Web服务器申请证书

1、1.应用环境:XX公司有一个Web站点，域名为url/url,启用的身份验证方式是基本身份方式。由于该网站有公司敏感数据，因此公司希望用户访问时，保证用户密码和访问的数据在传输时的安全性（信息不能被协议分析工具破解出来）。2.拓扑图：3.步骤：（1）安装证书服务：（注意证书服务必须是建立在安装IIS服务的基础上的。）两个服务一起安装，如下图：选择安装IIS然后选择安装证书服务：注意：在这里是工作组模式，所以不出现上面两项（域环境会出现上面两项），如下图：输入CA识别信息保证证书数据库及日志信息的位置默认值：开始安装：（2）在开始管理工具中单击证书颁发机构，打开证书颁发机构：使用IIS管理器，观

2、察默认网站下有certsrv等虚拟目录： （3）安装WWW服务，如下图所示：（4）安装完成后，打开并设置来宾用户的访问权限： （5）打开Web服务器，属性目录安全性，选择服务器证书：选择新建证书：接着选择下一步输入名称：输入站点名称url/url，注意这里不要输入错误了 输入地理信息，单击下一步： 按提示完成。（6）web方式提交证书申请：打开IE浏览器，导航到url1/certsrv/url(这是运行证书服务的计算机的IP地址)选择申请一个证书，下一步：选择高级证书申请：在这里选择的是用base64编码：复制cert

3、req.txt文件内容到下拉列表框，提交。出现如下图所示，证书挂起：（注意如果是在域环境，则直接就会颁发，在这里就需要手工颁发了）.（7）手工颁发证书：打开证书颁发机构，可以查看到挂起的证书，右击所有任务颁发证书：可以看到已经颁发了的证书：（8）下载证书：打开IE浏览器，导航到url1/certsrv/url(这是运行证书服务的计算机的IP地址)选择查看挂起的证书申请的状况： 选择保存的申请证书，选择下载证书：下载证书到本地：（9）安装证书，打开Web服务器，属性-选择目录安全服务器证书：选择处理挂起的请求并安装证书：浏览到刚才下载到本地的证书：保

4、持默认端口443：（10）查看证书：发现证书有一个红叉（分析原因：没有添加CA的证书到受信任的根证书颁发机构，接着添加！）,注：如果是在域环境下，则不会出现红叉。（11）下载CA证书到本地添加到信任的证书机构：打开IE浏览器，导航到url1/certsrv/url(这是运行证书服务的计算机的IP地址)在这里选择下载一个CA证书，证书链或CRL接下来下载CA证书到本地在运行里输入 mmc打开管理控制台：选择添加/删除管理单元选择添加选择证书：选择计算机帐户：保持默认，完成展开管理控制台，选择证书，右击出现所有任务选择导入：如下图：导入刚下载CA的证书，如下图：

5、（12）查看刚才打红叉的证书，现在正常了，如下图：（13）启用安全通道，如图选择编辑：勾选“要求安全通道（SSL）”，再勾选要求客户端证书：（14）客户端访问：无法访问原因：客户端没有申请证书：（15）客户端申请证书：打开IE浏览器，导航到url1/certsrv/url(这是运行证书服务的计算机的IP地址)选择申请证书，通过浏览器：填写相关内容，提交（16）给客户机颁发证书：（17）客户机下载证书并安装：证书安装完成：（18）客户机访问：总结：1. CA建好之后，时间和计算机名都不可修改。2. 给Web服务器颁发证书时，必须下载CA的证书并且导入到受信任的根证书颁发机构。3. 在给Web服务器应用证书时注意一定要勾选“要求安全通道（SSL）”，再勾选“要求