证书服务器的安装与配置

本章主要介绍公钥基础结构和CA证书，通过本章的学习，了解公钥基础结构和证书的申请、颁发以及证书的安装等。

本章要点
□ 理解 PKI 与证书服务器
□ 在 Web 服务器上设置 SSL

□ 了解 CA 证书□ 了解公钥基础结构

理解PKI与证书服务器

PKI（Public Key Infrastructure ）即公钥基础结构，是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。

简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。用户可利用PKI平台提供的服务进行安全的电子交易、通信和互联网上的各种活动。

证书服务器主要用来管理数字证书，数字证书就是人们在网络环境中的身份证，由第三方权威机构CA颁发。只有有了“数字证书”这张身份证，别人才会信任。由此可见数字证书在网络环境的重要性。

在Web服务器上设置SSL

在讲解如何在Web服务器上设置SSL之前，先来了解什么是SSL和SSL的功能。SSL是安全套接字层的英文缩写。安全套接字层（SSL）是一套提供身份验证、保密性和数据完整性的加密技术。

SSL最常用来在Web浏览器和Web服务器之间建立安全通信通道。它也可以在客户端应用程序和Web服务之间使用。为支持SSL 通信，必须为 Web 服务器配置SSL 证书。

下面讲解如何在Web服务器上设置SSL。Web服务器上设置SSL主要分为七个方面的设置，分别为生成证书申请、提交证书申请、颁发证书、在Web上安装证书、启动安全通道、使用HTTPS协议访问网站和证书的导入与导出，下面将逐一进行讲解。

生成证书申请

如果想要有自己的一张数字证书就需要向CA提出证书申请，然后CA审核申请人的信息后，就会给申请人颁发数字证书，下面讲解如何生成证书申请。

1 要生成证书的申请，就要先打开IIS服务器，单击【开始】▶【管理工具】菜单中的IIS服务器，即可打开IIS服务器，如下图（左上）和下图（右上）所示，右击【默认网站】▶【属性】命令，然后选择【目录安全性】选项卡，如下图（下）所示。

2 单击【服务器证书】按钮，进入Web服务器证书申请向导页面，开始申请证书，如下图（左）所示。

3 单击【下一步】按钮，进入【服务器证书】页面，选中【新建证书】单选按钮，如下图（右）所示。

4 单击【下一步】按钮，进入【延迟或立即请求】页面，选中【现在准备证书申请，但稍后发送】单选按钮，如下图（左）所示。

5 单击【下一步】按钮，进入【名称和安全性设置】页面，在【名称】文本框内输入新证书的名称，在【位长】下拉列表框中选择密钥的位长，本小节就以选择512位为例，如下图（右）所示。

6 单击【下一步】按钮，进入【单位信息】页面，输入单位名称和部门名称，如下图（左）所示。

7 单击【下一步】按钮，进入【站点公用名称】页面，输入站点的公用名称，如下图（右）所示。

生成文件路径查看证书内容，如下图（右）所示。

10 单击【下一步】按钮，读者会看到所申请的证书的信息，如下图（左）所示。然后，单击【下一步】按钮，再单击【完成】按钮即可，如下图（右）所示。

2 单击【申请一个证书】 链接，进入申请页面，然后再单击【高级证书申请】链接，进入【高级证书申请】页面，如下图（右）所示。

3 单击【使用base64编码的CMC或PKCS #10文件提交 一个证书申请】链接，进入【提交证书】页面，读者将证书文件内的内容复制到【保存的申请】文本框内，单击【提交】按钮即可，如下图（左）和下图（右）所示。

颁发证书

16.2.2小节中，完成了证书申请的提交，提交证书申请后，CA就会审核证书的信息，只有在证书信息无误后，CA才会颁发数字证书，也只有在CA颁发了申请人的数字证书后，申请人的身份才会得以证明。所以本小节就简要讲解如何颁发证书。

证书的颁发很简单，只需要以下两个步骤。

1 按路径 【控制面板】▶【管理工具】▶【证书颁发机构】打开证书颁发机构，读者会看到自己命名的节点。选择【挂起的申请】节点，读者会看到在16.2.2小节提交的证书申请的内容，右键单击所申请的证书，然后颁发即可，如下图所示。

2 在【颁发的证书】节点中，读者可以查看到刚才所颁发的证书，如下图所示。

在 Web 上安装证书

证书的申请、提交和颁发已经简要地讲解了，证书一经颁发就可以下载安装并使用了。只有安装了某个网站的证书之后，才能安全地访问该网站，否则就会提示用户该网站是不安全的。本小节简要讲解如何在Web上安装证书。

1 下载在16.2.3小节所颁发的证书。在浏览器中输入“http://ip/certsrv”（ip是读者自己的IP地址）,进入证书操作页面，如下图（左）

所示。

2 单击【查看挂起的证书申请的状态】链接，会看到要查看的证书申请，然后单击下载即可，如下图（右）所示。

3 打开IIS服务器，右击【默认网站】▶【属性】命令，然后选择【目录安全性】选项卡并单击【服务器证书】按钮，进入【挂起的证书请求】页面，如下图（左）所示。

4 选择【处理挂起的证书并安装证书】单选按钮，单击【下一步】按钮，将刚才下载的证书的路径填入即可，如下图（右）所示，然后单击【下一步】按钮，直至完成即可。

启动安全通道

前面已经简单地讲解了有关证书方面的知识，本小节讲解如何启动安全通道。

安全通道（SSL）是运行在传输层上的一个协议，全称为“安全套接层协议”。它通过底层和上层两层实现两个应用实体之间安全可靠的通信，如客户机和服务器之间。SSL（安全套接层）通常是与

HTTP一起使用的，通过在客户机与Web服务器之间实行加密和交换密钥（数字证书）从而实现双方的安全通信。由于采用了SSL，

HTTPS的端口为443，与HTTP的80端口不同，这样也保证了Web服

务器的安全。

下面讲解如何启动安全通道。

1 打开IIS服务器，右击【默认网站】▶【属性】命令，然后选择【目录安全性】选项卡，单击【编辑】按钮，如下图（左）所示。

2 选中【要求安全通道（SSL）】复选框，再选中【忽略客户端证书】单选按钮，单击【确定】按钮即可完成，如下图（右）所示。

使用 HTTPS 协议访问网站

16.2.6小节已经启动了安全通道，启用安全通道后，网站的域名会和普通网站的域名不一样，如普通网站的域名开头为http://，启用安全通道（SSL）后就为https://。

这是因为SSL采用了不同的协议，即HTTPS与HTTP为两个不同的协议。HTTPS协议相较HTTP来说要更安全，因为它支持“数字证书”认证，客户通过认证服务器的“数字证书”可以防止被服务器欺骗，服务器通过认证客户的“数字证书”可以阻止假冒的客户进行访问。

下面使用HTTPS协议访问网站，打开浏览器，输入主机IP地址即可，如下图所示。

证书的导入与导出

本小节简要讲解证书的导入与导出，证书的导入与导出就是为了备份证书信息，其操作很简单。

1 单击【开始】▶【运行】命令，输入“certmgr.msc”，打开控制台，如下图（左）所示。

2 选择【个人】▶【证书】节点，然后右键单击【Adminstrator】▶【所有任务】▶【导出】命令，就完成了证书的导出，如下图（右）所示。

3 右键单击【证书】▶【所有任务】▶【导入】命令，就完成了证书的导入，如下图所示。

CA证书

证书就是网络社会中的“身份证”，统一由第三方权威机构CA颁发，当然数字证书的吊销和更新也是由CA负责的。本小节分别讲解什么是证书和CA的作用。

16.3.1 什么是证书

⑷ 证书的更新。

⑸ 接收最终用户数字证书的查询和撤销。

⑹ 产生和发布证书吊销列表（CRL）。

⑺ 数字证书的归档。

⑻ 密钥归档。

⑼ 历史数据归档。

证书的发放过程

前两小节已经简要地讲解了有关数字证书和证书颁发机构CA的内容。本小节结合下图来讲解证书是怎么由CA发放的。

1. 证书申请用户根据个人信息填好申请证书的信息并提交证书申请信息。

2. RA确认用户在企业内部网中，一般使用手工验证的方式，这样更能保证用户信息的安全性和真实性。

3. 证书策略处理如果验证请求成功，那么，系统指定的策略就被运用到这个请求上，比如名称的约束、密钥长度的约束等。

4. RA提交用户申请信息到CA
RA用自己的私钥对用户申请信息签名，保证用户申请信息是RA提交给CA的。

5. 生成电子证书

CA为用户生成密钥对，并用CA的签名密钥对用户的公钥和用户信息ID进行签名，生成电子证书。

这样，CA就将用户的信息和公钥捆绑在一起了，然后CA将用户的数字证书和用户的公用密钥公布到目录中。

6. CA将电子证书传送给批准该用户的RA。

7. RA将电子证书传送给用户（或者用户主动取回）。

8. 用户验证CA颁发的证书确保自己的信息在签名过程中没有被篡改，而且通过CA的公钥验证这个证书确实由所信任的CA机构颁发。

安装证书服务

前面已经讲过了证书和证书的作用，本小节讲解证书服务在Windows Server 2003 系统上是怎么安装的。在本小节中使用【添加或删除程序】工具启动证书服务安装向导进行安装。

1 在【开始】菜单中单击【控制面板】▶【添加或删除程序】命令，打开【添加或删除程序】窗口，如下图（左）所示。

2 单击【添加/删除Windows组件】按钮，打开【Windows组件向导】对话框，在【组件】列表中选中【证书服务】复选框，如下图（右）所示。

注意安装之前应确认计算机名称和域成员身份，因为安装证书服务后，计算机名和域成员身份就都不能更改了。返回【Windows组件向导】对话框，并单击【下一步】按钮即可，如下图所示。

3 在打开的【组件】列表中选中【证书服务CA】复选框和【证书服务Web注册支持】复选框，如下图（左）所示。

4 单击【确定】按钮，在CA类型的选择页面中，选中【企业根

CA】单选按钮，如下图（右）所示。

5 单击【下一步】按钮，在打开的【CA识别信息】页面中，需要输入CA的名称和可分辨名称后缀并设置有效期限，然后单击【下一步】按钮，如下图（左）所示。

6 在打开的【证书数据库设置】页面中，单击【浏览】按钮，找到certlog文件，一般都是存放在2003 系统的“系统盘 \windows\system32\”路径下，然后单击【下一步】按钮，如下图（右）所示。

7 Windows组件向导开始安装证书服务组件，在安装过程中提示关闭Internet信息服务，完成安装后单击【完成】按钮关闭Windows组件向导，并按照提示重新启动计算机，如下图（左）和下图（右）所示。

• 服务器