域環境部署PKI與證書服務

在 Windows server 2016操作系統中,證書服務不是Windows默認服務,需要在系統安裝完成後手動添加證書服務,在其具體操作步驟如下。
(1)打開“服務器管理器”窗口,單擊“添加角色功能”
域環境部署PKI與證書服務
(2)在“開始之前”窗口中,單擊“下一步”按鈕
域環境部署PKI與證書服務
(3)在“選擇安裝類型”窗口中,選擇“基於角色或基於功能的安裝”單選按鈕,單擊“下一步”按鈕
域環境部署PKI與證書服務
(4)在“選擇目標服務器”窗口中,在服務器池中選擇當前服務器,單擊“下一步”按鈕
域環境部署PKI與證書服務
(5)在“選擇服務器角色”窗口中,選擇“Active Directory證書服務”複選框,並在彈出的“添加角色和功能嚮導”對話框中單擊“添加功能”按鈕,然後單擊“下一步”按鈕
域環境部署PKI與證書服務
(6)在“選擇功能”窗口中,保持默認設置,單擊“下一步”按鈕
域環境部署PKI與證書服務
(7)在“Active Directory證書服務”窗口中,可以查看有關證書頒發機構命名的注意事項,然後單擊“下一步”按鈕
域環境部署PKI與證書服務
(8)在“選擇角色服務”窗口中,選擇“證書頒發機構”和“證書頒發機構Web註冊”兩個複選框,然後單擊“下一步”按鈕,“證書頒發機構web註冊”複選框用於使用用戶通過web瀏覽器連接到CA,以便申請證書或檢索證書吊銷列表
域環境部署PKI與證書服務
(9)在“確認安裝所選內容”窗口中,確認安裝的摘要信息,單擊“安裝”按鈕,
域環境部署PKI與證書服務
(10)安裝完成後,單擊 關閉按鈕
域環境部署PKI與證書服務
配置證書服務
(1)單擊服務器管理器的通知按鈕,在展開的菜單中選擇配置目標服務器上的Active Directory證書服務
域環境部署PKI與證書服務
(2)在憑據窗口中可以看到,若安裝證書頒發機構web註冊和企業證書頒發機構,則分別需要本地administrator組和enterprise admins組的權限,默認位當前登錄的域管理員,權限滿足,單擊下一步按鈕
域環境部署PKI與證書服務
(3)在角色服務窗口中,選擇證書頒發機構和證書頒發機構web註冊,兩個複選框,單擊下一步按鈕
域環境部署PKI與證書服務
(4)在設置類型窗口中,選擇企業CA單選按鈕,然後單擊下一步
域環境部署PKI與證書服務
(5)在CA類型窗口中,選擇根CA單選按鈕,單擊下一步按鈕
域環境部署PKI與證書服務
(6)在私鑰窗口中,選擇創建新的私鑰單選按鈕,單擊下一步按鈕
域環境部署PKI與證書服務
(7)在CA加密窗口中,使用默認CSP(加密提供程序),哈希算法和密鑰長度,單擊下一步按鈕
域環境部署PKI與證書服務
(8)在CA名稱窗口中使用默認配置,單擊下一步按鈕
域環境部署PKI與證書服務
(9)在有效期窗口中使用默認配置,單擊下一步按鈕
域環境部署PKI與證書服務
(10)在CA數據庫窗口中,可以修改數據庫存放的位置和數據庫日誌存放的位置,使用默認配置,單擊下一步按鈕
域環境部署PKI與證書服務
(11)在確認窗口中,查看角色,角色服務器或功能的配置信息,確認無誤後單擊配置按鈕
域環境部署PKI與證書服務
(12)配置完成後,在結果窗口中單擊關閉按鈕
域環境部署PKI與證書服務
(13)配置完成後可以從服務器管理器窗口的工具菜單中選擇證書頒發機構,打開證書頒發機構管理器,管理證書的頒發
域環境部署PKI與證書服務
域環境部署PKI與證書服務
證書申請和頒發
申請證書
(1)在web服務器上,打開Internet information services(IIs)管理器窗口,在左側窗口中選擇服務器名稱,雙擊中間窗格的服務器證書,
域環境部署PKI與證書服務
(2)單擊右側窗格的創建證書申請
域環境部署PKI與證書服務
(3)在可分辨名稱屬性窗口中輸入證書的必須信息,單擊下一步按鈕
域環境部署PKI與證書服務
(4)在加密服務提供程序屬性窗口中,使用默認的加密程序和密鑰長度,單擊下一步按鈕
域環境部署PKI與證書服務
(5)在文件名窗口中,位該證書申請指定一個文件名和保存位置,單擊完成按鈕,完成證書申請的創建,
域環境部署PKI與證書服務
(6)打開證書申請文件C:\webcer.txt 可見證書申請文件是base64編碼
域環境部署PKI與證書服務
提交申請證書
通過瀏覽器可以訪問certsrv虛擬目錄提交申請
(1)複製證書申請文件的全部內容
(2)使用瀏覽器http://ip/certsrv 連接刀證書服務器,在彈出的對話框中輸入域管理員的賬號和密碼,打開證書服務的歡迎頁面,單擊申請證書
域環境部署PKI與證書服務
(3)在申請一個證書頁面中,單擊高級證書申請
域環境部署PKI與證書服務
(4)在高級證書申請頁面中,選擇第二項使用base64編碼的證書申請
域環境部署PKI與證書服務
(5)在提交一個證書申請或續訂申請頁面,降第一步複製的證書申請內容粘貼到保存的申請文本框中,在證書模板下拉列表框中選擇web服務器 單擊提交按鈕
域環境部署PKI與證書服務
頒發證書
域環境企業級CA申請的證書,提交申請後會自動頒發,並直接進入證書已頒發頁面,在證書已頒發頁面中,選擇base64編碼單選按鈕,單擊下載證書,將證書保存在本地
域環境部署PKI與證書服務
在web服務器上安裝證書
(1)打開web服務器,打開服務器證書,單擊完成證書申請鏈接
域環境部署PKI與證書服務
域環境部署PKI與證書服務
(2)在指定證書頒發機構響應對話框中,輸入CA響應文件(已下載的數字證書文件)的路徑和文件名,並給該文件起個好記的名稱,單擊確定按鈕,完成證書的申請
域環境部署PKI與證書服務
配置安全通道SSL
(1)展開Internet information services(IIs)管理器,窗口左側窗格的節點樹,選擇需要使用該證書的站點,單擊右側操作窗格中的綁定按鈕
域環境部署PKI與證書服務
(2)在網站綁定對話框中,單擊添加按鈕
域環境部署PKI與證書服務
(3)在添加網站綁定對話框中選擇類型類https,選擇ssl證書位先前安裝的證書web使用默認443端口,單擊確定按鈕
域環境部署PKI與證書服務
(4)當爲站點設置https類型的綁定後,還需要修改該站點的ssl設置,展開Internet information services(IIS)管理器 窗口左側窗格的節點樹,選擇需要配置SSL的站點,雙擊中間窗格中的ssl設置,進入ssl設置頁面
域環境部署PKI與證書服務
域環境部署PKI與證書服務
使用https協議訪問網站
用戶可以使用https方式(https//)和站點建立連接,
單擊繼續瀏覽此網站(不推薦)後即可訪問目標網站
域環境部署PKI與證書服務
客戶端訪問首先把客戶端加入域,客戶端DNS指向域的IP地址
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章