windows2003服务器PKI（证书服务）配置详解

PKI (证书服务)实验

实验目的：

1）安装CA服务；

2）使用WEB方式申请证书和安装证书； 3）证书查看及吊销；

实验拓扑图：

证书服务器 IP：192.168.10.166 交换机 客户机

IP：192.168.10.23

任务一：安装CA服务器

1.为CA服务器配置静态IP地址如:192.168.10.166 掩码255.255.255.0

2.打开[windows组件向导].在组件下，找到并单击[应用程序服务器].单击[详细信息].在[应用程序服务器的子组件]中,单击[Internet信息服务（IIS）],然后点“确定”.最后通过下一步,下一步“完成”即可.(如图)

（支持web注册请先安装IIS服务,然后再装证书服务！）

4

1 2

3

5

3. 打开[windows组件向导].在组件下，找到并单击[证书服务].

点下一步选“独立根CA”

如果您的计算机是域环境的成员服务器或域控制器就可以安装“企业根CA”和“企业从属CA”（在域中的成员可以通过MMC和WEB方式申请证书）

输入一个公用名称.

最后“下一步”完成即可！

打开mmc控制台添加“证书服务”如图CA服务成功启用.

任务二：客户机用web方式申请证书和安装证书. 1.在客户机上打开IE浏览器,并在地址栏“http://192.168.10.166/certsrv”

选“下载证书,证书链或CRL”,再选安装CA证书

安装CA证书链后,客户机上的登陆用户就会信任CA服务器（证书服务器）.

2．向CA服务器申请web浏览器证书，先回证书服务首页，如图选“申请一个证书”

2.在目录安全性选项卡的安全通信处,点击“服务器证书”下一步，下一步选“新建证书”

下一步

下一步

下一步,输入单位名称和部门名称

下一步,

下一步,输入国家（地区）,省份

下一步,在此注意一定要记住文件名的路径,等下申请证书时,需要该文件的内容.

最后完成即可！

3.再点击安全通信处的编辑,选上安全通道和要求客户端证书,确定即可.

4.打开IE浏览器在地址栏中输入“http://192.168.10.166/certsrv/”,点击“申 请一个证书”

4.我们选择“高级证书申请”,接着选“使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请。”

5.在保存的申请处,粘贴从C:\\ certreq.txt文本文件内的内容,提交即可.

5.在证书服务器上打开mmc控制台添加证书颁发机构,在挂起的申请处颁发证书.

6.在web服务器端打开IE浏览器在地址栏中输入“http://192.168. 10.224/certsrv”，选“查看证书申请状态”,选“保存的申请证书”

7.选下载证书链,再打开mmc控制台右键选“sina的网站”的属性

8.选服务证书,安装证书步骤如下图

选择安装的证书

查看安装的证书,确定后ssl的网站建立完成.

任务二: 客户机用户配置

1.在客户机上,用户首先向证书服务器申请浏览器证书.(在以前的PKI实验中讲述过)如图

任务三: 客户机对ssl网站的访问

1.在客户机打开IE浏览器,在地址栏处输入“https://www.sina.com/”,如 图

2.接受证书点“Y”,并验证你的证书

本文来源：https://www.bwwdw.com/article/q78o.html