windows2008 CA教程.doc

Windows Server 2008 CA认证实验Windows Server 2008支持两种证书服务器，分别是应用于企业内部的企业证书服务器和用于企业或Internet的独立证书服务器。其中，企业证书服务器应用于域环境，需要AD的支持，用户可以直接向证书服务器申请并安装证书；而独立根证书服务器应用于非域环境。Win2008只有企业版和数据中心版支持web注册功能，标准版和web版不支持。本实验用两台win2008做一个企业CA实验。准备工作：一台win2008升级到域，做企业CA服务器+IIS加密网站+DNS；（这里域名为，服务器IP：；子网掩码：；网关：；安装AD和加域的过程这里省略）一台win2008作客户机来访问加密的web网站。（客户机IP：；子网掩码：；网关：）实验心得：我做实验的电脑内存是2G，系统自动给win2008分配的内存是1G，物理机我用的是XP，导致很卡，所以要手动给虚拟机分配内存900M，这样两台win2008消耗1.8G内存，流行200多M给XP。下面对客户机IE浏览器做设置：打开Internet选项，调整安全级别： 将对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本（不安全）； 启用 运行运行以前未使用的ActiveX控件而不提示； 启用 下载未签名的ActiveX控件（不安全）； 启用 下载已签名的ActiveX控件（不安全）； 启用 使用仿冒网站筛选； 禁用 没有证书或只有一个证书时不提示进行客户端证书选择；如果不想有证书选择提示窗口，可以把它启用。实验心得：平时做实验，我们可以把安全性降到最低，以免干扰实验。 下面安装CA证书服务： 首先打开“服务器管理器”添加角色，选中Acitve Directory证书服务。如下图所示单击“下一步”，选中“证书颁发机构”和“证书颁发机构web注册”。后者主要是通过web界面来进行证书的相关操作。如下图所示。单击“下一步”，如下图所示，由于在AD中做CA认证实验，我们选中“企业”。单击“下一步”，如下图所示，由于是企业中第一个证书服务器，所以我们选“根CA”。单击“下一步”，如下图所示，选择“新建私钥”；单击“下一步”，如下图所示，这里就用默认的。单击“下一步”，如下图所示，这边修改CA的功用名称为;与DNS名称保持一致。下面的操作全部默认，过程这里省略了。打开IIS，这里我们的加密网站就直接使用原来的默认网站了，当然新建网站也一样做。首先修改C:inetpubwwwroot中的首页，把原来的文件删了，新建一个index.htm，内容任意。并且测试下这个网页能被访问到，如下图所示：注意：新建网页的时候，我们一般是用记事本，然后另存为index.htm，这样注意和windows 2003和XP不一样，需要打开后缀名。否则另存为后的文件是index.htm.txt输入证书请求信息，通用名称请输入完整的域名（包含主机名），企业名称可以用中文，国家代码一般用CN（请按照ISO 3166-1 A2）：选择加密服务程序和密钥长度，加密服务程序选择缺省的Microsoft RSA Schannel Cryptographic Provider，加密长度一般可以为1024位，如果申请EV证书至少2048位。单击“下一步”，出现保存证书申请文件对话框，输入任意文件名，保存到桌面，用记事本打开，如下图：接下来我们来完成证书申请，“要求SSL”选项，如果没有选中，则用户可以通过HTTPs，也可以通过HTTP来访问，如果“要求SSL”被选中，则用户必须通过HTTPS访问“客户证书”有3个选项：忽略、接受、必需。如果“要求SSL”选项没有选中，则不能选择客户证书“必需”项。如果选择“忽略”，则服务器不会去检查是否有客户证书，即使客户端有客户证书，也不会被服务器接收。如果选择“接受”，如果客户有证书，会自动跳出，让客户选择如下图，如果没有，则正常转入原来的页面。建议客户不要选中“要求SSL”，如果需要使用客户端证书，也可以选择“接受”客户证书。如果有些页面要求客户必须通过HTTPS访问，可以使用代码自动跳转的方式，具体参加:“强制通过SSL访问网站”。当我们把设置改成必须通过SSL才能访问网站时，经常发现原来不加密的还是能访问，主要是网页缓存的问题，在Internet选项中清空缓存即可，最好再重启IIS，重新打开IE。这步设置最好放到最后设置，否则后面将无法访问/certsrv申请证书。除非不用默认网站做实验。配置HTTPS执行双向认证默认情况下,HTTPS单向认证的模式工作,即客户端通过网站证书来验证网站的身份,但网站并不验证客户端的身份,如果需要通过证书验证客户端身份,则可以要求试图访问网站的客户端必须提供证书才能进行访问,执行双向认证时,网站将只接受HTTPS访问。绑定网站，如上图，这里SSL证书选择abc，注意不是。这个证书要完成后面的操作才会有。在第二台win2008客户机上打开浏览器，输入：/certsrv；如下图：在上图中，选中下载CA证书、证书链或CRL。在上图中，选择“下载CA证书”。为了寻找方便，建议保存的时候直接保存到桌面，命名为certnew。双击桌面的证书，出现如下图所示：点击安装证书向导，单击“下一步”，出现下图：之后的操作全部默认，至此，客户端已经安装了企业跟CA的证书。客户端还需要申请一个自己的证书。还是输入：/certsrv，打开如下图所示，这里选申请证书。这里选“高级证书申请”这里选“使用base64”此图中的编码从之前的abc中用记事本打开复制过来，注意包含-BEGIN CERTIFICATE-和-END CERTIFICATE-。由于abc在第一台虚拟机中，可以先拖到物理机，然后从物理机拖到第二台虚拟机中。下载证书，证书名设为certnew2，并且安装证书。把该证书复制到第一台虚拟机中，或者在第一台虚拟机中用同样的方法申请该证书，有了该证书就能完成证书申请了。如下图：主要这里不要放一开始申请的导入“受信任的根证书颁发机构”的certnew证书，而是后来申请的certnew2证书。当弄错了，是不会继续的，所以这步一般不会错。申请好了以后就多出来一个证书，很多人混淆和搞不清前2个证书，如果电脑配置好，建议做实验的时候AD、证书和IIS分别装两台虚拟机中，再用一台客户机，三台电脑做这个实验，这样上图中就只会有一个证书了。前两个其实是企业根CA的证书。注：证书申请除了通过网页方式申请外，还可以打开MMC，添加证书模块来做。我们在安装好Certificate Server后，给自己的Web Server发一张证书，安全站点已经建立起来了，在IIS管理器中打开安全通道（先不要接受客户证书验证，如果没有浏览器证书的话），把http改为https后访问的站点，怎么系统提示服务器证书有问题？记得在浏览器中安装的根证书了?要不就是服务器证书过期了，如果没有在浏览器中安装根证书，就要安装它，同时其他人通过Internet访问站点如果没有安装根证书，需要将根证书放在网上让别人下载。用IE安装根证书很简单，浏览器提示用户打开或保存时选择打开，会看到根证书信息然后按安装证书就可以了。但可能会发现Netscap无法安装根证书，SSL协议是由Netscape首先提出并实现的，Netscape使用MIME类型application/x-x509-ca-cert来表示CA证书，IE3.1以后开始支持SSL，起初Windows系统的数字证书文件（.crt和.cer）也采用相同的MIME类型，IE5.0以后MIME类型被改为application/pkix-cert这就造成Netscape安装根证书困难。不过这个问题好解决，只要在IIS里新注册application/x-x509-ca-cert的MIME类型就可以了。刚发的证书浏览器有时也会显示证书过期，这是因为浏览器判断证书有效是从证书有效起始时间的后一天开始，此外数字证书中的日期大都是GMT时间而不是本地时间，所以通常将本机时间向后调整一天这个问题就能解决，所以证书过期不仅仅可能表示太晚也可能表示太早。一切都已经就绪，进入安全网页了，在IE的状态栏里应该有一个小锁，双击这个小锁能看到站点证书信息，同时也能看到整个证书链。现在也许会问那么现在我怎么用SSL加密我的数据呢？，实际上现在浏览器和Web服务器之间交换的所有信息都已经被加密，SSL是工作在网络层与会话层之间的协议，它在TCP/IP和HTTP之间增加了一个加密层，所以对于工作在HTTP协议以上的用户而言，加密是完全透明的，所以请忘记用SSL加密这句话，除非直接在Socket上开发，比如写个网络蚂蚁之类的。现在想用SSL实现更多的东西，不仅仅是加密。是申请浏览器（客户）证书的时候了，申请客户证书过程也不复杂，除了相同的名称，国家之类的还多一个EMail地址，如果用IE申请证书可能会有许多选项，其中有两个比较有意义，允许私钥被导出对与不在固定机器上上网的人比较有用，如果在一台机器上申请了证书，导出证书和私钥并安装到其他机器上就可以在其他机器上使用了。用户保护会让浏览器在使用的私钥时提示，这通常发生在加密和签名过程之前。证书安装过程通常都是自动的，安装完成后可以欣赏一下，在IE中打开Internet选项，选择内容一栏，按证书按钮，在个人一栏内应该有客户证书。现在在IIS管理器中设置站点要求客户证书，然后访问站点，浏览器会弹出一个对话框，让选择要使用的客户证书，然后就进去了，也没什么不同。那么怎么样利用SSL实现身份认证呢？首先可以在IIS管理器中启用客户证书映射，将客户证书影射到NT帐号，可以映射某张证书，也可以映射所有根证书所签发的客户证书，如果在签发者列表中找不到根证书，需要运行SSLCA.exe（IIS4.0以上），以后的事就属于NT管理员的范畴了。如果不想用NT的安全机制，就需要获取对方客户证书的信息，然后进行判断。通常客户证书的