当前位置：文档库 › Server 2016 + Win10 搭建CA证书登录环境

Server 2016 + Win10 搭建CA证书登录环境

手记。

1.启动服务器管理器，添加角色和功能。

2.选择AD证书服务。

3.选择证书颁发机构Web注册。

4.IIS一般默认，或者再勾上.Net/CGI相应部分，WCF则需要在添加功能时选择http

激活。

5.安装等好。

6.CA配置：

7.选择证书颁发服务器；

8.右键属性，选择扩展选项卡；

9.CRL添加：其他删掉，留下http部分，参照http项添加一个，替换掉，

例:http://ca.**.**:81/CertEnroll/.crl，能定位吊销列表就行；

10.授权信息访问：同上编辑，

http://ca.**.**:81/CertEnroll/_.crt。

11.修改颁发年限：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Confi

guration\**,ValidityPeriodUnits值改为A,十进制10；

12.重启证书服务器。

13.IIS配置：

14.服务器证书：创建申请时填写*.XX.XX，XX.XX为域名；

15.证书颁发并导出为Base64格式，完成申请；

16.CertEnroll虚拟目录“要求SSL”，去掉勾；

17.CertSrv则是要求SSL，接受证书，现在设成必需就没法申请证书了；

18.关键：现在打开网页申请证书，密钥用法只有交换，申请格式只能PKCS10，需要

修改asp代码；

19.搜索certrqma.asp,检索if (0 == nSupportedKeyUsages)，在前面插入一行代码

nSupportedKeyUsages = 3;，注意修改权限，将该asp文件所有者改为管理员，再将管理员的所有操作权限赋上；

20.CMC打开是在certsgcl.inc，检索isClientAbleToCreateCMC，将

sUserAgent.indexOf("Windows NT 10.0")!=-1也返回true；

21.此处申请格式必须为PKCS10；

22.在网页中申请客户端验证证书，服务器颁发，将SSL设置为必需。

23.打开IE测试。

CA服务器配置原理与图解过程

CA（证书颁发机构）配置概述图解过程一．CA（证书颁发机构）配置概述由于现在安全问题日益严重，为了保证数据传输的性，交易者双方身份的确定性等问题，我们需要采用一种安全机制来实现这些功能，在这里我们来探讨以下PKI体系中的“证书”，也就是如何来构建一个CA的环境来保证安全性。 CA（证书颁发机构）主要负责证书的颁发、管理以及归档和吊销，我们可以把证书认为是我们开车需要使用的驾驶执照。证书包含了拥有证书者的、地址、电子、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能：加密、签名、身份验证。这里不在具体阐述加密相关知识，这里主要讨论如何来实现CA的环境。 CA的架构是一种层次结构的部署模式，分为“根CA”和“从属CA”：“根CA”位于此架构中的最上层，一般它是被用来发放证书给其他的CA（从属CA）。在windows系统中，我们可以构建4种CA：企业根CA和企业从属CA（这两种CA只能在域环境中）；独立根CA 和独立从属CA。安装CA：通过控制面板--添加删除程序--添加删除windows组件--证书服务，在安装过程中选择安装的CA类型，再这里我们选择独立根CA，输入CA名称以及设置有效期限，完成向导即可。（在这里注意：安装证书服务前先安装IIS）申请证书：CA服务装好以后就可以直接申请证书了，申请证书有两种方法：通过MMC控制台（此方法只适用于企业根CA和企业从属CA）和通过WEB浏览器。在这里我们只能选择WEB浏览器的方式，找到一台客户端计算机，在IE浏览器中输入[url]ca[/url]服务器的IP地址或者计算机名/certsrv 即可。然后选择申请新证书，选择证书的类型，输入正确的信息，即可获得证书。使用证书：我们可以自己架设一个最简单的POP3服务器，来实现服务。现在假设lily 要向lucy发送一封加密和签名电子，在lily这边的outlook中选择工具----，选择lily的，再单击属性--安全，选择证书就可以了。在lucy处做同样的操作。二．证书服务器图解过程试验拓扑：

windowsca证书服务器配置(二)——申请数字证书

在IE地址栏中输入证书服务系统的地址，进入服务主页：点击‘申请一个证书’进入申请页面：如果证书用作客户端身份认证，则可点击‘Web浏览器证书’或‘高级证书申请’，一般用户申请‘Web浏览器证书’即可，‘高级证书申请’里有更多选项，也就有很多专业术语，高级用户也可点击进入进行申请。这里我们以点击申请‘Web浏览器证书’为例：申请‘Web浏览器证书’，‘姓名’是必填项，其他项目可不填，但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的，所以请尽量多填，并且填写真实信息，因为CA管理员会验证申请人的真实信息，然后进行颁发。需注意的一点是，‘国家（地区）’需用国际代码填写，CN代表中国。如果想查看更多选项，请点击‘更多选项’：在‘更多选项’里，默认的CSP为Microsoft Enhanced Cryptographic Provider ，选择其他CSP不会对认证产生影响。默认情况下‘启用强私钥保护’并没有勾选上，建议将它勾选上，点击提交后就会让申请人

设置证书的安全级别，如果不将安全级别设置为高级并用口令进行保护，则只要机器上装有该证书，任何人都可以用它作为认证，所以建议将证书设置为高级安全级别，用口令进行保护。以下将作相应操作，点击‘提交’：单击‘是’：单击‘设置安全级别’：将安全级别设置为‘高’，单击‘下一步’后会弹出口令设置窗口：输入口令，对证书进行加密，并记住密码，因为在以后调用该证书的时候，浏览器会弹出输入密码的窗口。单击‘完成’：单击‘确定’，浏览器页面跳向如下：到这一步，申请人已经向CA服务器发送证书信息，并等待CA管理员对其进行核对，然后决定是否要颁发，如果CA管理员核对信息后决定颁发此证书，则申请人在其颁发之后再次访

Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装

Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装 2008-09-24 10:03 安装准备：插入Windows Server 2003 系统安装光盘添加IIS组件：点击‘确定’，安装完毕后，查看IIS管理器，如下：添加‘证书服务’组件：

如果您的机器没有安装活动目录，在勾选以上‘证书服务’时，将弹出如下窗口：由于我们将要安装的是独立CA，所以不需要安装活动目录，点击‘是’，窗口跳向如下：

默认情况下，‘用自定义设置生成密钥对和CA证书’没有勾选，我们勾选之后点击‘下一步’可以进行密钥算法的选择： Microsoft 证书服务的默认CSP为：Microsoft Strong Cryptographic Provider，

默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。点击‘下一步’：填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀’中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。点击‘下一步’：

点击‘下一步’进入组件的安装，安装过程中可能弹出如下窗口：单击‘是’，继续安装，可能再弹出如下窗口：由于安装证书服务的时候系统会自动在IIS中（这也是为什么必须先安装IIS 的原因）添加证书申请服务，该服务系统用ASP写就，所以必须为IIS启用ASP 功能，点击‘是’继续安装：

‘完成’证书服务的安装。开始》》》管理工具》》》证书颁发机构，打开如下窗口：我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。此时该服务器（CA）的IIS下多出以下几项：

CA服务器配置原理与图解过程

C A服务器配置原理与图解过程 SANY GROUP system office room 【SANYUA16H-

CA（证书颁发机构）配置概述图解过程一．CA（证书颁发机构）配置概述由于现在安全问题日益严重，为了保证数据传输的机密性，交易者双方身份的确定性等问题，我们需要采用一种安全机制来实现这些功能，在这里我们来探讨以下PKI体系中的“证书”，也就是如何来构建一个CA的环境来保证安全性。 CA（证书颁发机构）主要负责证书的颁发、管理以及归档和吊销，我们可以把证书认为是我们开车需要使用的驾驶执照。证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能：加密、签名、身份验证。这里不在具体阐述加密相关知识，这里主要讨论如何来实现CA的环境。 CA的架构是一种层次结构的部署模式，分为“根CA”和“从属CA”：“根CA”位于此架构中的最上层，一般它是被用来发放证书给其他的CA（从属CA）。在windows系统中，我们可以构建4种CA：企业根CA和企业从属CA（这两种CA只能在域环境中）；独立根CA和独立从属CA。安装CA：通过控制面板--添加删除程序--添加删除windows组件--证书服务，在安装过程中选择安装的CA类型，再这里我们选择独立根CA，输入CA名称以及设置有效期限，完成向导即可。（在这里注意：安装证书服务前先安装IIS）申请证书：CA服务装好以后就可以直接申请证书了，申请证书有两种方法：通过MMC控制台（此方法只适用于企业根CA和企业从属CA）和通过WEB浏览器。在这里我们只能选择WEB浏览器的方式，找到一台客户端计算机，在IE浏览器中输入服务器的IP地址或者计算机名/certsrv即可。然后选择申请新证书，选择证书的类型，输入正确的信息，即可获得证书。使用证书：我们可以自己架设一个最简单的POP3服务器，来实现邮件服务。现在假设lily要向lucy发送一封加密和签名电子邮件，在lily这边的outlook中选择工具--帐户--邮件，选择lily的帐户，再单击属性--安全，选择证书就可以了。在lucy处做同样的操作。二．证书服务器图解过程试验拓扑：试验内容以及拓扑说明：

Windows_Server_2008上使用IIS搭建WEB服务器、CA数字证书应用图解(全)

Windows Server 2008上使用IIS搭建WEB服务器、客户端的数字证书应用（一）一、什么是数字证书及作用？数字证书就是互联网通讯中标志（证明）通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA 机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。常用的密钥包括一个公开的密钥和一个私有的密钥即一组密钥对，当信息使用公钥加密并通过网络传输到目标主机后，目标主机必需使用对应的私钥才能解密使用。使用它主要是为了提高IT系统在敏感数据应用领域的安全性，为用户业务提供更高安全保障；注：数字证书，下面均简称证书；二、如何搭建证书服务器？搭建证书服务器步骤如下： 1、登陆Windows Server 2008服务器； 2、打开【服务器管理器】；（图2） 3、点击【添加角色】，之后点击【下一步】；

（图3） 4、找到【Active Directory证书服务】勾选此选项，之后点击【下一步】；

（图4） 5、进入证书服务简介界面，点击【下一步】；（图5） 6、将证书颁发机构、证书颁发机构WEB注册勾选上，然后点击【下一步】；

（图6） 7、勾选【独立】选项，点击【下一步】；（由于不在域管理中创建，直接默认为：“独立”） (图7) 8、首次创建，勾选【根CA】，之后点击【下一步】；

windowsca证书服务器配置——申请数字证书

Windows CA 证书服务器配置(二) ——申请数字证书在IE地址栏中输入证书服务系统的地址，进入服务主页：点击‘申请一个证书’进入申请页面：

如果证书用作客户端身份认证，则可点击‘Web浏览器证书’或‘高级证书申请’，一般用户申请‘Web浏览器证书’即可，‘高级证书申请’里有更多选项，也就有很多专业术语，高级用户也可点击进入进行申请。这里我们以点击申请‘Web浏览器证书’为例：

申请‘Web浏览器证书’，‘姓名’是必填项，其他项目可不填，但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的，所以请尽量多填，并且填写真实信息，因为CA管理员会验证申请人的真实信息，然后进行颁发。需注意的一点是，‘国家（地区）’需用国际代码填写，CN代表中国。如果想查看更多选项，请点击‘更多选项’：

在‘更多选项’里，默认的CSP为Microsoft Enhanced Cryptographic Provider ，选择其他CSP 不会对认证产生影响。默认情况下‘启用强私钥保护’并没有勾选上，建议将它勾选上，点击提交后就会让申请人设置证书的安全级别，如果不将安全级别设置为高级并用口令进行保护，则只要机器上装有该证书，任何人都可以用它作为认证，所以建议将证书设置为高级安全级别，用口令进行保护。以下将作相应操作，点击‘提交’：

单击‘是’：单击‘设置安全级别’：将安全级别设置为‘高’，单击‘下一步’后会弹出口令设置窗口：

输入口令，对证书进行加密，并记住密码，因为在以后调用该证书的时候，浏览器会弹出输入密码的窗口。单击‘完成’：单击‘确定’，浏览器页面跳向如下：

WindowsCA证书服务器配置(二)——申请数字证书

WindowsCA证书服务器配置(二)——申请数字证书在IE地址栏中输入证书服务系统的地址，进入服务主页：点击‘申请一个证书’进入申请页面：

如果证书用作客户端身份认证，则可点击‘浏览器W证e书b’或‘高级证书申请’，一般用户申请‘We浏b览器证书’即可，‘高级证书申请’里有更多选项，也就有很多专业术语，高级用户也可点击进入进行申请。这里我们以点击申请‘浏W览eb器证书’为例：

在‘更多选项’里，默认的CSP为MicrosoftEnhancedCryptographicProviderv1.0，选择其他CSP不会对认证产生影响。默认情况下‘启用强私钥保护’并没有勾选上，建议将它勾选上，点击提交后就会让申请人设置证书的安全级别，如果不将安全级别设置为高级并用口令进行保护，则只要机器上装有

该证书，任何人都可以用它作为认证，所以建议将证书设置为高级安全级别，用口令进行保护。以下将作相应操作，点击‘提交’：单击‘是’：单击‘设置安全级别’：

将安全级别设置为‘高’，单击‘下一步’后会弹出口令设置窗口：输入口令，对证书进行加密，并记住密码，因为在以后调用该证书的时候，浏览器会弹出输入密码的窗口。

Server 2016 + Win10 搭建CA证书登录环境

Server 2016 + Win10 搭建CA证书登录环境手记。 1.启动服务器管理器，添加角色和功能。 2.选择AD证书服务。 3.选择证书颁发机构Web注册。 4.IIS一般默认，或者再勾上.Net/CGI相应部分，WCF则需要在添加功能时选择http 激活。 5.安装等好。 6.CA配置： 7.选择证书颁发服务器； 8.右键属性，选择扩展选项卡； 9.CRL添加：其他删掉，留下http部分，参照http项添加一个，替换掉，例:http://ca.**.**:81/CertEnroll/.crl，能定位吊销列表就行； 10.授权信息访问：同上编辑， http://ca.**.**:81/CertEnroll/_.crt。 11.修改颁发年限： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Confi guration\**,ValidityPeriodUnits值改为A,十进制10； 12.重启证书服务器。 13.IIS配置： 14.服务器证书：创建申请时填写*.XX.XX，XX.XX为域名； 15.证书颁发并导出为Base64格式，完成申请； 16.CertEnroll虚拟目录“要求SSL”，去掉勾； 17.CertSrv则是要求SSL，接受证书，现在设成必需就没法申请证书了；

18.关键：现在打开网页申请证书，密钥用法只有交换，申请格式只能PKCS10，需要修改asp代码； 19.搜索certrqma.asp,检索if (0 == nSupportedKeyUsages)，在前面插入一行代码 nSupportedKeyUsages = 3;，注意修改权限，将该asp文件所有者改为管理员，再将管理员的所有操作权限赋上； 20.CMC打开是在certsgcl.inc，检索isClientAbleToCreateCMC，将 sUserAgent.indexOf("Windows NT 10.0")!=-1也返回true； 21.此处申请格式必须为PKCS10； 22.在网页中申请客户端验证证书，服务器颁发，将SSL设置为必需。 23.打开IE测试。

Windows 2003 CA 证书服务器配置

Windows CA 证书服务器配置(一) ——Microsoft 证书服务安装放入Windows Server 2003 系统安装光盘添加IIS组件：点击‘确定’，安装完毕后，查看IIS管理器，如下：

添加‘证书服务’组件：如果您的机器没有安装活动目录，在勾选以上‘证书服务’时，将弹出如下窗口：由于我们将要安装的是独立CA，所以不需要安装活动目录，点击‘是’，窗口跳向如下：

默认情况下，‘用自定义设置生成密钥对和CA证书’没有勾选，我们勾选之后点击‘下一步’可以进行密钥算法的选择： Microsoft 证书服务的默认CSP为：Microsoft Strong Cryptographic Provider，默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。点击‘下一步’：

填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀’中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。点击‘下一步’：

点击‘下一步’进入组件的安装，安装过程中可能弹出如下窗口：单击‘是’，继续安装，可能再弹出如下窗口：由于安装证书服务的时候系统会自动在IIS中（这也是为什么必须先安装IIS的原因）添加证书申请服务，该服务系统用ASP写就，所以必须为IIS启用ASP功能，点击‘是’继续安装：

‘完成’证书服务的安装。开始——管理工具——证书颁发机构，打开如下窗口：我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。此时该服务器（CA）的IIS下多出以下几项：

ca服务器和web服务器分离-如何实现ssl(2)

3、在win2003系统_2上设置客户证书映射 3.1.Web服务器上导入客户端证书在IIS中要映射客户端的证书到windows账户，必须在IIS所在的服务器上用这个客户端的cer证书。在win2003系统_1机器上证书颁发机构中导出客户端申请后已经颁发的ClientCert2003证书，导出为ClientCert2003.cer 在win2003系统_2机器上导入这个证书到当前用户存储区的个人目录下。 3.2.导入客户端证书的根证书 Web服务端有了客户证书，还需要这个客户端证书的根证书，只有在服务器信任这个客户端证书的根证书时客户端证书才能正常访问web服务器。在证书管理中双击ClientCert2003证书查看此证书：

可以看到，ClientCert2003的根证书TestCA在此服务器上不被信任，需要把TestCA证书安装到此服务器的受信任的根证书颁发机构存储里。查看此根证书：点击“安装证书”按钮，出现证书导入向导，选择“将所有的证书放入下列存储”，然后点击“浏览”按钮选择证书安装的存储区：选择把证书保存到“受信任的根证书颁发机构”-“本地计算机”。

TestCA证书导入成功，到证书管理中查看，发现TestCA证书其实被安装到两个地方，分别是： ●证书当前用户存储区的“受信任的根证书颁发机构” ●证书本地计算机存储区的“受信任的根证书颁发机构” 3.3.设置IIS中网站的客户端证书映射在win2003系统_2机器上IIS中，查看web网站的属性，导航到“目录安全性”，首先把所有的身份验证方法都清除：然后在安全通讯区域内，点击“编辑”按钮：

独立根CA的安装与证书申请

独立根CA的安装与证书申请 ?独立根CA与企业CA 不同，独立CA 不需要使用Active Directory 目录服务。独立CA 最初是为了用作CA 层次结构中的受信任的脱机根CA，或者是为了在涉及 Extranet 和Internet 时使用。此外，如果想对CA 使用自定义的策略模块，您需要先安装独立CA 然后再用您自定义的策略模块替代独立策略模块。 ?向独立CA 提交证书申请时，证书申请者必须在证书申请中明确提供所有关于自己的标识信息以及证书申请所需的证书类型。（向企业CA 提交证书申请时无需提供这些信息，因为企业用户的信息已经在Active Directory 中并且证书类型由证书模板说明）。申请所需的身份验证信息可从本地计算机的“安全帐户管理器”数据库中获取。 ?默认情况下，发送到独立CA 的所有证书申请都被设置为挂起，一直到独立CA 的管理员验证申请者的身份并批准申请。这完全是出于安全性的考虑，因为证书申请者的凭证还没有被独立CA 验证。安装步骤：第一步：构建独立根CA服务器，我需要先安装IIS（证书服务安装过程中会在IIS的默认网站中写入虚拟目录，如果没有IIS的话，无法通过web浏览器的方式申请证书），然后再安装证书服务，配置过程如下：

第二步：安装CA服务器，添加证书服务组件；第三步：单击【是】选择独立根CA，下一步填写CA公用名称如下图：第四步：证书数据库的设置，选择数据库以及共享文件夹的位置，这里默认就可以了

第五步：出现一下提示让你开启Active server page 服务，这里单击【是】；第六步：客户端申请证书,当然客户端和服务器是在同一个网段，打开客户端的IE浏览器输入：http://服务器ip或计算机名/certsrv/回车

Windows CA 证书服务器配置

Windows CA证书服务器配置(一) —— Microsoft 证书服务安装安装准备：插入Windows Server 2003 系统安装光盘添加IIS组件：点击‘确定’，安装完毕后，查看IIS管理器，如下：添加‘证书服务’组件：

默认情况下，‘用自定义设置生成密钥对和CA证书’没有勾选，我们勾选之后点击‘下一步’可以进行密钥算法的选择：

Microsoft 证书服务的默认CSP为：Microsoft Strong Cryptographic Provider，默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。点击‘下一步’：填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀’中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。点击‘下一步’：