在工作组环境下配置CA并应用到Web服务器和客户端

                                  在工作组环境下配置CA并应用到Web服务器和客户端

1.目的

    1、实践在Windows Server环境下配置简单的IIS，以对外提供Web页面；

    2、实践在Windows Server环境下配置CA服务器并对Web服务器应用发放证书；

    3、实践CA服务器向用户（浏览器）发放证书。

2.步骤

     2.1 安装IIS和CA服务（因为安装CA时要向默认网站里新建相应的虚拟目录，用来申请证书时使用，所以需要先安装IIS）。

      开始-设置-控制面板-添加/删除程序-添加/删除Windows组件。

    

     选择“应用程序服务器”，单击“下一步”，根据提示安装应用程序服务器。选择“证书服务”，单击“下一步”。

   

   选择“独立根CA”，单击“下一步”。

   注意：域环境下CA的类型有4种，在工作组环境下只有独立根可以建立。

   

    输入相应的CA的名称（一般与计算机名相同），单击“下一步”。

   

   保持默认的路径，单击“下一步”。

    

    现在已开始安装（安装过程中注意要启动ASP服务）。

     

     CA已成功的完成。

  2.2 配置Web服务器

     开始-程序-管理工具-Internet信息管理。

     

     右击“网站”，选择“新建网站”。

     

     输入相应的Web站点的描述，单击“下一步”。

    

     

     输入相应的站点的IP地址和端口号（80），单击“下一步”。

   

    

    输入相应的主目录的路径，单击“下一步”。

   

    

   设置相应权限，单击“下一步”。

   

   单击“完成”。

   进入C:\web,创建文件index.htm并添加内容，如下：

    <html><body>Hello,IIS and CA!</body></html>

  2.3 查看站点是否可以成功的访问

   在客户机或服务器启动IE浏览器，输入http://192.168.1.11/index.htm

      可以成功的访问，说明IIS配置成功。

  2.4 给Web服务器创建证书请求

  

  因为CA被写入了默认网站的虚拟目录里，所以我们申请证书时要注意，将Web先暂停一下，启用默认网站的配置。

  但是在此之前，需要先为Web服务器上填写一个证书申请表。

  右击Web，选择“属性”。

  

  选择“目录安全属性”，单击“服务器证书”。

  

  

  单击“下一步”。

  

  选择“新建证书”，单击“下一步”。

 

  单击“下一步”。

   单击“下一步”。

  输入相应的单位和部门，单击“下一步”。

  单击“下一步”。

  输入相应的配置，单击“下一步”。

   选择证书申请表的目录，单击“下一步”。

  单击“完成”，这时证书申请表已成功的填写完成了。

 2.5 给Web服务器申请证书

   启动IE，在地址栏输入http://192.168.1.11/certsrv

   

   单击“申请一个证书”。

  

   

   单击“高级证书申请”。

  

   

    选择第二项。

   

   将刚才填写的证书申请表（C:\certreq.txt）内容复制到相应的位置，单击提交。

  

 

  查看证书颁发状态。

  访问http://192.168.1.11/certsrv/

  点击查看挂起的证书申请状态。

  

  可以看到当前的证书申请依然被挂起。

 2.6 为Web服务器颁发证书

   开始-所有程序-管理工具-证书颁发机构，查看“挂起的申请”。

   

   在申请上点击右键-所有任务-颁发，则完成证书颁发。

   访问http://192.168.1.11/certsrv/，查看挂起的证书申请状态，点击两次进入如下页面。

 

 点击下载证书，将证书保存在相应的位置。

 单击“保存”。

  选择“证书的保存位置”，单击“保存”。

   证明已经成功的下载了证书。

2.7 Web服务器应用相应的证书

   右击Web，选择“属性”。

  

  选择安全性选项卡，单击“服务器证书”。

  单击“下一步”。

  选择证书的正确位置，单击“下一步”。

  配置相应的端口号，单击“下一步”。

  单击“下一步”。

  单击“完成”。

  启动IE，输入http://192.168.1.11/index.htm

  发现依然可以访问，这是因为还没有采用SSL服务。

  进入Web的属性窗口的目录安全性选项卡。

 单击“编辑”。

  选择“要求安全通道”，客户端证书选择忽略客户端证书，单击“确定”。

  到此服务器端的证书应用已经成功的完成了。

2.8 在客户端验证

    启动IE，输入http://192.168.1.11/index.htm

   

   不能成功。键入https://192.168.1.11/index.htm

   

  单击“是”。

  则可以成功的访问。因为客户采用的是忽略客户端证书，所以客户端在访问Web服务器的时候不提示下载证书。

 2.9 改变客户端的证书模式

 

  选择“要求客户端证书“，单击“确定”。

  在客户端验证。

  启动IE，输入https://192.168.1.11/index.htm

 

  提示没有证书。

 2.10 客户端下载证书

  首先启动服务器默认网站。

  启动IE，输入https://192.168.1.11/certsrv.

  单击“申请一个证书”。

   单击“Web浏览器证书”，完成信息填写，单击提交，显示证书挂起。

   CA服务器端颁发证书。

   下载安装证书。

   此时再验证，启动IE，输入https://192.168.1.11/index.htm.

 

   此时已经有了一个证书，单击“确定”，可以访问，证明已经成功的采用证书。

3.小感悟

  1.客户端无法访问服务器Web页面，通过从服务器端下载数字证书，问题得到解决。

   从中我了解了为什么我使用浏览器登陆一些不安全网站时会弹出安全警告，原因就是那些网站的数字证书过期了或根本没有证书。这些网站很有可能是危险网站，访问可能使本机中木马。

   2.客户端未通过解挂证书申请，就登陆Web页面，导致无法访问。通过解挂申请后成功访问。