CA证书服务器搭建与证书申请详细教程

文档名称文档密级1 Windows CA 证书服务器配置 Microsoft 证书服务安装安装准备：插入Windows Server 2003 系统安装光盘添加IIS组件：点击确定，安装完毕后，查看IIS管理器，如下：添加证书服务组件：如果您的机器没有安装活动目录，在勾选以上证书服务时，将弹出如下窗口：由于我们将要安装的是独立CA，所以不需要安装活动目录，点击是，窗口跳向如下：默认情况下，用自定义设置生成密钥对和CA证书没有勾选，我们勾选之后点击下一步可以进行密钥算法的选择：Microsoft 证书服务的默认CSP为：Microsoft Strong Cryptographic Provider，默认散列算法：SHA-1，密钥长度：2048您可以根据需要做相应的选择，这里我们使用默认。点击下一步：填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在可分辨名称后缀中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。点击下一步：点击下一步进入组件的安装，安装过程中可能弹出如下窗口：单击是，继续安装，可能再弹出如下窗口：由于安装证书服务的时候系统会自动在IIS中（这也是为什么必须先安装IIS的原因）添加证书申请服务，该服务系统用ASP写就，所以必须为IIS启用ASP功能，点击是继续安装：完成证书服务的安装。开始 管理工具 证书颁发机构，打开如下窗口：我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。此时该服务器（CA）的IIS下多出以下几项：我们可以通过在浏览器中输入以下网址进行数字证书的申请：http:/hostname/certsrv或http:/hostip/certsrv申请界面如下：2 windows2003证书服务器生成ssl-vpn所使用的证书。 我们可以通过在浏览器中输入以下网址进行数字证书的申请http:/10.153.42.64/certsrv/SSL VPN我们用到的证书一般有3种：CA证书，服务器证书和客户端身份验证证书首先申请CA证书：申请CA证书，选择编码格式，此格式在证书引入时决定使用der或者pem点击下载CA证书，弹出保存证书对话框，选择保存位置并填写证书名字：如ssl_ca.cer这样CA证书就已经申请好了，下面来申请服务器证书：点击“申请证书”，再点击“高级证书申请”然后点击“创建并向此CA提交一个申请”按照提示内容填写相关识别信息，选择证书类型为：服务器身份验证证书，注意勾选“标记密钥为可导出”，之后还需要将证书从浏览器导出，提交并请求证书：申请好后安装此证书：证书安装成功后需要将证书导出到本地，以便后续使用：打开浏览器，选择“工具”“internet选项”“内容”“证书”，会出现证书列表，选中刚才申请的证书点击导出：将证书保存到本地的过程请参考下面的图示：填写证书名称，可以使用ssl_server.pfx，可以不写扩展名，系统会自动添加.pfx的扩展名这样服务器身份验证证书也申请好了，做SSL VPN密码验证的话这2个证书就已经足够了，如果要做证书认证，还需要再申请客户端身份验证证书：申请客户端身份验证证书跟申请服务器身份验证证书相似，主要是证书类型不一样，具体过程请参考下面的图示：此处需要注意，使用证书+密码方式认证时，此处的姓名要和ssl vpn配置的登录用户名保持一致，否则认证失败至此，3种证书就已经申请完毕，客户端身份验证证书导出方式跟服务器是一样的。2022-03-03H3C机密，未经许可不得扩散第22页, 共22页