Windows Server 2008标准证书使用记录
近期准备将单位的服务器全部升级到Windows Server 2008,但有一些“遗留”问题需要解决:
(1)现在单位还有一台Windows Server 2003,上面安装了“标准CA”并做证书服务器,为ISA Server、heuet.com等网站提供域名等证书。
(2)Windows Server 2003安装了“Windows部署服务”,用来提供远程安装服务。
(3)用ISA Server做的“VPN”服务器,且“企业CA”做“智能卡”发放证书。
现在逐渐将Windows Server 2003升级到2008,现在先测试Windows Server 2008中的“标准CA”与Windows Server 2003提供的“标准CA”的区别,看是否可以升级。
主要测试环境如下:
准备一台Windows Server 2008虚拟机,安装证书服务,并申请“用户证书”、“计算机证书”,看是否可以满足第1个条件。
主要测试过程:
1 安装证书服务
(1)在一台Windows Server 2008虚拟机中(未安装IIS、未升级到AD,其他任务服务都没有安装),进入“服务器管理器”,定位到“角色”,在右侧窗格单击“添加角色”,如图1所示。
图1 添加角色
(2)在“选择服务器角色”页中,选中“Active Directory证书服务”,如图2所示。
图2 证书服务
【说明】你千万不要被“Active Directory”几个前缀“吓到”,虽然名称叫“Active Directory证书服务”,并不表示这一定需要Active Directory的支持。继续看,你就明白。
(3)在“选择角色服务”页中,添加“证书颁发机构”、“证书颁发机构Web注册”、“联机响应程序”,在选择“证书颁发机构Web注册”时,会弹出添加IIS的对话框,单击“添加必需的角色服务”即可自动添加所需要的IIS服务,如图3所示。
图3 添加角色
(4)在“指定安装类型”页中,选择“独立”,这就是表示要安装“标准CA证书”服务器了,如图4所示。
图4 添加标准证书服务器
(5)在“指定CA类型”页,选择“根”,如图5所示。
图5 根CA
(6)在“设备私钥”页,选择“新建私钥”,如图6所示。
图7 新建私钥
(7)在“为CA配置加密”页,选择默认值,如图8所示。
图8 为CA配置加密
(8)在“配置CA名称”页,选择默认值。在以后的配置中,选择默认值,直接安装完成,如图9所示。
图9 安装完成
(9)虽然没有提示需要重新启动计算机,但是,最好是重新启动计算机,让设置生效。
2 申请用户证书
再次进入Windows Server 2008后,我们将为Windows Server 2008“本身”申请一个Web服务器证书。
(1)打开IIS,选择“服务器证书”,如图10所示。
图10
(2)点击“创建证书申请”,填入相关性,下一步,如图11。
图11
(3)键入位置,完成。如图12
图12
(4)打开IE,键入http://localhost/certsrv,如图13所示。然后单击“申请证书”。
图13 申请证书
(5)选择“高级证书申请”,如图14所示。
图14 高级证书申请
(5)输入刚才申请保存txt,填入以下表框里面,如图15。
图15
(6)提交申请后,提示“证书正在挂起”,如图16所示。
图16证书申请被挂起
返回到“服务器管理器”,定位到“角色→CA→挂起的申请”,在右侧,颁发申请的证书,如图17所示。
图17 颁发证书
(7)切换到IE浏览器,单击“主页”按钮,单击“查看挂起的证书申请的状态”,如图18所示。
图18 查看挂起的证书申请的状态
(10)可以看到,证书已经被颁发,保存在桌面。
(11) 再次进入IIS→服务器证书,输入好记名称,完成证书申请,如图19。
图19
(12)导出客户端证书(计算机证书)如图20
图20
(13)绑定https,在弹出的“网站绑定”对话框中,单击“添加”按钮,在弹出的“添加网站绑定”对话框中,选中HTTPS,并在“SSL证书”下拉列表中,选择新添加的“Web服务器证书”。
(14)在客户端电脑导入(12)导出的证书。
(15)客户端电脑访问目标网址,提示正常,如图21。
至此已全部完成。