证书服务相关

1、证书教程：Server 2003 : 使用SSL协议有什么好处呢？SSL安全协议工作在网络传输层，适用于HTTP，telnet,FTP和NNTP等服务，不过SSL最广泛的应用还是WEB安全访问，如网上交易，政府办公等。本文将由笔者为各位读者介绍使用SSL加密协议建立WWW站点的全过程，为了保证技术的先进性我们介绍在windows2003的IIS6上建立SSL加密的方法，当然在windows2000的IIS5上建立SSL加密步骤基本相同。一、先决条件：要想成功架设SSL安全站点关键要具备以下几个条件。1、需要从可信的证书办法机构CA获取服务器证书。2、必须在WEB服务器上安装服务器证书。3、必须

2、在WEB服务器上启用SSL功能。4、客户端（浏览器端）必须同WEB服务器信任同一个证书认证机构，即需要安装CA证书。二、准备工作：在实施SSL安全站点之前需要我们做一些准备工作。第一步：默认情况下IIS6组件是安装在windows2003中的，如果没有该组件请自行安装。第二步：我们建立的IIS站点默认是使用HTTP协议的，打开浏览器在地址处输入“http:/本机IP”（不含引号）就可以访问。（如图1）图1第三步：安装证书服务，通过控制面板中的添加/删除程序，选择添加/删除windows组件。在windows组件向导中找到“证书服务”，前面打勾后点“下一步”。（如图2）图2小提示：证书服务有两个

3、子选项“证书服务Web注册支持”和“证书服务颁发机构(CA)”。为了方便这两个功能都需要安装。第四步：系统会弹出“安装证书服务后计算机名和区域成员身份会出现改变，是否继续”的提示，我们选“是”即可。（如图3）图3第五步：在windows组件向导CA类型设置窗口中选择独立根CA。（如图4）图4第六步：CA识别信息处的CA公用名称输入本地计算机的IP地址，如5，其他设置保留默认信息即可。（如图5）图5第七步：输入证书数据库等信息的保存路径，仍然选择默认位置系统目录的system32下的certlog即可。（如图6）图6第八步：下一步后出现“要完成安装，证书服务必须暂时停止IIS

4、服务”的提示。选择“是”后继续。（如图7）图7第九步：开始复制组件文件到本地硬盘。（如图8）图8第十步：安装过程中会出现缺少文件的提示，我们需要将windows2003系统光盘插入光驱中才能继续。（如图9）图9第十一步：继续复制文件完成windows组件的安装工作。（如图10）图10 三、配置证书：下面就要为各位读者介绍如何通过IIS证书向导配置我们需要的证书文件。第一步：通过“管理工具”中的IIS管理器启动IIS编辑器。第二步：在默认网站上点鼠标右键选择“属性”。（如图11）图11第三步：在默认网站属性窗口中点“目录安全性”标签，然后在安全通信处点“服务器证书”按钮。（如图12）图

5、12第四步：系统将自动打开WEB服务器证书向导。（如图13）图13第五步：服务器证书处选择“新建证书”，然后下一步继续。（如图14）图14第六步：延迟或立即请求处选择“现在准备证书请求，但稍后发送”。（如图15）图15第七步：设置证书的名称和特定位长，名称保持默认网站即可，在位长处我们通过下拉菜单选择512。（如图16）图16小提示：位长主要用于安全加密，位长越来则越安全，不过传输效率会受到一定的影响，网站性能也受影响。一般来说选择512已经足够了。第八步：输入单位信息，包括单位和部门。（如图17）图17第九步：在站点公用名称窗口输入localhost。（如图18）图18第十步：地理信息随便填

6、写即可。（如图19）图19第十一步：设置证书请求的文件名，我们可以将其保存到桌面以便下面步骤调用方便，保存的文件名为certreq.txt。（如图20）图20第十二步：完成了IIS证书向导配置工作，并按照要求将相应的证书文件保存到桌面。（如图21）图21 四、申请证书：配置好IIS所需的证书文件后就要根据该证书内容进行申请了。第一步：打开IE浏览器在地址栏中输入5/certsrv/打开证书服务界面。（服务器IP地址为5）（如图22）图22第二步：点“申请一个证书”后继续。第三步：在申请证书界面选择“高级证书申请”。（如图23）图23

7、第四步：在高级证书申请界面选择“使用base64编码的CMC或PKCS #10文件提交一个证书申请，或继订证书申请”。（如图24）图24第五步：用记事本打开上面保存在桌面上的那个certreq.txt文件，将里面的内容全部复制。（如图25）图25第六步：将复制的全部内容粘贴到“提交一个证书申请或续订申请”界面，然后点“提交”按钮。（如图26）图26第七步：成功申请后出现证书挂起提示，说明证书申请已经收到，等待管理员通过申请认证。（如图27）图27至此我们就完成了证书的申请工作，下面要通过刚刚申请的证书认证。 五、验证证书：证书申请后还需要服务器的管理员手动颁发该证书才能使之生效。第一

8、步：我们选择任务栏的“开始->程序->管理工具->证书颁发机构”。（如图28）图28第二步：在左边选项中找到“挂起的申请”。（如图29）图29第三步：查看右边的列表，刚才提交的证书申请赫然在目，在待申请的证书上单击鼠标右键，弹出菜单中有“所有任务”一项，接着选择子项“颁发”。这时这个“待定申请”就会转移到“颁发的证书”下面。第四步：在“颁发的证书”下找到刚才那个证书，双击打开。并在“证书属性窗口”的详细信息标签中选择“复制到文件”。（如图30）图30第五步：在“证书导出向导”中，任意选择一种CER格式导出，比如“DER 编码二进制”并保存成文件。通过以上五步操作我们的IIS证

9、书就通过了系统管理员的审核，下面就可以通过审核过的证书建立SSL加密站点了。六、配置IIS的SSL安全加密功能我们再次来到IIS设置窗口中启用SSL安全加密功能。第一步：在默认网站属性窗口中点“目录安全性”标签，然后在安全通信处点“服务器证书”按钮。第二步：挂起的证书请求窗口中选择“处理挂起的请求并安装证书”选项。（如图31）图31第三步：通过浏览按钮找到在验证证书第五步中通过证书导出向导刚刚保存的DER编码格式的文件。（如图32）图32第四步：这时我们就可以设置SSL参数了，在安全通信属性中将”要求安全通道SSL”前打上对勾，从而启用了IIS站点的SSL加密功能。（如图33）图33第五步：再

10、次来到默认网站属性中的网站标签，可以看到SSL端口已经配置了端口信息443。（如图34）图34至此我们就完成了SSL加密站点的配置工作，客户端访问服务器的IIS网站时所浏览的信息是通过加密的，是非常安全的。七、浏览SSL加密站点：服务器上设置完SSL加密站点功能后我们在客户机上通过浏览器访问该站点时就会弹出一个“安全警报”窗口。（如图35）只有信任该证书后才能够正常浏览网站信息。（如图36）图36小提示：在访问通过SSL加密的站点时所输入的地址应该以https:/开头，例如本文中应该使用5。如果仍然那使用5则会出现“该网页必须通

11、过安全频道查看，您要查看的网页要求在地址中使用"https"。禁止访问：要求SSL”的提示。总结：本文介绍的步骤是建立在windows2003+iis6的基础上的，对于windows2000 Server或者Windows 2000 Advance Server也是可以在IIS5基础上建立SSL加密功能的，设置步骤基本类似。如果你使用的是Windows 2000 Professional版本就不用阅读本文了，因为这个版本不支持IIS的SSL访问。转自： win7教程： 要想成功架设SSL安全站点关键要具备以下几个条件。1、需要从可信的证书办法机构CA获取服务器证书。

12、0;2、必须在WEB服务器上安装服务器证书。 3、必须在WEB服务器上启用SSL功能。 4、客户端（浏览器端）必须同WEB服务器信任同一个证书认证机构，即需要安装CA证书。下面，我们对照上面的四部，进行一步一步的操作1：需要从可信的证书办法机构CA获取服务器证书（由于我们是在本地做测试环境，而不是实际操作。所以这里我们自己创建一个证书。如果是实际的操作，需要通过域名商，来获取一个证书，这是要花钱的。）2：必须在WEB服务器上安装服务器证书。 打开IIS，找到服务器证书、点击创建自签名证书输入你要创建的证书的名字，我这里取名 joeyssl 3、必须在WE

13、B服务器上启用SSL功能。接下来，我们新建一个本地测试站点，并且绑定刚才我们创建的证书。打开 hosts 文件，用于创建一个站点的名称（例如 http:/webjoeyssl    那么这个 webjoeyssl 就是我们需要创建的站点名称，我用hosts解析为本地）C:WindowsSystem32driversetc  在IIS里面绑定目录，绑定http和 https 在添加的时候，绑定类型，先选择 http 的类型，虽然这里有 https，但是还是首先要保证能通过 http能访问网站，毕竟大部分的人都是通过http来打开站点的，

14、只是在某些特别需要加密的地方用到https，我们下一步会绑定 https的，这里先不急，除非你整个站点都是https运用，那么这里才只选择https。 上面的测试，已经能保证 http:/webjoeyssl  以及  https:/webjoeyssl 都可以打开网站了。 当然我们也可以强行设置必须要通过 ssl 才能访问站点（此时，只有https才能访问，而http 就无法访问了）但是这样会出现一点问题，你访问http:/webjoeyssl  ，浏览器会报错4:客户端（浏览器端）必须同WEB服务器信任同一个证

15、书认证机构，即需要安装CA证书。我们打开 http:/webjoeyssl/  或者是 https:/webjoeyssl/    会提示不安全，点击继续浏览即可。在实际的环境中，你拿到的是一个实际的证书，所以不会产生类似的报告安全证书有问题、转自 如果证书服务无法正常通过站点申请，可以选择自定义导入pfx证书。如何制作.pfx数字证书：打开vs2012 自带的vs toos菜单下的命令窗口， 输入 makecert help 查看帮助说明makecert 命令详解： 详细操作步骤如下：1、创建一个自己签署的X.509证书.cer和一

16、个私钥文件.pvk，命令如下：makecert -r -n "CN=XYZ Company" -b 01/01/2012 -e 01/01/2018 -sv myselfName.pvk myselfName.cer注意：执行命令后会弹出私钥密码对话框，按提示设置私钥密码（也可以不使用密码），后面将会用到这个密码。2、利用X.509证书.cer创建发行者证书.spc，用到.NET自带的cert2spc工具，命令如下：cert2spc myselfName.cer myselfName.spc3、从.pvk和.spc格式转换成.pfx格式，用到pvkimprt工具（需要安装），命令如下：pvkimprt -pfx myselfName.spc myselfName.pvk然后按提示操作导出.pfx证书，