windows网络服务--pki证书服务

1、实验报告实验项目为web站点启用HTTPS实验准备：两台 server 200（一台web服务器，一台AD服务器及V上一步舶II 1下一步如 1取消AD证书服务）及一台XP客户机，搭建如图环境l«.IMUh>.14024Hum 102. | HL 10.|Aril 雁务lbw 121 MA呃IPIMLIML 19.1/24 tMii以管理员登陆AD服务器，打开服务器管理器，添加逵协话倒向异开始之前选择展务器 角色选挥要安装在此服劳器上的一个或多个留色甬邑0U：AD C£角邑册畀安装类、型CA类坐私钥力曜CA容称肖IF降耦期福认秋箧Ke live Directory E

2、iAJits ManA.geffien. 1 Scrvi: Active Eir»ct«ry 联合身 f 股证服劳 _ hulivsDirectory轻塑目录朋秀IZW DirxWry中二:捕述;kcliFE DirMlow JJF HB 晋（ AD 电厂的碑还书颌爰腰和械的角底 袖，可以eta会发和管理在各种应用程斥中所使用凹讣乃）Active Directory 证书服努BMTP明吾署劳器（E安装'UfnmiFllfeb 股瘠器 CEIS）Tf indowt 5«rA«r VpdatR ServictsIJindowH部署明看L传耳册务器n杠

3、丽隈畀ib网铸祐略耐问朋磬曲装）产件匪曳J'应用程平服劳器.搀端瞋季石壬RE矜/曲重的诜细佬耳选中证书颁发机构web注册涿加角色向导选择角色服务开始之前 服务器帚邑AD CS注揉为Actin Directory证书国务安装的角邑照势；角色服务第）：葡式角邑腑务玲软2!CA类型就朝加密CA名称有效期证璇相屋*eb服务器（IIS）角色服务碉认进度结果上一步曲"I下一步00 安装r I 取消 I选择安装类型（AD使用企业,工作组使用独立）涿加角色向导指定安装类型开始之前服务器角色片AD CS角色服务嚷鹘嘴可以使用Active Directory中的数据来济化证书艘和笆理。指定催需要

4、设置企业CAG企业化）如果比CK是某个j始勺成员且可以使用目录服务来循发和管理证书，清选揉比选项。安装类型CA类型力喈CA名称 有效期wn服势罟ais） 角色服夯MiA 通度 结果JfcZCK）如果比CK不使用目录期务数据来领发或管理证书，清选择此迭项。独立C1可以是域的成员。沌。安奘7间差后的建好隹相上一步伊）I乒一步小）1 安装£ I取消I2d选择要安装的是根CA还是子级CA一根添加角色向导指定CA类型开怕之前月豚器甬色心CS忖粮CA 00甬色醺秀如果您是第一逑瞌装或您是扯甦甜结枸中唯一的证书发机枸佰选择此选项。CA类塑广子级CdCV）如果缰的g符川,处祖基础籍构中更谕另一吓水取

5、亘CK证书，茴迭择址迭顷0加密CA屯称有 效期证书数精库 愉 JH5HI cns）甬 刨治部I设置私钥（新建私钥）IB设制钥瞬器角邑ADCS角色秀安装类堕曲美里也钥CA容称有体期i据库vr»b船琳上一步tn II,1八（M）取消若裹主惑证书倾发给容户符0心顶育一亍私如X雄您翌新建私朝还是使用现骨祸目忆新建乱朗（S）屈迭择加密鹘提限用 iimitscv）使用Has顷可确保重新费:装咋科与并筋避的证.仔的连续性选择加密类型（默认）文寸CA配置加密奔躺之前CA容称有效若要新玄私画绥E硕甘先送林io密直担主匪、宙超法和话合您硕岌的证书P带走用选的童相长度。对密想去度喘矜更吝 的俏将导致更强的

6、点全性，但总怡加兖成芸宕挥乍斯裁时间。选择那恋海分提供程序密朝字符长因'j RSAjBIi <； r *gaft乍七”* 险丫 StyogR Ft-J>i dw-EZj | 虬瞪崔 1 ”|隹择林啜览的荟客证书的唱希算法曲 shU md2 md4 md5厂使用山csr提帙的©虽利谢柔护嗾（每次CK访问该利铝时 "需更和菅理员交互操作】M也 b iGAais）角色般脊确认进嗟结果上一步下一步I配置CA名称（默认）上一曾）下一但） 玄装a |取消I设置CA颁发证书有效期逵加角色向导称设置有效期开始之前服务器角色AD CS角色服夯安装类2!以类型私铜加密CA名

7、称曲翦翼犍钻瞬躺蝙髀盘舞翩鼐2 ,A i炯以选择为此CA生成的证秘勺有效期何）：CA 过期日期 2015/8/7 P 13请注意，“仅在其过期日期之前才能颌发有效的证书。有效期证书数据度“b服昔三ais）角色雕努喇遴度结果有安神者奇书有效时小讦通隹自-TCP） II下一步00 ）|- I 期肖I配置证书数据库（默认）添加角色向导配置证书数据库氐开始之前 服劳当角色AD CS角色服夯 安装类空 CA类型私钥加密CA名称有效期摩鱼霸记录所育证书清札已颁发的证书以及已吊i肖或过期的证书。CA可使用该数据库日志来监证书教握后位击：|C Windovrssysten321 Cert Log浏览9） Ir

8、在此位孟使用来自二次安装的现有证书数据际on 证书数据成日志位量CB）；|C； Windwssy5,tem32C«rtLoc酒更间证物楂据应*地服务mens）角邑服务%胭结果下一步选择安装默认角色(默认)涿加角色向导选择角色股务开始之前.服务若角色AD CS角面腾安装类型8类里私钥力庇CA名际有效期证书数据座胃介 ggftsais)送揖Veb朋分署CHS)安装的角色震势 角色盛努®)T 9靠见ET功能Z种您内容甬邑能分2顺结果安装”-完成添加角色向客安装进度开始之前服务豁角色AD CS角色朋劳安装类组CA类型私甥加密“名称有效期证书数据库kb服分智CCTS)角色用得进度结果

9、a默认文档E目而瞅G0 HTTP靖溪E HTTP里定向 a &应用程序开发 ASF.NET fit irRliE ASP CGI，工SAKE扩展 I5AFI浦连云匚在服务善粉包含文件S厘健康和诊断/ HTTP日志记录Z日志记录工具E清求监视 k正在践.琮 自定义日志记录 L ntiur a 士；;a 皋合壬函邑联*1壬妇传自正在安装以下角色、甬色服务或功能Birectory 证书账势-W»Sais)*“<<”，进程政总服务正在启动安装zJ皿庭£S攥浜对HTML 旗的支 持和对AST. HET , ASF以及Web服 务器扩展的可送支持。可以使用 丫让服苦

10、器来收载内部或外部问 站，或为不左人员提供创建基于 Jb的应用程序前不堵。<上一步伊)|下一步00 > 安装"| 取消 |1 : ， I T ,； I 1不 一 I 厂门 I以管理员登陆web服务器，打开服务器管理器，安装web开始之前述择曦务器角色迭强劈安驶在氏屈劳吉上的一卜幽个角色*ftSGO：确讣.ikct3v-e Dirtctorjr Hi | |二髯 IIKriagcnent Services 吐 廿化 Directory 麻合身 fH-新 IE 眶劳 Kctife Pirwtory轻型目录服势Actin Dirtcbwy 皿口目第ictivE Dirsctor

11、x 证书服箝DHCT静器DBS服劳器WI股Wi覆僵器HI或提洪可弄 司岂1里 弁且可犷用的牡i应用理犀克砒结Yirjd.Diri ServerHind 阳 0L儒酎月券器L挺口朋务C瞬翘和询问服劳J文件期劳L终谄朋务£上一绢7）1f、一步I下一步安装默认角色（根据需要选择角色）逶加角色向导选择角色服务白之前服务器的邑»eb服务叁COS）南色服务确认送度结果选择为Veb服务3 0IS）安妞悯色服务 角色服劳00：日，n卜服劳mE 常见HTTP功能的奇内容E默 叵目录澜览 Z him幡提 HTTTT重颉& 应用程序开发J AST NKTJ.m扩展性J ASPJ CGI1

12、 isati trK IS API wSigS在“务器弼的包含文件健康和诊舒Z Kiir日志记录日志记录工具k请求监视U正在限度自定义日志记录0TVPT CJ土言 有关证黄胆炎的洋羽信厘取清密逑tsk事我找提供对）nuL网站的支 势和对ASP NET、ASP以及hb服 券落扩展第可送支持。可以使用*eb服务器来京我内部或外部网 站，或为开发人员提浜创罐基于YQb的应用程摩的环境。上一步管）下一步m 安装G |取消|安装,完成安装完成后，在客户端验证，看看是否可以使用EBB"3 ILS7 - licrosaft Internet i*x:p _L meii:文件博温目耐互苗VJ收工艮带

13、肋（X） 国圃 p斫炖夹e ® 回单：地址 o>) lAlhllj7/lA2.1M0.10/±劭转到瑾挂bj http 7/sA, M crpiflft cA/fwlink/71 iukid=Hl/i d=Qx409电在web服务器上打开IIS管理器，打开服务器证书在操作窗口单击创建证书申请编辑属性选择加密服务提供程序属性为文件指定一个路径及名称一完成打开刚才申请的文件，全部复制在浏览器中打开AD证书注册页面(web服务器上)f Intamiet Ixploror 增强的安仝fij置已启用 一 Windows Inf ernat Kzplorr1&8.10.

14、1/certirvLive Search.n9 * EJ 口页面便).工具电)*Internet Explorer播强的安全配置已启用:二父Ev.ox;宝逼三亍三工艮总厂三土百巨餐;刍= W三三：:二£?.=?二工"工二：nrr.»ty：厂仃厂门 一 一一支KPE三：©二一 ”门二多圣国再关二一二一 一丁级怪."一；豆二三二：二更三工. «<一连接到用户名)|C *4®加Cr*tr正在连横到192.168.10. U3Microsoft Adxve Directory 证TS服务 benet-DC-CA主页密码化)：r

15、记住我的密码OI"护模式第用打开AD证书服务web注册页面，申请证书选我二个住务：由遭位书欢通使用使用此网站为您的Web浏览器、电子邮仁客户稿或其他程序申清证书,通过使用证书，您可以向通过Web 进行通信的用户谕认您的身份、签名并加空邮件，并根庭您申清的证书类型执行其他安全任务.您也可以使用此网站下载证书颁发机构(CA)证书、证书处,或证书吊销列表(CRL),或者亘看隹申清的状 太5©有关Active Directory证书服务的详细信息，清参阅Active Directory证书强务文档.证书由清的状态CA证书、证书错或CRL%可信站宜|保板模式禁甩选择高级申请使用bas

16、e64编码提交申请Bi croseftfirecttrF /书苣务Tin>d*T5 TBter&et Ex*l»rer-Iff XIr |A lit.lpv/J92 LfiC. 10. l/c«rt=rv/c4itz,4«.d. asp耳如 A Jtii cHActive Dir«cl«rA 证书股务右民”皈r页面耐木上具加” “Active Directory 证甲!回胃bcnct-DC-CA高级证书申谙CA的策胳决走您可以申活的迁丰类别。单击下列范顷之V :创翅并向此匚A每兖一 t申请,鬼用t）刖曲斗编玛的CW或PKC3 加文

17、F左亍迁书审青,或腿用吸口勺第码的FKC5初艾化续订证书申请°jAj 1?&可恒站点1煤护唱云禁用X1DOK-/ex|< http： /192 1&8 10 l/crtsrv/cartrqxt «:p完提父Olicros0ft Active Direct try 证指 flfi 务一InCemot Expl or erBase-64编码的证书申语(CMC KPKCS #10 或PKCS t7):证书模板:附加属性:屈性:禁用|诜择web服务涔Microsoft Active Directory 证书族夯benet-DC-CAMicrosoft Acti

18、ve Directory 证书赧务提交一个证书申请或厘订申请要提交一个保存的申请到CA ,在“俣存的中清F1中玷贴一个由外部漉（如Web服务器）生成的base-64编 码的CMC或PKCS #10证书申请或PKCS #7续订申清。保存的申诲:将刚才复制的信息粘贴进 来（就是创建申请的文本 文件内容）下载证书可以看到已经将证书下载到桌面了Explorer喳制面撷打开IIS管理器，打开证书服务完成证书申请（web服yw彝务器迁韦务器上）AInternet 信煜 BE 营 口工群(KSJ鱼XR巧卜VT八5兮| *M文件QO视囹鞘削肋曲1黑件|愧连接蝇白巧起抬页M a YTN jEWEr«d

19、iiiui Etritar).l应用超帛担E网D«£«ult *!) Siti曹雕卑能来申请和官理血瞒器可以对喝了低菩黏便创燧证羽申语.站证书申涪.，就蜡容祢I砸发给创凰颍书.创燧自酸名证书2d完成申请可以看到刚刚申请的证书已经导入15XNntrrbM信身凰务（H即骨理爵交件明 b帮助（阳55 I杠*站磅起癫Vfif CBEMnXadninWIr&Mr1)虹服务器证书韶股能来申i百他f Web册务器可涮殴置了霁I的间站使就绪'JS ?辿网站De£&.ult Web Site192.188. 10. 30JLJ±入创站证仿

20、申猜创圜吨多创腥自述名证匚副续订X amo帮助然后右击网站”编辑绑定另组依搪园或115循密站点.1cDefault Aeb Sire 主贡<-U|£ 屿起绅d UPH (BElfETAkdnjiiiUrtit«rJ应用程睡迪F*网Def mil服扛应用g币漆tD虚I出目录别新宾)刖*IT另忖蚩证输出境存5SAiSS.宅理网站-聿新启动A母借止湘I笼网站1 测贤 *: 8U (http)KS限制 四帝肋 联机耳助编辑绑定-添加ax添加网站缰定承口： |443类型： ip地址a)：https_3 |192 168：10J0主机名00:ISSL证书6):在客户端使用http

21、s访问web站点I 1157 - licro?oft Jnterir；t Explorer文件中查看（V）片助（HJQ后退。必阉六收夷e也址00 jttPz7/192 168 10双击小镇看到无法信任次证书（这常规详细信息证书路径H书信尽无法格这个证书总证到一个受信任的H书罐友机构.7TN'fl OOI U布效起始日期2010-8-7到2012-8Y安装证书CDI豳定I岛 Internet史书IjL IA谶发者说明倭发者：beaet-BC-CA倭:发给 192 168 10 10是肯定的了，应为证书颌发机构都 是一些国家级的权威机构,要是可 以醺便偌任,那就不叫做安全连接 了）tion

22、 servicesVELKOMEN欢迎Wit any可以看到F边已经有一个小锁，这就代表此链接是安全加密的用客户机登陆证书申请页面吓载CA证书，欢迎使用佚用此冏站为您的Web浏览翼 电子邮件容户端或其他桓序申清证书,通过便用证书.您可以向通过Wab进行谨倍的用户确 认您的身份*签名井加密由阱，井视据您申请的2正书类型执行其他安全任务您也可以空用此网站卜载征书建发机构（CAJ1I毛、证书锤-或证毛尽葩列表忆RL）,或者宣看桂起申请的状有芙Active Directory证书弱务的详细信息清卷阅Azti低Di使匚tory证毛眼券文档”谨择一个任务：申请证书查看挂起的迁书申请的状态卜载U证韦、证书链

23、或CRLTn-t«rn«-t崔）选择下载证书链下载完成的回收玷打开控制台(运行输入MMC)”“添加证书单元导入证书链高控制台1 -控制台根节点'证书-当篇用户'受信任的银证书颐发机构证书卜文件(2)操作00查看CV)收藏翼窗口朝帮助00匝10:圈I矗回口控制台很节点倩发给过期日！八人信 < 山耀子信<1三” 个受已企中抚受不第受 起 u+JJ+nn+n口国址扎ECOH Bflot躺国 Autoridad Certi ficadora die .I K| Autoridad Certi ficadora die +查看(V)从这里创建窗口 on新任

24、务?®观18刷新CF) 导出列表0J.帮助0DDSTt Primary C 札«tCA Class k CAClass B«t CA Root etCA SCC Root首皓APerscumeE)Certi si gn - Autori dale Cer(N妗轩打 si 卬】 Autoridade Certi.kBA. ECOM Root CAAutoridad Certifi cadora de 1. Autoridad Certifi cadora del. Baltimore EZ bv DSI Belfacovn E Tru.3t Prim arv CA

25、C&W iOCT SecixreNet CA Cl 簪首 A C 输 10A SecixreNet CA CI»s B C&W 沿醵 SecixreNet CA Root C 酬 SecixreNet CA SGC Root CA 1Certip。昌 t 电A Pers&imeCertip。昌 tg ServeyrCertiwi 言平-Autcri dale Certi. Certisign Kiltcri dale Certi. Certisign Autori dade Certifi.20M-T-20M-&- S009-&-20M-T-2

26、010-1-2009-102009-102010-102009-102019-3-2016-5-2016-&-2016-&-201S-S-201S-S-V> <1>1包括了所有可对此项目执行的操作°将桌面的证书导入滋 m显M ；枕匾!剽思杲0藐抽黜Ml网饥文IT二口操作血查看W）收藏夹窗口希肋如s XILJ控制台根节点-旨证 书-当前斥仆口受 信任的人 证书企业信 任中证书 13A.ctiys Di: 匚奚信莅叙U 不信枉的汇口第 三方根II 一 I受 信任人AABA. ECOM Rsot CA国 Autoridad CertificadPra da.Auforidad Carti ficadora de .ABaltifncre EZ by DST iAfielgiccin EpirustPrimary CA 国 M AcoHK 固C酬J1K 固c酬而K 固C丸1 SlKTSAcurtNitSAtur