Windows Server 2008标准证书使用记录

Windows Server 2008标准证书使用记录

 

近期准备将单位的服务器全部升级到Windows Server 2008，但有一些“遗留”问题需要解决：

（1）现在单位还有一台Windows Server 2003，上面安装了“标准CA”并做证书服务器，为ISA Server、heuet.com等网站提供域名等证书。

（2）Windows Server 2003安装了“Windows部署服务”，用来提供远程安装服务。

（3）用ISA Server做的“VPN”服务器，且“企业CA”做“智能卡”发放证书。

现在逐渐将Windows Server 2003升级到2008，现在先测试Windows Server 2008中的“标准CA”与Windows Server 2003提供的“标准CA”的区别，看是否可以升级。

主要测试环境如下：

准备一台Windows Server 2008虚拟机，安装证书服务，并申请“用户证书”、“计算机证书”，看是否可以满足第1个条件。

主要测试过程：

1 安装证书服务

（1）在一台Windows Server 2008虚拟机中（未安装IIS、未升级到AD，其他任务服务都没有安装），进入“服务器管理器”，定位到“角色”，在右侧窗格单击“添加角色”，如图1所示。

图1 添加角色

（2）在“选择服务器角色”页中，选中“Active Directory证书服务”，如图2所示。

图2 证书服务

【说明】你千万不要被“Active Directory”几个前缀“吓到”，虽然名称叫“Active Directory证书服务”，并不表示这一定需要Active Directory的支持。继续看，你就明白。

（3）在“选择角色服务”页中，添加“证书颁发机构”、“证书颁发机构Web注册”、“联机响应程序”，在选择“证书颁发机构Web注册”时，会弹出添加IIS的对话框，单击“添加必需的角色服务”即可自动添加所需要的IIS服务，如图3所示。

图3 添加角色

（4）在“指定安装类型”页中，选择“独立”，这就是表示要安装“标准CA证书”服务器了，如图4所示。

图4 添加标准证书服务器

（5）在“指定CA类型”页，选择“根”，如图5所示。

图5 根CA

（6）在“设备私钥”页，选择“新建私钥”，如图6所示。

图7 新建私钥

（7）在“为CA配置加密”页，选择默认值，如图8所示。

图8 为CA配置加密

（8）在“配置CA名称”页，选择默认值。在以后的配置中，选择默认值，直接安装完成，如图9所示。

图9 安装完成

（9）虽然没有提示需要重新启动计算机，但是，最好是重新启动计算机，让设置生效。

2 申请用户证书

再次进入Windows Server 2008后，我们将为Windows Server 2008“本身”申请一个Web服务器证书。

（1）打开IIS,选择“服务器证书”，如图10所示。

图10

 

（2）点击“创建证书申请”，填入相关性，下一步，如图11。

图11

（3）键入位置，完成。如图12

图12

（4）打开IE，键入http://localhost/certsrv，如图13所示。然后单击“申请证书”。

图13 申请证书

（5）选择“高级证书申请”，如图14所示。

图14 高级证书申请

（5）输入刚才申请保存txt，填入以下表框里面，如图15。

图15

（6）提交申请后，提示“证书正在挂起”，如图16所示。

图16证书申请被挂起

返回到“服务器管理器”，定位到“角色→CA→挂起的申请”，在右侧，颁发申请的证书，如图17所示。

图17 颁发证书

（7）切换到IE浏览器，单击“主页”按钮，单击“查看挂起的证书申请的状态”，如图18所示。

图18 查看挂起的证书申请的状态

（10）可以看到，证书已经被颁发，保存在桌面。

 

（11） 再次进入IIS→服务器证书，输入好记名称，完成证书申请，如图19。

 

图19

（12）导出客户端证书（计算机证书）如图20

图20

（13）绑定https，在弹出的“网站绑定”对话框中，单击“添加”按钮，在弹出的“添加网站绑定”对话框中，选中HTTPS，并在“SSL证书”下拉列表中，选择新添加的“Web服务器证书”。

 

（14）在客户端电脑导入（12）导出的证书。

 

（15）客户端电脑访问目标网址，提示正常，如图21。

至此已全部完成。