证书server2008

知杨银波2015-06-23发表WindowsServer2008证书服务器配置及证书生成方法结合iMC进行证书认证时需要预先生成好服务器端和客户端的证书文件,iMC对证书没有特殊要求.

只要是标准格式证书文件即可.
本案例介绍windowsserver2008证书服务器的搭建方法,并指导完成证书的申请.
网络中以windowsserver2008作为证书服务器.
一.
证书服务器配置打开系统【服务器管理器】,点击【角色-添加角色】,如下图所示:在角色列表中选择"ActiveDirectory证书服务",如下图所示:下一步后在"角色服务"中只需要选择两项,即"证书颁发机构"和"证书颁发机构WEB注册",选择后界面会弹出提示安装"IIS服务",点击"添加所需的角色服务"即可.
如下图所示:下一步后选择安装类型为"独立",如下图所示:下一步后选择CA类型为"根",如下图所示:下一步后选择私钥为"新建私钥",如下图所示:下一步后为私钥选择加密方式,这里保持默认即可.
如下图所示:下一步后为CA配置名称,默认会以服务器计算机名作为名称,可进行修改,本案例保持默认,如下图所示:下一步后为此CA生成的证书设置一个有效期,默认为5年,如下图所示:后续其他配置都保持默认,一路下一步直到安装完成.
完成后返回【服务器管理器】,可以看到安装的"证书服务"和"IIS服务",须保证每个服务都运行正常.
如下图所示:二.
证书申请1.
根证书申请使用浏览器访问证书申请页面http://$Server_IP/certsrv,点击【下载CA证书、证书链或CRL】,如下图所示:选择编码方式为"Base64",点击【下载CA证书】,如下图所示:将CA证书(根证书)文件下载保存,本案例修改文件名为root.
cer.
如下图所示:2.
服务器和客户端证书申请完成后返回上一页面,点击【申请证书】,如下图所示:在证书申请页面点击【高级证书申请】,如下图所示:在高级证书申请页面点击【创建并向此CA提交一个申请】,如下图所示:注:如果点击"高级申请"后弹出的页面和本案例不一致请使用IE8浏览器重试;首先我们进行的是服务器证书的申请.
在申请页面填入相关信息,特别注意的是国家务必填入大写的"CN",需要的证书类型选择"服务器身份验证证书",密钥选项选择"创建新密钥集",密钥用户选择"两者",并且勾选"标记密钥为可导出",其他参数保持默认即可.
点击提交,如下图所示:注:如果证书申请时参数填写完毕"提交"键却是灰色需要设置浏览器允许加载ActiveX控件.

然后进行客户端证书的申请.
重新返回证书申请页面,姓名必须和客户端认证时输入的用户名一致,其他参数保持和服务器证书申请时一样即可.
完成后提交,如下图所示:如果提交申请后并没有弹出证书下载页面,可能是证书服务器没有设置自动颁发证书功能,也就是说申请已经提交了,但是还需要管理员手工给颁发一下.
打开服务器上的【控制面板-管理工具-证书颁发机构】,点击"挂起的申请",即可看到这里存在刚才提交的两个申请.
右键点击选择"颁发"即可完成证书的颁发,如下图所示:完成后再次回到证书申请界面,点击【查看挂起的证书申请状态】,如下图所示:如下图可以看到管理员已经颁发了之前申请的证书,点击【安装此证书】来完成证书的安装.
如下图所示:3.
证书导出安照此方法把刚才申请的客户端证书和服务器证书都安装,然后打开浏览器选择【Internet选项-内容-证书】,选择证书后点击"导出"将证书导出为独立的文件保存.
如下图所示:下一步后选择"是,导出私钥",如下图所示:下一步保持默认即可,如下图所示:下一步设置私钥密码,如下图所示:下一步设置证书文件的文件名和保留路径,这里选择保存在桌面,文件名为server.
pfx,如下图所示:按照此方法保存好服务器证书和客户端证书,加上之前的根证书共有三个证书文件.
分别为root.
cer,server.
pfx,user02.
pfx,请保留待用.
1.
证书颁发web服务依赖于系统IIS服务,所以必须首先安装并开启IIS服务.
2.
如果证书服务器搭好之后无法打开身申请页面,请排查网络并保持服务启动正常.

3.
服务器证书名称可以起任意名,客户端证书名称必须和认证时填写的用户名完全一致.