目录
简介
1、申请认证(证书)
服务端向第三方权威机构CA申请证书,服务器先生成公钥和私钥对
确认信息里面绑定我们当前使用哪个域名,以及申请者以及公钥
生成请求文件.csr(csr是我们服务端向CA提交申请的文件)注意:提交信息里不包含私钥
2、审核信息
CA收到服务端发送的信息先去审核(CA 通过线上、线下等多种手段验证申请者提供信息的真实性)
审核通过,CA 会向申请者签发认证文件-证书。
证书包含以下信息:申请者公钥、申请者的组织信息和个人信息、签发机构 CA 的信息、有效时间、证书序列号等信息的明文,同时包含一个签名
3、签发证书
签名证书里的 明文信息 通过哈希算法加密 ------->摘要1(注意:这个就是后面的摘要1)
CA机构会产生一对公钥和私钥,用私钥对信息(摘要1)加密,拿到了一个签名
<签名>和<明文信息>组成了 |证书| ,把这个证书发给服务器
4、返回证书
服务器把CA证书发送给客户端
5、验证证书
客户端会内置信任 CA 的证书信息(包含公钥),如果CA不被信任,则找不到对应 CA 的证书,证书也会被判定非法。
客户端利用对应 CA 的公钥解密签名数据,拿到了摘要1
客户端读取证书中的相关的明文信息,采用哈希算法加密得到信息摘要2
对比证书的信息摘要,如果一致,则可以确认证书的合法性,即公钥合法
然后提取出 公钥pub_server
通过这一步客户端认可了服务器,拿到了服务器的公钥
一、证书服务安装
1、首先要在服务器管理器添加Active Directory证书服务
安装证书颁发机构、证书颁发机构Web注册、证书注册Web服务
安装证书注册Web服务时,系统会自动安装IIS
二、配置Active Directory证书服务
1、打开Active Directory证书服务配置
2、首先需要配置证书颁发机构和证书颁发机构Web注册
证书颁发机构和证书注册策略Web服务无法同时安装,等下还需要单独进行证书注册策略Web服务的安装
3、指定CA的设置类型:企业CA
企业CA必须是域成员,并通常处于联机状态以颁发证书或证书策略
4、指定CA类型:根CA
根CA是在PKI层次结构中配置的第一个并且可是是唯一的CA
5、私钥的加密选项,CA名称都可以不用更改,有效期默认为五年点击配置完成确认
6、完成配置后会有窗口询问,我们选择配置其他角色服务
7、配置证书注册Web服务
8、CA和身份验证类型可以不用更改,但是服务账户只能选择IIS_IUSRS组的成员,
所以我们要打开用户与计算机管理器把用户添加进IIS_IUSRS组
在Users容器中打开administrator用户
把administrator加入IIS_IUSRS组
指定administrator为服务账户,输入账号密码
9、服务器证书选择配置证书颁发机构时获得的证书即可,完成确认后点击配置
三、在IIS管理器进行证书申请
1、在IIS管理器的主页打开“服务器证书功能”
在“服务器证书功能”的右侧选择创建证书申请操作
2、填写证书信息。
通用名称填写网址,例如:www.abc.com
把证书申请的txt文件保存在容易找到的位置,方便我们等下找到它
四、提交证书申请
1、在浏览器打开证书服务器Web页面,在我电脑上是主机IP地址加上certsrv(https://192.168.137.10/certsrv),使用administrator账户登录,收入账号密码
2、进入证书服务页面,点击选择申请证书
然后选择提交高级证书申请
3、选择“使用base64编码的CMC或PKCS#10文件提交一个证书申请,或使用base64编码的PKCS#7文件续订证书申请”
4、把刚才保存的证书申请txt文件内容复制到浏览器,证书模版选择Web服务器
如果提交后无反应,那可能是被浏览器拦截了,在浏览器设置选项中把证书服务网站设为安全站点即可
五、下载证书,完成证书申请
8、打开IIS服务器证书功能,点击右侧完成证书申请