1、 Win2003 证书服务配置客户端(服务端)证书申请 IIS 站点 SSL 设置原创图解Win2003证书服务配置/客户端(服务端)证书申请/IIS 站点 SSL 设置 一CA 证书服务器安装1安装证书服务之前要先安装 IIS 服务并且保证“WEB 服务扩展”中的“Active Server Pages”为允许状态2在“控制面板”中运行“ 添加或删除程序” ,切换到“添加/删除 Windows 组件”页3在“Windows 组件向导”对话框中,选中“ 证书服务” 选项,接下来选择 CA 类型,这里选择“独立根 CA” 4然后为该 CA 服务器起个名字( 本例中的名字为 CntvsServer
2、),设置证书的有效期限,建议使用默认值“5年”即可,最后指定证书数据库和证书数据库日志的位置后,就完成了证书服务的安装。5.安装完成后,系统会自动在 IIS 的默认站点,建几个虚拟目录CertSrc,CertControl,CertEnroll 二客户端证书申请1. 运行 Internet Explorer 浏览器,在地址栏中输入“http:/ 证书服务器IP/CertSrv/default.asp”。证书申请页面,输入相应的申请信息,然后点击申请一个证书。接下来选择“Web 浏览器证书“填写相关信息2. 系统将处理您提交的申请,此过程可能要等待10秒钟左右。建议最好记下申请 ID(本例为4)
3、三。客户端证书的颁发打开“管理工具” 选择“ 证书颁发机构 ”,打开“挂起的申请“,右击“ 颁发“四。客户端证书的下载及安装1.运行 Internet Explorer 浏览器,在地址栏中输入“http:/ 证书服务器IP/CertSrv/default.asp”,选择 “查看挂起的证书申请状态”2.找到自己申请的证书3.安装证书安装完成后,可到 IE 里查看刚刚安装好的证书五.服务器证书的申请1.以 IIS 的默认站为例,先右击站点,打开网站属性目录安全性服务器证书2.按 IIS 证书向导 一步步 提交服务器证书申请六。服务器证书的颁发1.先打开“证书颁发机构“,提交刚才的申请选择刚才的 c
4、:“certreq.txt按提示一步步完成2.颁发证书在挂起的申请里,可以看到刚才的申请(本例 ID 为5),右击颁发3.导出证书在颁发的证书里,可以看到多了个证书,在新颁发的服务器证书上右击打开切换到“详细信息 “,单击“复制到文件“,将该证书导出为 cer 文件七。IIS 中服务器证书/SSL 的设置。还是先打开网站属性,切换到“目录安全性“ ,点击“服务器证书“2.安装服务器证书选择刚才导出的 cer 文件然后一路下一步,直到完成.3.设置 SSL有了服务器证书后,IIS 的相关站点,可以改用 https:/来访问,还是打开网站属性目录安全性安全通信编辑把“要求安全通知(SSL)“选中,
5、确定即可这里,如果我们再访问 http:/localhost/CertSrv/default.asp,会提示以下错误:这里必须把 http:/换成 https:/来访问,即 https:/localhost/CertSrv/default.asp,如果是IE7,会提示证书错误,如下图:先不管这个错误(马上会说到如何处理 ),点击“ 继续浏览网站( 不推荐)“即可正常访问最后来分析一下,为什么会有这个证书错误,强行浏览这个页面后,会发现地址栏是红色的,我们点击地址栏右侧的“证书错误“ “查看证书“观察一下会发现,刚才我们申请的服务器证书,在颁发证书时,默认是颁发给计算机名,本例中也就是 jimmycntvs 这台计算机的,而我们现在用 localhost 来访问,服务器会认为localhost 与 jimmycntvs 不是同一台机器,因此觉得不安全!既然知道原因了,也就能解决了,我们把访问地址换成https:/jimmycntvs/certsrv/default.asp (即把 localhost 换成 jimmycntvs),这回 IE 就认为访问地址与证书中的信息对上号了,也就没有提示了,呵呵来自“菩提树下的杨过”
