1、数字证书配置实验一、目的通过上机练习,掌握独立 CA 的安装、数字证书的申请颁发和安装、SSL 配置二、实验环境1 个 Windows Server 2003 虚拟机。三、实验任务搭建独立 CA,为网站和客户端颁发数字证书以实现 SSL 安全通信。四、实验步骤1、安装独立 CA分两步:先安装 IIS,然后安装证书服务。(1 )管理您的服务器- 添加/删除服务器角色- 应用程序服务器,依次点击下一步直至完成。新建网站 nwtraders,要输入网站的主机头值 www.nwtraders.msft,如图:设置首页:右击网站 nwtraders-属性-文档-添加首页名称 index.html 并将其
2、上移至顶部。(2 )开始-控制面板-添加或删除程序-添加/ 删除 Windows 组件-证书服务,弹出警告,点击“是” ,如图:点击下一步-选择“独立根 CA”,如图:下一步-输入 CA 的公用名称:MYCA (不分大小写) ,如图:默认有效期为 5 年,2015-11-17 截止,该 CA 所颁发的证书截止时间不会超过这个时间。下一步,选择证书库的存放位置,如图:下一步,弹出警告,要求停止 IIS,点击“是” ,开始安装。安装过程会弹出警告框,要求启用 ASP,点击“是” ,如图:安装完成后,IIS 的默认网站就会添加证书服务的相关内容,如图:2、配置 DNS 和网站的主机头值为了方便访问,
3、为默认网站(CA)和要保护的网站配置 DNS 区域和名称,默认网站的区域名称为 ,要保护网站的区域名称为 nwtraders.msft,分别添加主机记录(A ) ,主机名 www, ip 为服务器的 ip。默认网站-属性- 网站-高级,编辑主机头值 ,如图:设置 tcp/ip 属性,将首选 DNS 服务器 ip 设为本服务器的 ip。3、申请服务器证书(1 )生成证书申请文件右击网站 nwtraders-属性-目录安全性-服务器证书-弹出向导,点击下一步- 选择“新建证书” ,如图:下一步,选择“现在准备证书请求,但稍后发送” ,如图:下一步,输入证书名称和密钥长度,如图:下一步,输入单位信息
4、,如图:下一步,输入网站的公用名称,www.nwtraders.msft ,注意阅读向导提示,如图:下一步,输入国家和地区信息,如图:下一步,选择申请文件的存放路径,如图:下一步确认,点击下一步完成。点击确定,关闭网站属性对话框。(2 )将申请文件提交给 CA打开 IE 浏览器-Internet 选项 -安全-自定义级别,调为“中” ,如图:登录 http:/ “添加” ,再点击“添加” ,将网站加入信任列表,在页面中选择“申请一个证书” ,如图:-选择“高级证书申请” ,如图:-把刚才生成的申请文件打开,全选-复制,然后粘贴到如下图所示的地方-点击提交-CA 提示证书挂起,如图:此时申请已经提交给 CA 了,接下来就等 CA 审核、颁发证书了。4、颁发服务器证书开始-管理工具- 证书颁发机构- 展开服务器-点击“挂起的申请”- 右击右边侧栏的申请-所有任务- 颁发。
