ca文档格式.docx
- 文档编号:20785850
- 上传时间:2023-01-25
- 格式:DOCX
- 页数:25
- 大小:2.33MB
ca文档格式.docx
《ca文档格式.docx》由会员分享,可在线阅读,更多相关《ca文档格式.docx(25页珍藏版)》请在冰豆网上搜索。
XP-client
自动获得TCP/IP相关信息;
用于客户端测试
Web
服务器
VM1
说明:
在winsrv2003A已经搭建好DHCP/DNS服务,且作为主域控器;
通过在客户端XP-client输入能访问到Web服务器则实验前准备环境搭建成功!
二.让winsrv2003A作为CA服务器
i.在winsrv2003A上安装IIS组件的同时还得安装,目的是提供CA在线申请平台.
ii.在安装好IIS等组件后(步骤2)安装证书服务-->
勾选企业根(CA)-->
公钥/私钥对
为默认-->
下一步-->
此CA的公用名称输入GARY(此项填写没有要求)-->
一路点下一步-->
到安装完成!
三.向CA申请证书
i.在Web服务器上创建证书申请文件(由于附图太多,请参照附件步骤1.1-1.9).
ii.证书申请.通过在浏览器中输入http:
//192.10.10.253/certsrv
向CA服务器申请证书;
弹出输入用户名密码要求对话框(输入administrator)-->
将该网站添加到区域中,就打开了申请证书WEB页面-->
点击申请证书-->
高级证书申请-->
使用base64编码....-->
(由于附图太多,请参照附件步骤2.1-2.7).
iii.在Web服务器上安装证书(由于附图太多,请参照附件步骤3.1-3.5).
此步骤遇到问题:
在安装完之后再查看证书时,出现“无法将这个证书验证到一个信任的证书颁发机构”吓点了很久,最后按图4.1-4.4步骤成功安装了证书。
不过总觉得存在问题,为什么直接安装会出现不受信任关系呢?
难道是AD与Web不在同一台服务器上的原因吗?
和证书文件一同生成的证书链文件有何作用?
四.客户端测试
i.通过在Web服务器上的IIS控制台gary站点-->
属性
-->
目录安全性-->
编辑-->
安全通信窗口可设置"
要求安全通道"
客户端证书选项包括:
忽略客户端证书;
接受客户端证书;
要求客户端证书等(由于附图太多,请参照附件步骤5.1-5.2)
ii.若在Web服务器上设置的是“要求客户端证书”则还得在winsrv2003A主域控上创建用户,此处创建aa用来验证申请用户证书.
在客户端的浏览器上输入http:
通过输入aa及密码打开申请证书页面.点击-->
申请一个证书-->
用户证书-->
提交.接着会弹出一些对话框都点确认是,最后安装证书.就这样客户端aa就申请了一个证书.
也就是说客户端在输入就可以浏览了!
域服务器部署方案
企业CA应用之--Web服务器申请证书(完美版)
WINDOWSSERVER2009-08-2617:
42:
33阅读336评论1
字号:
大中小
订阅
1.应用环境:
XX公司有一个Web站点,域名为[url][/url],启用的身份验证方式是基本身份方式。
由于该网站有公司敏感数据,因此公司希望用户访问时,保证用户密码和访问的数据在传输时的安全性(信息不能被协议分析工具破解出来)。
2.拓扑图:
3.步骤:
(1)安装证书服务:
(注意证书服务必须是建立在安装IIS服务的基础上的。
)
两个服务一起安装,如下图:
选择安装IIS
然后选择安装证书服务:
注意:
在这里是工作组模式,所以不出现上面两项(域环境会出现上面两项),如下图:
输入CA识别信息
保证证书数据库及日志信息的位置默认值:
开始安装:
(2)在开始—管理工具中单击证书颁发机构,打开证书颁发机构:
使用IIS管理器,观察默认网站下有certsrv等虚拟目录:
(3)安装WWW服务,如下图所示:
(4)安装完成后,打开并设置来宾用户的访问权限:
(5)打开Web服务器,属性—目录安全性,选择服务器证书:
选择新建证书:
接着选择下一步
输入名称:
输入站点名称[url][/url],注意这里不要输入错误了
输入地理信息,单击下一步:
按提示完成。
(6)web方式提交证书申请:
打开IE浏览器,导航到[url]http:
//192.168.10.11/certsrv[/url](这是运行证书服务的计算机的IP地址)
选择申请一个证书,下一步:
选择高级证书申请:
在这里选择的是用base64编码:
复制certreq.txt文件内容到下拉列表框,提交。
出现如下图所示,证书挂起:
(注意如果是在域环境,则直接就会颁发,在这里就需要手工颁发了).
(7)手工颁发证书:
打开证书颁发机构,可以查看到挂起的证书,右击所有任务—颁发证书:
可以看到已经颁发了的证书:
(8)下载证书:
选择查看挂起的证书申请的状况:
选择保存的申请证书,选择下载证书:
下载证书到本地:
(9)安装证书,打开Web服务器,属性-选择目录安全—服务器证书:
选择处理挂起的请求并安装证书:
浏览到刚才下载到本地的证书:
保持默认端口443:
(10)查看证书:
发现证书有一个红叉(分析原因:
没有添加CA的证书到受信任的根证书颁发机构,接着添加!
),注:
如果是在域环境下,则不会出现红叉。
(11)下载CA证书到本地添加到信任的证书机构:
在这里选择下载一个CA证书,证书链或CRL
接下来下载CA证书到本地
在运行里输入mmc打开管理控制台:
选择添加/删除管理单元—选择添加—选择证书:
选择计算机帐户:
保持默认,完成
展开管理控制台,选择证书,右击出现所有任务选择导入:
如下图:
导入刚下载CA的证书,如下图:
(12)查看刚才打红叉的证书,现在正常了,如下图:
(13)启用安全通道,如图选择编辑:
勾选“要求安全通道(SSL)”,再勾选要求客户端证书:
(14)客户端访问:
无法访问原因:
客户端没有申请证书:
(15)客户端申请证书:
选择申请证书,通过浏览器:
填写相关内容,提交
(16)给客户机颁发证书:
(17)客户机下载证书并安装:
证书安装完成:
(18)客户机访问:
总结:
1.CA建好之后,时间和计算机名都不可修改。
2.给Web服务器颁发证书时,必须下载CA的证书并且导入到受信任的根证书颁发机构。
3.在给Web服务器应用证书时注意一定要勾选“要求安全通道(SSL)”,再勾选“要求客户端证书”。
4.在工作组模式下证书颁发需要手工颁发,但在加入域环境下证书是自动颁发的(如果CA是域控,则颁发证书时一定要有域管理员权限的用户才可以申请证书)。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ca