1.1 Windows CA 证书服务器配置— Microsoft 证书服务安装
安装准备:插入Windows Server 2003 系统安装光盘
添加IIS组件:
点击‘确定’,安装完毕后,查看IIS管理器,如下:
添加‘证书服务’组件:
如果您的机器没有安装活动目录,在勾选以上‘证书服务’时,将弹出如下窗口:
由于我们将要安装的是独立CA,所以不需要安装活动目录,点击‘是’,
默认情况下,‘用自定义设置生成密钥对和CA证书’没有勾选,我们勾选之后点击‘下一步’可以进行密钥算法的选择:
Microsoft 证书服务的默认CSP为:Microsoft Strong Cryptographic Provider,默认散列算法:SHA-1,密钥长度:2048——您可以根据需要做相应的选择,这里我们使用默认。点击‘下一步’:
填写CA的公用名称(以AAAAA为例),其他信息(如邮件、单位、部门等)可在‘可分辨名称后缀’中添加,有效期限默认为5年(可根据需要作相应改动,此处默认)。
点击‘下一步’:
点击‘下一步’进入组件的安装,安装过程中可能弹出如下窗口:
单击‘是’,继续安装,可能再弹出如下窗口:
由于安装证书服务的时候系统会自动在IIS中(这也是为什么必须先安装IIS的原因)添加证书申请服务,该服务系统用ASP写就,所以必须为IIS启用ASP功能,点击‘是’继续安装:
由于截图较多,完整图文配置请下载资料文档阅读:
下载地址:http://pan.baidu.com/s/1dDVFtTZ 密码:as8t
‘完成’证书服务的安装。
开始 》》》 管理工具 》》》 证书颁发机构,打开如下窗口:
我们已经为服务器成功配置完公用名为AAAAA的独立根CA,Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。
此时该服务器(CA)的IIS下多出以下几项:
我们可以通过在浏览器中输入以下网址进行数字证书的申请:
http://hostname/certsrv或http://hostip/certsrv
申请界面如下:
1.2 windows2003证书服务器生成ssl-vpn所使用的证书。
我们可以通过在浏览器中输入以下网址进行数字证书的申请
点击“申请一个证书”显示如下视图
点击“高级证书申请”,显示如下视图
上图中必须填写姓名,其它可选,需要的证书类型选择“服务器身份验证证书”
在密钥选项中,一定要选择“标记密钥可导出”否则会造成根证书无法倒出给SSL使用的现象
【注意:如果此时出现提示证书被挂起,进行按如下操作提示颁布后方可出现安装证书页面:
在Win2003证书服务器上的“证书颁发机构(本地)”的“挂起的申请”中将该申请进行颁发即可:
】
点击上图中的“安装此证书”出现如下视图
点击上图中的“是”证书就会被安装到IE浏览器中。
点击浏览器 工具》internet》内容》证书,就可以看到已经下载的证书,如上图
选择证书并点击导出,出现上图,点击下一步。
选择“是,导出私钥”,点击下一步,出现如下视图
选择“私人信息交换”中的前两个选项,点击“下一步”
在密码中设置密码,(此密码在SSL设备倒入此证书时需要)
输入此证书名称(建议配置一个比较好记忆的名称,后缀为pfx)。
从上图中可看到证书的相关信息,确认无误后,点击“完成”。
上图显示证书已经导出成功,至此本地证书已经生成。
接下来,下载一个CA证书,如上图“下载一个CA证书,证书链或CRL”
点击“下载CA证书”
点击上图的中“保存”
选择CA证书存放在本地的位置并指定文件名(建议配置一个易记的名字,后缀为crt)
至此,两个证书都已经生成,见上图中红色方框
