证书颁发机构。

3. 在给Web服务器应用证书时注意一定要勾选“要求安全通道(SSL)”,再勾选“要求客户端证书”。

4. 在工作组模式下证书颁发需要手工颁发,但在加入域环境下证书是自动颁发的(如果CA是域控,则颁发证书时一定要有域管理员权限的用户才可以申请证书)。

 5.先从IIS的本地网站申请服务证书,生成一个TXT文本文件,再通过IE浏览器把TXT文件里面申请证书信息导入,生成CER文件,最后在IIS里面的服务器证书导入CER文件生成证书。
2)在开始 管理工具中单击证书颁发机构,打开证书颁发机构:

使用IIS管理器,观察默认网站下有certsrv等虚拟目录:

 
然后选择安装证书服务:

注意:在这里是工作组模式,所以不出现上面两项(域环境会出现上面两项),如下图: