1、Windows Server 2008 企业 CA 认证实验用 2 台 win2008 和一台 xp 做一个企业 CA 实验。在 Win08DC 上创建 Web 网站,要求实现https:/www.testdomain.local 加密访问。1.给三台电脑分别设置好 IP 地址,计算机名字。 (省略)2.把 win08dc 升级为域控制器,域名为 testdomain.local,把 win08client 和 winxpclient 加入域。 (省略)3.在 win08dc 上安装 IIS 服务。 (省略)4.安装证书服务:Win08dc 配置: 这里直接点击安装证书服务器,它会直接将 II
2、S 服务器进行安装点击下一步只有是 DC 时企业 CA 才能进行选择,普通计算机只能选择独立 CA,这里选择企业 CA,点击下一步选择根 CA,点击下一步选择新建私钥,点击下一步下面的步骤都是默认值这里省略在这里我要申明,如果 CA 和 IIS 服务器是在同一台计算机上面,那么就不需要建立与 CA的信任关系了,如果不是在同一台计算机上,那么就要做与 CA 的信任关系了。这里通用名称要填写 IIS 的 IP 地址或者域名,点击下一步默认,点击下一步将 cz 这个文件放在桌面,点击完成然后进入 IE 浏览器登陆 http:/1.1.1.1/certsrv,之后输入域用户的账号和密码,这里我是用的管
3、理员,点击确定点击申请证书选择高级证书申请选择第二个将桌面上的 cz 这个 txt 文件中的复制到这里,证书模板一定要选择 web 服务器,点击提交提交后如果是独立 CA 是要手工去颁发证书的,企业 CA 是自动颁发的,点击下载证书,将证书下载到桌面点击完成证书将申请到的证书路径填写到第一个方框中,好记名字随意,点击确定这里不要急着将网站进行加密,如果将网站进行了加密,下面没有申请证书的客户端就不能登陆到 http:/1.1.1.1/certsrv 这个网站进行申请证书,所以我们先去客户端将证书申请下来之后,再将网站进行加密。Win08client 配置:在进入这个网站之前,还是要输入域用户的
4、账号和密码,这里选择下载 CA 证书、证书链或 CRL选择下载 CA 证书,保存到桌面然后安装桌面上的证书点击下一步,下面的步骤默认,安装这张证书是为了和 CA 服务器建立信任关系点击申请证书点击用户证书如果点击进去出现上述提示,提交是灰显的,解决方案如下:这一项必须启用点击提交,然后安装证书最后去 win08dc 上面将网站进行加密现在在去访问,只有有证书的客户才能访问这加密的网站在 win08dc 上没有证书,访问就会出错在 win08client 上拥有证书能成功访问先装证书服务还是先装 IIS 服务? 装了证书服务,IIS 也会安装上去?答:直接安装CA 服务器当 CA 和 IIS 在一台电脑上时,CA 还是否要给本机的 IIS 颁发证书来信任?答:不需要在颁发信任证书当客户机是 2008 和 XP 时,对比申请证书时的区别。答:Windows xp 与 windows server 2008 最大的区别就是在用户证书申请的时候,2008 会提交灰显,需要改可信任站点,而xp 不需要,其余步骤相同
