证书服务配置客户端证书申请IIS站点SSL设置(doc 19页)

Windows CA 证书服务器配置(二) —- 申请数字证书在IE地址栏中输入证书服务系统的地址，进入服务主页：点击‘申请一个证书'进入申请页面：如果证书用作客户端身份认证,则可点击‘Web浏览器证书’或‘高级证书申请'，一般用户申请‘Web浏览器证书’即可,‘高级证书申请'里有更多选项，也就有很多专业术语，高级用户也可点击进入进行申请。

这里我们以点击申请‘Web浏览器证书'为例：申请‘Web浏览器证书’,‘姓名’是必填项，其他项目可不填，但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的，所以请尽量多填，并且填写真实信息，因为CA管理员会验证申请人的真实信息,然后进行颁发.需注意的一点是，‘国家（地区）’需用国际代码填写，CN代表中国。

如果想查看更多选项,请点击‘更多选项'：在‘更多选项’里，默认的CSP为Microsoft Enhanced Cryptographic Provider v1.0，选择其他CSP不会对认证产生影响。

默认情况下‘启用强私钥保护’并没有勾选上，建议将它勾选上，点击提交后就会让申请人设置证书的安全级别，如果不将安全级别设置为高级并用口令进行保护，则只要机器上装有该证书,任何人都可以用它作为认证，所以建议将证书设置为高级安全级别,用口令进行保护.以下将作相应操作，点击‘提交’：单击‘是':单击‘设置安全级别'：将安全级别设置为‘高’,单击‘下一步’后会弹出口令设置窗口：输入口令,对证书进行加密,并记住密码,因为在以后调用该证书的时候，浏览器会弹出输入密码的窗口。

单击‘完成’:单击‘确定'，浏览器页面跳向如下：到这一步，申请人已经向CA服务器发送证书信息，并等待CA管理员对其进行核对,然后决定是否要颁发,如果CA管理员核对信息后决定颁发此证书，则申请人在其颁发之后再次访问该系统：点击‘查看挂起的证书申请状态’：该页面证明CA管理员已经颁发了申请人的证书，点击进入证书安装页面：点击‘安装此证书’:您应该已经信任CA机构，所以请单击‘是’：您已经成功安装数字证书。

1）安装证书颁发机构组件打开【控制面板－>添加或删除程序】，选择“添加/删除windows组件”，选择“证书服务”安装。

2）打开IIS，右击需要申请SSL证书的网站，选择“属性”，点击“目录安全性”选项卡，在“安全通信”栏中，点击“服务器证书”，开始证书申请向导。

选择“创建一个新证书”，按照默认步骤执行，完成了IIS证书向导配置工作，并按照要求将相应的证书文件certreq.txt保存好。

3）提交证书申请打开http://localhost/CertSrv/ ,把刚才申请的证书提交证书颁发机构，如下图所示：选择“申请证书”，点击“下一步”，选择“高级申请”，点击“下一步”，选择“使用base64编码的PKCS＃10文件”，点击“下一步”，把第二步生成的certreq.txt文件内容复制粘贴到这里，然后点击“提交”。

4）颁发证书打开【管理工具－>证书颁发机构】，点击“待定申请”项，可以看到刚才的申请单，如下图所示：在证书上，右键选择“所有任务－>颁发”，则证书就转移到了“颁发的证书”项下。

到此为止，证书已经申请，并且颁发成功。

5）应用证书（下载证书）访问http://localhost/CertSrv/，把刚才申请的证书下载到本地。

选择“检查挂起的证书”，点击“下一步”，选择“Base 64 编码”下载到本地保存为certnew.cer文件。

6）安装证书打开IIS，右击网站，选择“属性”，点击“目录安全性”选项卡，在“安全通信”栏中点击“服务器证书”，系统打开向导，点击“下一步”，如图所示：选择“处理挂起的请求并安装证书”，点击“下一步”，点击“浏览”选择该证书文件certnew.cer，点击“下一步”，出现“证书注册”警告选择“是”，点击“下一步”设置SSL端口，点击“下一步”系统会显示详细的证书信息，直接点击“下一步”即可完成向导。

7）设置SSL网站打开IIS，右击网站，选择“属性”，点击“目录安全性”选项卡，在“安全通信”栏中点击“编辑”，如下图所示：勾选“申请安全通道（SSL）”，点击“确定”。

构建安全的 应用程序身份验证、授权和安全通信有关构建安全的 应用程序的起点和完整概述，请参见登陆页面。

总结IIS 支持客户端证书身份验证。

本“如何做”说明如何将Web 应用程序配置为需要客户端证书。

它还说明如何在客户端计算机上安装证书，以及在调用Web 应用程序时如何使用证书。

如何做：设置客户端证书为了执行授权，Web 服务经常需要能够对它们的调用方（其它应用程序）进行身份验证。

客户端证书为Web 服务提供了一种非常好的身份验证机制。

如果您使用客户端证书，您的应用程序也会得益于客户端应用程序和Web 服务之间的安全通道创建（使用安全套接字层[SSL]）。

这样您就可以安全地在Web 服务之间传送保密信息。

SSL 确保消息的完整性和机密性。

本“如何做”包括调用配置为需要客户端证书的Web 服务的分步指导。

注意：本“如何做”中的信息也适用于由IIS 承载的远程组件。

要求以下各项介绍了推荐的硬件、软件、网络基础结构、技巧和知识以及您需要的服务包。

●带Service Pack 2 的Microsoft® Windows® 2000 Server 操作系统●Microsoft Visual Studio® .NET 开发系统●访问证书颁发机构(CA) 以生成新的证书●一个已安装了服务器证书的Web 服务器有关安装 Web 服务器证书的更多信息，请参见本指南“参考”部分的“如何做：在Web服务器上设置SSL”。

本“如何做”中的过程还要求您具有使用Microsoft Visual C#™ 开发工具进行 Web 开发的知识。

总结本“如何做”包括如下过程：1. 创建简单的Web 应用程序2. 将Web 应用程序配置为需要客户端证书3. 需要并安装客户端证书4. 验证客户端证书操作1. 创建简单的Web 应用程序u 创建简单的Web 应用程序1. 启动Visual Studio .NET，创建一个名为SecureApp的新C# Web 应用程序。

windows server 2012+IIS8.0安装配置ssl证书方法(温馨提示：安装ssl证书前请先备份您需要修改的服务器配置文件)1.1 ssl证书安装环境简介安装windows server 2012 IIS8.0操作系统服务器一台;web站点一个;SSL证书一张(备注：本指南使用域名OV SSL证书进行操作)1.2 网络环境要求请确保站点是一个合法的外网可以访问的域名地址，可以正常通过或进行正常访问。

2.1 获取ssl证书成功在沃通CA申请SSL证书后，会得到一个有密码的压缩包文件，输入证书密码后解压得到五个文件：for Apache、for IIS、for Ngnix、for Other Server，这个是证书的几种格式，解压for IIS压缩包，会得到一个.pfx格式的证书，IIS8.0上需要用到pfx格式的证书。

2.2 导入ssl证书开始-〉运行-〉MMC，启动控制台程序->选择菜单“文件-〉添加/删除管理单元”->列表中选择“证书”->点击“添加”->选择“计算机帐户” ->点击完成。

在控制台的左侧显示证书树形列表，选择“个人”- “证书”，右键单击，选择“所有任务-〉导入”，根据“证书导入向导”的提示，将.pfx格式文件导入，注意导入过程选择“根据证书内容自动选择存储区”。

(注意导入过程中需要输入密码)导入成功后，刷新，可以看到如下图所示的证书信息图：2.3 分配服务器证书打开IIS8.0管理器面板，找到待部署证书的站点，点击“绑定”如图3选择“绑定”->“添加”->“类型选择https” ->“端口443” ->“ssl证书【导入的证书名称】” ->“确定”，SSL缺省端口为443端口，(请不要随便修改。

如果您使用其他端口如：8443，则访问时必须输入：https://:8443)。

如下图：2.4 测试是否安装成功重启IIS8.0服务，在浏览器地址栏输入：https:// (申请证书的域名)测试您的ssl证书是否安装成功，如果成功，则浏览器下方会显示一个安全锁标志。

windows服务器ssl证书创建、安装及配置⽅法⽤IIS发布https⽹站，SSL的安全服务配置步骤：⽣成申请证书请求获取及安装中级CA证书安装服务器证书及配置绑定⼀、⽣成证书请求进⼊IIS控制台在“开始”菜单上，依次单击“所有程序”、“附件”和“运⾏”。

在“打开”框中，键⼊ inetmgr，然后单击“确定”。

点击对应机器主页，然后选择“服务器证书”。

创建证书请求进⼊服务器证书配置页⾯，并选择“创建证书申请”，填写相关信息，点击“下⼀步”。

选择加密服务提供程序，并设置证书密钥长度，EV证书需选择位长2048，点击“下⼀步”。

保存证书请求⽂件到.txt⽂件（如申请证书，如将此⽂件提交给相关机构）。

⼆、安装服务器证书获取证书在提交申请之后，会收到证书签发的邮件，在邮件中获取证书⽂件。

将证书签发邮件中的包含服务器证书代码的⽂本复制出来（包括“—–BEGIN CERTIFICATE —–”和“—–END CERTIFICATE—–”）粘贴到记事本等⽂本编辑器中并修改⽂件名，保存为为server.cer。

中级CA证书：将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容（包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”）分别粘贴到记事本等⽂本编辑器中，并修改⽂件扩展名，保存为intermediate1.cer和intermediate2.cer⽂件(如果您的服务器证书只有⼀张中级证书，则只需要保存并安装⼀张中级证书)。

安装中级CA证书在“开始”菜单上，依次单击“所有程序”、“附件”和“运⾏”。

在“打开”框中，键⼊ mmc，然后单击“确定”。

打开控制台，点击“⽂件”之后点击“添加/删除管理单元”。

点击“证书”，然后点击“添加“。

选择“计算机账户”，点击“下⼀步” 。

选择“本地计算机”，点击“完成”。

点击“证书(本地计算机)”，选择“中级证书颁发机构”，“证书”。

Windows 2008-IIS 7.0-SSL操作大全制作CSR请求文件1.启动IIS管理器，点击开始菜单->所有程序->管理工具->Internet信息服务(IIS)管理器：2.选择“服务器证书”：3.在右边窗口，选择“创建证书申请”：4.输入证书请求信息，通用名称请输入完整的域名（包含主机名），企业名称可以用中文，国家代码一般用CN（请按照ISO 3166-1 A2）：5.选择加密服务程序和密钥长度，加密服务程序选择缺省的Microsoft RSA Schannel Cryptographic Provider，加密长度一般可以为1024位，如果申请EV证书至少2048位6.选择CSR文件的名称，然后“完成”安装证书文件当您收到迅通诚信的邮件后，您就可以安装并使用您的服务器证书了。

将邮件中的证书内容拷贝粘贴到一个纯文本文件中（包含-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----），存成一个server.cer 文件，如下图所示：1.启动IIS管理器，点击开始菜单->所有程序->管理工具->Internet信息服务(IIS)管理器：2.选择“服务器证书”：3.在右边窗口，选择“完成证书申请”3.输入CA签好的证书文件(刚才保存好的server.cer)4.证书导入成功，如下图：5.证书导入成功，如下图：6.将SSL证书和网站绑定，先选择需要使用证书的网站，点击“SSL设置”7.添加一个新的绑定：8.将类型改为HTTPS，端口改为443，然后选择刚才导入的SSL证书，点击“确定”，则SSL证书安装完成。

SSL设置参数详解1.启动IIS管理器，点击开始菜单->所有程序->管理工具->Internet信息服务(IIS)管理器：2.启动IIS管理器，选择网站，双击“SSL设置”3.显示SSL高级设置，如下图：4.“要求SSL”选项，如果没有选中，则用户可以通过HTTPs，也可以通过HTTP来访问，如果“要求SSL”被选中，则用户必须通过HTTPS访问，若用户通过HTTP访问，会出现如下提示：5.“客户证书”有3个选项：忽略、接受、必需。

∙分别在两台计算机上执行Microsoft® BizTalk Server 2010 和Microsoft BizTalk 2010 Accelerator for RosettaNet (BTARN) 的完全安装。

有关详细信息，请参阅安装说明。

重要提示∙本教程使用两台计算机而不是一台具有环回协议的计算机来模拟现实方案。

本教程用占位符作为计算机名。

您必须用自己选择的实际计算机名来取代相应的占位符。

例如，如果正在运行您的Contoso 解决方案的计算机叫做Contoso，则凡是在教程中出现\\<contoso_计算机>的地方一律替换为Contoso。

∙本教程使用证书改进Contoso 和Fabrikam 之间的安全通信。

您必须生成所需证书，并将其安装在各自的计算机上。

本部分的内容∙步骤 1：创建证书颁发机构∙步骤 2：创建公用和私用证书∙步骤 3：导入公用和私用证书∙步骤 4：在 IIS 中启用安全套接字层步骤1：创建证书颁发机构在本主题中，您将安装证书服务Windows 组件。

并使用该组件生成在Contoso 组织与Fabrikam 组织之间进行安全通信所需的证书。

每个贸易合作伙伴都将拥有一个专用的通信加密证书和一个用于标识身份的专用签名证书。

此外，合作伙伴将彼此共享公钥证书，以便在实现3A2 合作伙伴流程接口(PIP) 时实现安全通信。

安装证书服务器1.单击“开始”，指向“设置”，然后单击“控制面板”。

双击“添加或删除程序”。

2.在“添加或删除程序”对话框中，单击“添加/删除Windows 组件”。

3.在“Windows 组件向导”页的“组件”部分中，选择“证书服务”，单击“是”，然后单击“下一步”，启动“配置组件向导”。

注意4.在“CA 类型”页中，确保“独立根CA”已选中，然后单击“下一步”。

5.在“CA 标识信息”页的“此CA 的公用名称”框中，键入Contoso-FabrikamCA，然后单击“下一步”。

实训5：配置数字证书服务实训环境1．一台Windows Server 2016 DC，主机名为DC。

2．一台Windows Server 2016服务器并加入域，主机名为Server1。

3．一台Windows 10客户端并加入域，主机名为Win10。

实训操作假设你是一家公司的网站管理员，需要你完成以下工作：1．在DC上部署企业根CA。

打开“服务器管理器”，单击“添加角色和功能”，打开“添加角色和功能向导”窗口。

逐步单击“下一步”，在“服务器角色”界面中，勾选“Active Directory 证书服务”复选框，然后单击“下一步”。

在“AD CS角色服务”界面中，勾选“证书颁发机构”和“证书颁发机构Web注册”复选框，然后单击“下一步”。

其中“证书颁发机构Web注册”角色，可以实现通过浏览器向CA进行证书申请的网站功能。

4．最后在“确认”界面中，单击“安装”，开始安装证书服务。

完成安装后，单击“配置目标服务器上的Active Directory证书服务”。

在“AD CS配置”向导中的“角色服务”界面，勾选“证书颁发机构”和“证书颁发机构Web注册”。

在“AD CS配置”向导中的“设置类型”界面，选择“企业CA”。

在“AD CS配置”向导中的“CA类型”界面，选择“根CA”。

全部保持默认设置并单击“下一步”，最后单击“配置”按钮，完成证书服务的配置“证书服务”安装完成后，可以在“服务器管理器”的“工具”菜单中，打开“证书颁发机构”管理工具进行查看。

当域内的用户向企业根CA申请证书时，企业根CA会通过Active Directory 得知用户的相关信息，并自动核准、发放用户所要求的证书。

企业根CA默认的证书种类很多，而且是根据“证书模板”来发放证书的。

例如，图中右方的“用户”模板内提供了可以用于将文件加密的证书、保护电子邮件安全的证书与验证客户端身份的证书。

Windows server 2016通过组策略，让域内的所有用户与计算机自动信任由企业根CA所发送的证书。