Windows-Server-2008上使用IIS搭建WEB服务器、CA数字证书应用图解(全)

1、WindowsServer2008上使用IIS搭建WEB服务器、客户端的数字证书应用（一）一、什么是数字证书及作用？数字证书就是互联网通讯中标志（证明）通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构CA机构，又称为证书授权（CertificateAuthority）中心发行的，人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。常用的密钥包括一个公开的密钥和一个私有的密钥

2、即一组密钥对，当信息使用公钥加密并通过网络传输到目标主机后，目标主机必需使用对应的私钥才能解密使用。使用它主要是为了提高IT系统在敏感数据应用领域的安全性，为用户业务提供更高安全保障；注：数字证书，下面均简称证书；二、如何搭建证书服务器？搭建证书服务器步骤如下：1、登陆WindowsServer2008服务器2、打开【服务器管理器】；CK-譌国雷城11加当晋llSf谦LKSESS殆色*丨穷區IG文件血揉作如查看肿剽b二虔刊轴比间：=六：L：A百适刷断图2)D血以；爲匚g巻丈驶flJI肿精二冲MHT1城庶縛71玄刖踊兰斗功范-角邑E丈圧1汀匚仃门4Hjer-VjTtprer-V率助怙卄|11二H

3、l注七岂甲釧也亍旦处屜11陪：4用色伏态肇转到阪pur-YMl鑰服务.全部正柱运行1事件：最近2-4射内Et信息李件3、点击【添加角色】，之后点击【下一步】；-Inix|文件的接作闊l（v）蒂助00晔丨商I灵丨目w二圧务器言住器4-_x虚瑞:；*Jt蚩3SH+題存储角旦n开始之前刑换前月跻器幷色頸蠶星藕翳朋肆上立奘曲色。根拒丟求此朋肆执行的任肆禎宝朝樹色，例如共主更新I(Vil：20*2012/S/2B1ftdP-nistrflt1-咪户耳有理:矍號鬻鳶勰歸如果悠助魁束上述的任何操非”请取消比向导皓束操作復后理灯运行向导。若要继躱请羊击“下一步厂默认馭下将跳过此页|下一出E|玄装|取消|1史用

4、li厅说已站刃剧制C开抬為呂倉（图3）4、找到【ActiveDirectory证书服务】勾选此选项，之后点击【下一步】;逵加角色向导3（图5）WEB注册勾选上，然后点击【下一步】;6、开始之前选择服务器角色朋务器角色选择要安装在此朋劳器上的一个或參个角色。角色00：ABCS角色服务安装类型CA类型利钥加密CA名称有效期证书数据库确认进度结果ActiveDire:turyfLighM：dTLagemerLtbervicesActiveDirectory联合身苗验证朋劳ActiveDirectory轻型目录朋务ActiveDirectory域朋务ActiveDirectory证书朋努DHEF朋努器

5、DNS朋努器UDDI朋努Web朋努器CIS）Windows部署朋努传真朋努器打印朋努网络策略和访问服努文件朋努应用程序服务器终端朋努（图4）5、进入证书服务简介界面，点击【下一步】的详细信象已JK务誥管理器文件操作（A）查看3帮助描述ActiveDireitoff证书開务（AD宜用于创崖证书颌发机枸和相关的角色朋箸，可以使您颉发和管理在各种应用程序中所使用的证书。脇聿田田田#盂日El田田添加角色向导开始之前朋务器角色ADCSActiveDirectory证书服务简介ActiveDirectory证书服务(ADCS)豊蠢7酿蠶讓酸鶴謡騁厭評爲鸚if牆蠶蘿蠱、虛拟专用屈纟O角色朋务安装类型CA类型

6、私钥加密CA容称有效期证书数据库确认进度结果注意事顶燔i其他信息Hr5和改称更fi-I算完该,法控i，为后级、琢A)器。枸黑MllaActi化Dim:tm-p讦书開讷咆肝朮管理证书颌戏机构证书師绘机枸命宮（图7）8、首次创建，勾选【根CA】，之后点击【下一步】;（图6）7、勾选【独立】选项，点击【下一步】；（由于不在域管理中创建，直接默认为：“独立”）第難豐护逊用心“中的雌来简化证书雌和苣理。雌連弱蛊企业吐幵始之前服餡器角色ADCS角邑臨务厂工业辺如果业CA艮某个+或的应员冃K以佟审目录服需束師越和管【甲応书，诸迭程山朋I讥妄装类型站妙立如呆此CA不佞用目录服务数拐未扳发或管理证书，淸迭挥此选

7、I页匚独立CA可以是域的成员匚CA类型加密CA屯称有蝕期证书数協库Web朋务器QlSi角邑服希确认结卑白芋沖-1卜和悴刊寺奘亍i目弹耳的详鋼信自上一出（F）|下一出畑）习盍装（I）|取谄|（图8）9、首次创建勾选【新建私钥】，之后点击【下一步】；10、默认，继续点击【下一步】；图10)11、默认，继续点击【下一步】；图11)12、默认，继续点击【下一步】；13、默认，继续点击【下一步】；图12)帕192.16a.1203-矚矣直自E文ft（T）操作虻晋舌W）帮助00牺I打Sig古眇务器管理器mviE2aa0B2）田十E田劉碣色向导角色确认安装选择开拾之前朋箝器角色ADCS角色踊CA卿私钥加密C

8、A菩祢有效期甬色岳劳若丟舞更斎色、轴色齢或城，侑单击*盍奘”。确认主底结乐i:-实裝負:成乙口-巳能需史宝进亡寸仍挫芳誥*4Act1teDirectoryHE书鷹务kL书谨岌机徇样疋法史敗此计耳札EXE称孔理订运-A辽史:闿立根CSP:E15.#41icrsaElSoELiyrKeyStorageProvider卅君耳汪-5HM心初七度：2D4B允诈C3F适齡三華习吐书肓敦刖:2D14/B/2B11:21可般曲C5Eft7ERZ0riBRZ-Ci肚书麹据土丘辻:C:MVindonfssjrst.ein3ECertLog证申颈擠匹FIW邑呂C：FViniio5s7tefi3ECertLogkLW

9、K机恂仇b江111-hlJKgaiE)|有黄血如，系统资鴉習霍曲0以及它如（礴时讹CPU使用恸兄的详细信二J!1険3冊、的亘澜诃由.在隣崟関E惟旦c上一步（?）|下一步口）|安裝口）I聊肯I宣)CK也W呂盂|庄晳切总眾E：（图14）15、点击【关闭】，证书服务器安装完成；WindowsServer2008上使用IIS如何配置WEB服务器上证书应用（SSL应用）？丘志uR圧不世理上就缙匸I先HM.eH甘宜势（II刃宜叠此应用用于提高WEB站点的安全访问级别；配置后应用站点可实现安全的服务器至客户端的信道访问；此信道将拥有基于SSL证书加密的HTTP安全通道，保证双方通信数据的完整性，使客户端至服

10、务器端的访问更加安全；注：以证书服务器创建的WEB站点为示例，搭建WEB服务器端SSL证书应用步骤如下：1、打开IIS，WEB服务器，找到【服务器证书】并选中；图1）匕192,163.1.203-迂告血妾庄5E羔爲整村开功老查看应用程斥迪查看即口底机嵇中.兰內容视图h-J?仝尸吒忑也屈3II粽-起抬页白冠三SERVER2D0SRZ(SBRVEB2D0SRZ2丁SBRVER2008R2主页开驸、.主却显示廿俎依拒Eifi郭认丈档I：；T：-1PI请搠迭管理瞄器.鞫启动卜F对叵止niME塑3!X叩.網目录猶了三IEI功能瑟辰共童睡蚤国蛊编崔器工作趣L二IIITI聿匸口*=*SE/UI003：卜艾件

11、旧视圉M帮助-ijii2、点击【服务器证书】，找到【创建证书申请】项；（图2）3、单击【创建证书申请】，打开【创建证书申请】后，填写相关文本框，填写中需要注意的是：“通用名称”必需填写本机IP或域名，其它项则可以自行填写；注：下面的03为示例机IP地址，实际IP地址需根据每人主机IP自行填写；填写完后，单击【下一步】sE3连接I妙：i内習视囹11圉藪CMI十I汨Ir旨-剧、申请证书-勺SEREEiEOOBEiZfiEEi/EREOOBRE：总心冃存巨：I2+A.词话创建证书申请咸证书申语雌临E书总|腔自鉴荀正书.O笨助今服务器证书世用此功能来申谄和管理M朋务器可以対配置了551芭匹社件冃芭证m

12、:可分誌名称属性fl指走征书的必需信息a省r市/自台区和城市/地点必顶指定药正式容称，弁且不谆邑含肺写。上一月上斥一歩onI讥戎II取消I丈件朗观囲（.）帮助at）通用名称:组奴JI-组级单f立.堀币r地点2自/市/自:台区.国理/地区KJ-如孑+:EhVEUZ.F2f-“七信总展勞（H刃肯理帕03-牺卓直蠻ISB枣（图3）4、默认，点击【下一步】（图4）5、选择并填写需要生成文件的保存路径与文件名,此文件后期将会被使用；（保存位置、文件名可以自行设定）之后点击【完成】，此配置完成，子界面会关闭；sE3连接口11CH旨-IJIJ申请证书b起朋-卑SEREEiEOOBEiZfiEEi/EREOO

13、BRE：0F7冃存巨：I2+词话创建证书申谓咸证书申语雌临E书也腔自鉴旨理.务03-删矣直蠻H服勞棊迁去丈件同观囹00犁助丄内習视囹世用此功能来申谄和管理M朋务器可以対配置了551芭匹社件冃芭证耳:为：正书申:青指定交件名=此信息可以岌去给证书颌发抓枸签名。再证书申清指定一个文件名紂:穷SEHTEB200aH2卜上一页CT）下一歩佰|取消（图5）6、接下来，点击IE（浏览器），访问： HYPERLINK 03/certsrv/ 03/certsrv/；注：此处的03为示例机IP地址，实际IP地址需根据每人主机IP自行填写；（图6-1）此时会出现证书服务页面；此网站如果点击【申请证书】，进入下一

14、界面点击【高级证书申请】，进入下一界面点击【创建并向此CA提交一个申请】进入下一界面，此时会弹出一个提示窗口：“为了完成证书注册，必须将该CA的网站配置为使用HTTPS身份验证”也就是必须将HTTP网站配置为HTTPS的网站，才能正常访问当前网页及功能；licrosoftActiveDirectory证书麗务一TindovsInternetExplorer7/certsrv/certrqma.asp耳凹凶LiveSh：=q-ch几MicrosoftActiveDirectory证书朋务T0TfeT页面(F)TO工具1*78!InternetExplorer已经阻止1比站点以不玄全的方式使用Ac

15、tiveX因此比页可I遍示不正确。MicrosoftActiveDirectory证书朋务WIN-O7IJBPNMGK9-CA主高级证书申请海：电子邮件公司|部门:翅信息:市/县：W：国家/地区:需要的证书类型:I客户端身份验证证书二轆选项:（图8）9、点击【Internet选项】-点击【安全】-点击【可信站点】;（图9）10、点击【可信站点】，并输入之前的证书网站地址： HYPERLINK 03/certsrv 03/certsrv,并将其【添加】到信任站点中；添加完后，点击【关闭】，关闭子界面；piCH圉luterikc-t迭顾可甘站点匚icx-dsoftjLetiirfiDiz-cirp

16、证书展哥Tin.dt.ISxplnirar将怖区按栅A础畑提交?帕192.16&.1.203-删宾直藪CeZIZs厂启H保护曉求更iW动InternetExplorer)tF)自定丸級別牡完粛也备呂筈j谢产可鈕点丨禁用裔”凰”血”页面申*安全工具厂5!捲区域中的閃有站点要求朋势器喘证血迪宀MicrgscftActiveDirectwy证书决等h+p:.10(2.168.1.SCG?ccl-+=l-7-i住收薩夹*S逞识隅站”自罔刘丁壬臣FI龙戟助併护观冬丈空:3“如曲匕鮭跟乱此站ftST特定止咨单击止处鱼总遇反三1匾匝区IIQel阴琵勰啤妙庖域的网卷範域中的所有用站都梗將谆用站潭加到区域口冈站

17、W关阳（图10）11、接下来，继续在【可信站点】位置点击【自定义级别】，此时会弹出一个【安全设置】子界面，在安全设置界面中拖动右别的滚动条，找到【对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本】选项，将选为【启用】之后点击所有【确定】操作，直到【Internet选项】子界面关闭为止；（图11）12、完成上面操作后，先将IE关闭，然后重新打开，输入： HYPERLINK 03/certsrv%ef%bc%9b%e9%a1%b5%e9%9d%a2%e5%87%ba%e6%9d%a5%e5%90%8e%e7%82%b9 03/certsrv；页面出来后点击【申请证书】13、点击【高级证

18、书申请】图12)（图13）14、点击【使用base64编码的CMC或PKCS#10文件提交一个证书申请，或使用Base64编码的PKCS#7文件续订证书申请】（图14）15、将之前保存的密钥文档文件找到并打开，将里面的文本信息复制并粘贴到“Base-64编码的证书申请”文本框中；确定文本内容无误后，点击【提交】；3JLdJCH圉気1S2.16S.1203-矚宾直參Dirci.rp证书曜勞-们圖=“twH，-*|http:?03?c更屋交一个诉存E勺宁活列CA,f保存匪巾诗框二细赂一T由外部浜丈Web技务鬧丄成凶bdsy-61编眄匡CP/C或PKCS410-O中诘或I怀q和貓J5?岂裔”讯*u丽

19、”页面申*安全出工具毎探存的申靑:完成丿可鈕点丨禁用*收薩夹|由E建谊网沽”国阿页快讯库FMicrosoftActiveDirectwy证书决等三I匾阳区IIQel阴Ti:xr-f堀肥甘证书申诣j-.Vt.fl；PECS#10或PKCS扪:属性:llJlctiyeHifactorySSfi?EK2OD8E2-CA工贡抿交一亍证书m猜趣订川睛图15-1)（图15-2）16、此时可以看到提交信息，申请已经提交给证书服务器，关闭当前IE（图16）17、打开证书服务器处理用户刚才提交的证书申请；回到Windows【桌面】-点击【开始】-点击【运行】，在运行位置输入：certsrv.msc,然后回车就会

20、打开证书服务功能界面；打开后,找到【挂起的申请】位置,可以看到之前提交的证书申请；回E3CH|官気192.16S.1203-牺矣直參文件操作狛査看防帮助申请细Barige192.366I挂起的申诣卩5爲爲Hi古訐厂Jiang护畴刁也昌0K正廿迪:M歩均讨芒-扇3益戸左Uli左:A吊iME书颌点射i正书乂贬为曰后话呼|二退制申请|申音状态码|申请处餐消包丨申请提态日期I申请人姓宮申请国家/地区|申请单僮IIGI.接非磁功.亡理女吋瘵更2OLE/0/29L.KTWUTID1CS（图17）18、点击鼠标右键会出现【所有任务】，点击【所有任务】-点击【颁发】将挂起的证书申请审批通过，此时挂起的证书会从

21、当前界面消失，即代表已完成操作；（图18）19、点击【颁发的证书】，可以看到新老已审批通过的证书；其它操作（吊销的证书、失败的申请）在此略掉大家有空可以自己试用；（图19）20、重新打开IE,输入之前的网址： HYPERLINK 03/certsrv/%ef%bc%9b 03/certsrv/；打开页面后，可点击【查看挂起的证书申请的状态】之后会进入“查看挂起的证书申请的状态”页面，点击【保存的申请证书】；（图20）21、进入新页面后，勾选Base64编码，然后点击【下载证书】，将已申请成功的证书保存到指定位置，后续待用；（图21）22、打开IIS服务器，点击【服务器证书】-【完成证书申请】-

22、选择刚保存的证书，然后在“好记名称”文本框中输入自定义的名称，完后点击【确定】；回取泊11JCK丈件血视囹00犁助01）供用此功能来申谨和背理Z朋努罢可551芭恳社件冃芭证二:EEREOOBREfiEElEEiZOO?御疇农庄书摄走证书矗岌机杓响应亘过检索包含正书颌岌机枸响应的交件来兗成先前创建的证书申清。院咸证书申谙也建证书申请完应证书申沽信Jg腹勞（M刃言壓器穷SEKVEB2003fi2*H服务話迁予连接殆*沁I-旳；心H7冃科巨N-词詬-nfvrlt肚卜5itf0屮CcriEnrall1J-CitSiv也琏自塗主证书取郦助帕1S2.16S.1203-删専面自S包含云书颌发机构响应的文件名

23、：|p：-.UssfsSAdmiriistre-tcorMiffjmlCQdE.aertnew.cer好记名粽（D：porviairCA|（图22）23、上述操作完后，可在“服务器证书”界面下看到“JZT_TEST1”证书;回3CDJHA11CK缶192.16S.1203-删矣直參-ff|x|丈件血视囹（Xi萃助（H）连接EEREOOBREfiEElEEiZOOBEiE至哪日仓阖筋正书ServerCA也腔自签容证m.信皀腹勞（1工刃言壓器创建证书申诗咸证书申话联机融囲秦丁X臓H服务話CE予時二,il砂-勺；屋H7冃科巨N-.词詬-匕nfvrlt肚卜0#CcriEnrall田争CitSiv卩“2

24、叢陰SERVERZaaaEZ-CASEEVERZfEGEZASEEVEBZDDBEZHZAISE.1C6.1.ZO3zai4/a3313阳使用此功能来申请初誉理仏b朋务器可以対配置了33L皈站便用的证书。溺（图23）24、点击左边的【DefaultWebSite】菜单，然后找到【绑定】功能，点击【绑定】功能，会弹出【网站绑定】界面，默认会出现一个类型为http,端口为80的主机服务，然后点击【添加】，会弹出【添加网站绑定】界面，在此界面中选择“类型：https”、“SSL证书：JZT_TEST1”，然后点【确定】；点完确定后，会看到【网站绑定】子界面中有刚配的HTTPS服务，点击【关闭】，子界

25、面消失；（图24）25、点击左菜单上的【CertSrv】证书服务网站，然后点击【SSL设置】（图25）26、进入SSL设置页面，勾选上“要求SSL”即启用SSL功能，然后点击【应用】，保存设置;（图26）27、此时一个基于SSL应用的WEB服务器站点已配置完成；让我们用IE试下SSL的应用；首先，将我们之前为了申请证书而开放的【可信站点】的设置还原；在IE的【可信站点】的【自定义级别】选项中【对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本】选项，由“启用”改为【禁用】即可；然后关闭IE,再重新打开并输入:03；此时会出现：“IIS7”字样的页面，如果出现此页面，恭喜你SSL配置已成功！反之则有问题，从上到下把操作说明和自己的操作过程比对检