一.搭建CA前的实验环境
winsrv2003A  AD+DNS+DHCP IP:192.10.10.253  DNS:gary.com                       VM1
 
winsrv2003B  域成员Web服务器   IP:192.10.10.2   主机头为 www.gary.com  VM1       
                    
 XP-client    自动获得TCP/IP相关信息;  用于客户端测试 Web 服务器         VM1
 
说明:在winsrv2003A已经搭建好DHCP/DNS服务,且作为主域控器;通过在客户端XP-client输入 http://www.gary.com能访问到Web服务器则实验前准备环境搭建成功!
 
二.让winsrv2003A作为CA服务器
i.在winsrv2003A上安装IIS组件的同时还得安装asp.net,目的是提供CA在线申请平台.
ii.在安装好IIS等组件后(步骤2)安装证书服务 -->勾选 企业根(CA)-->公钥/私钥对  为默认-->下一步-->此CA的公用名称输入GARY(此项填写没有要求)-->一路点下一步-->到安装完成!
 
三.向CA申请证书
i.在Web服务器上创建证书申请文件(由于附图太多,请参照附件步骤1.1-1.9).

ii.证书申请.通过在浏览器中输入 http://192.10.10.253/certsrv 向CA服务器申请证书;弹出输入用户名密码要求对话框(输入administrator)-->将该网站添加到区域中,就打开了申请证书WEB页面-->点击申请证书-->高级证书申请-->使用base64编码....-->(由于附图太多,请参照附件步骤2.1-2.7).
 
iii.在Web服务器上安装证书(由于附图太多,请参照附件步骤3.1-3.5).
 
此步骤遇到问题:在安装完之后再查看证书时,出现“无法将这个证书验证到一个信任的证书颁发机构”吓点了很久,最后按图4.1-4.4步骤成功安装了证书。不过总觉得存在问题,为什么直接安装会出现不受信任关系呢?难道是AD与Web不在同一台服务器上的原因吗?和证书文件一同生成的证书链文件有何作用?
 
四.客户端测试
i.通过在Web服务器上的IIS控制台gary站点-->属性  -->目录安全性-->编辑-->安全通信窗口可设置"要求安全通道"客户端证书选项包括:忽略客户端证书;接受客户端证书;要求客户端证书等(由于附图太多,请参照附件步骤5.1-5.2)
 
ii.若在Web服务器上设置的是“要求客户端证书”则还得在winsrv2003A主域控上创建用户,此处创建aa用来验证申请用户证书.
在客户端的浏览器上输入http://192.10.10.253/certsrv 通过输入aa及密码打开申请证书页面.点击-->申请一个证书 -->用户证书 -->提交.接着会弹出一些对话框都点确认是,最后安装证书.就这样客户端aa就申请了一个证书.
也就是说客户端在输入https://www.gary.com就可以浏览了!
 
最后一个问题:如何在DNS中设置CA平台的主机头,也就不用输入像 http://192.10.10.253/certsrv 这样难记的地址了,怎么设置呢?
 
求助中!