证书颁发模块
一、 实验环境
1. 证书服务器的ip地址
2. Web服务器的ip地址
3. 客户端的ip地址
4. 客户端访问Web网站
二、 Web服务器申请证书
a) 首先要信任CA
1. 选择下载CA证书/证书链或CRL
2. 点击是继续下载证书或证书链并保存
3. 打开mmc添加证书并选择计算机账户
4. 完成后选择受信任的根证书颁发机构
5. 右击导入证书
6. 选择文件
7. 下一步并完成
b) 申请证书
1. 选择申请证书
2. 选择高级证书申请
3. 创建并向此CA提交一个申请
4. 点击是然后完成
5. 注意要填写密钥为可导出而且是服务器身份验证证书
6. 到证书服务器上颁发证书的申请
7. 到Web服务器上打开浏览器查看挂起的证书的申请状态
8. 点击查看挂起的证书申请状态
9. 点击是然后点击安装此证书
10.安装之后然后需要导出,可以在浏览器里找到证书并导出
11.找到并导出
12.标记导出私钥
13.下一步
14.输入安全密钥下一步
15.下一步然后选择保存的地方并完成导出
16.打开mmc添加证书模块并选择计算机账户
17.找到个人——证书,然后右击导入并下一步
18.选择所有文件,然后选择导出的证书文件
19.输入先前的密钥并完成导入(建议在标志此密钥为可导出密钥)
20.最后完成
c) 证书申请二
1. 选择服务器证书
2. 填写相关属性
3. 注意通用名称是需要客户端连接的网址(因此必须填写正确)
4. 可以保持默认
5. 选择路径并完成
6. 打开浏览器申请证书
7. 选择申请证书
8. 选择高级证书申请
9. 选择第二个
10.找到刚刚申请保存的文件复制里面的内容
11.最后粘贴保存申请
12.打开浏览器查看证书申请状态
13.然后下载保存
14.打开IIs完成证书申请
15.选择刚下载的文件确定完成
16.选择网站绑定
17.绑定https
18.绑定之后再在客户端通过https来访问
19.但是可以继续访问,但不推荐
其上出现输身份验证的原因是禁用了匿名访问,但是可以访问
三、 为客户端申请证书
a) 让客户端信任CA
1. 选择下载CA证书/证书链或CRL
2. 选择下载证书
3. 然后保存
4. 同理打开mmc添加证书然后选择计算机账户
5. 完成后找到受信任的根证书颁发机构,然后点击证书并在右面点击所有任务导入
6. 选择刚下载的CA证书并完成导入
7. 完成如图所示
8. 安装好后用https访问网址
b) 客户端安装证书
1. 在客户端上通过浏览器申请客户端证书
2. 选择申请证书
3. 选择高级证书
4. 选择创建并向此CA提交一个申请
注意要标记密钥为可导出
5. 提交完成
6. 在CA服务器端颁发客户端申请的证书
7. 客户端查看客户端身份证书申请情况
8. 安装证书
9. 导出证书
10. 有必要导出私钥
11. 保持默认
12. 输入安全密钥
13. 保存路径
14. 打开mmc同样添加证书模块到计算机账户,然后找到证书下面的个人,右击所有任务导入
15. 选择证书文件
16. 输入密钥下一步
17. 最后完成
