鸿 网 互 联 www.68idc.cn

建立WindowsServer2003认证授权

来源:互联网 作者:佚名 时间:2015-06-17 09:35
很多人都没有意识到 但是 Windows Server 拥有你建立认证授权(certificate authority)所需要的一切功能 你可以利用这个功能完成签名 加密电子邮件信息 识别IPSec进程或者为网站提供SSL加密等许多工作 在本讲座中 我将向你们演示如何在你的机构中应用认证授权

  很多人都没有意识到但是Windows Server 拥有你建立认证授权(certificate authority)所需要的一切功能你可以利用这个功能完成签名加密电子邮件信息识别IPSec进程或者为网站提供SSL加密等许多工作在本讲座中我将向你们演示如何在你的机构中应用认证授权
  
  安装互联网信息服务(IIS)
  
  在你开始安装认证授权之前你必须安装IIS认证授权依赖于IIS及其处理ASP代码的能力Windows将允许你在没有首先安装IIS的情况下安装认证授权但是如果你这样做的话认证授权将不能使用
  
  要安装IIS在控制面板中选择添加/删除程序选项当添加/删除程序的程序启动的时候用鼠标点击添加/删除Windows组件按钮你将看到一个Windows组件列表从列表中选择应用服务器选项然后用鼠标点击细节按钮你将看到一个IIS对话框然后点击细节你将看到所有缺省的IIS组件都被选择进行安装然而认证授权需要IIS处理ASP代码而ASP不是缺省安装的
  
  要支持ASP从列表中选择万维网(World Wide Web)服务点击细节按钮选择主动服务页对话框然后点击确认点击确认两次以关闭剩余的对话框然后点击下一步Windows现在开始安装IIS你也可以插入安装CD盘;如果这样的话你的CD盘要放在旁边因为你可能再次需要这个光盘点击完成结束安装过程
  
  安装证书服务
  
  在我向你们演示安装程序之前我要指出安装证书服务是一种半永久的操作一旦证书服务安装结束你将不允许重新命名这台服务器或者从当前的域名删除这项服务除非你首先卸载证书服务
  
  要开始安装选择在控制面板中选择添加/删除程序选项当添加/删除程序的程序启动的时候用鼠标点击添加/删除Windows组件按钮你将看到一个Windows组件列表从列表中选择证书服务选项然后用鼠标点击细节按钮你将看到证书服务有两个组件:认证授权和网络注册支持选择这两个对话框你将看到一个警告信息警告你在安装之后将不能重新命名服务器或者改变域名点击确认这个信息然后点击确认下一步
  
  这时候屏幕上会显示信息询问你要安装哪一类认证授权本文中选择单机Root CA然后选择下一步
  
  你现在必须为你正在创建的认证授权输入一个普通的名字你可以叫任何你喜欢的名字但是由于你选择的名字将用来在活动目录中查找这台服务器这个名字要容易识别确认这个证书的有效期符合企业的安全策略然后点击下一步
  
  屏幕上会显示信息让你确定用来存储证书的数据库和数据库日志的位置最好使用缺省的设置无论选择什么路径都要确保证书数据库和数据库日志存储在安全的位置并且要定期进行备份
  
  点击下一步你将看到一个信息指出IIS服务必须立即停止点击确认这个安装程序现在就从你的Windows安装CD盘中复制必要的文件在复制过程完成之后点击结束
  
  申请一个证书
  
  现在认证授权安装完毕并且开始运行了让我们看一下如何申请一个证书正如你可能想到的那样认证授权的界面是基于网络的界面要访问这个界面登录一个工作站然后打开浏览器输入HTTP://然后是服务器的IP地址和名称(certserv)这个URL看起来像是这样的:
  
  假设你一切都正确执行了这个证书服务网页就会出现如果不正确可能就是IIS没有在安装证书服务之前安装如果IIS安装了可能是因为它没有正确的虚拟文件夹要强制IIS指定一个必要的虚拟文件夹打开服务器上的Command Prompt窗口输入下面的指令CERTUTILVROOT
  
  我推测这个网页已经正常显示了点击申请一个证书的链接这个网页向你提示几个不同的选项你可以申请一个网页浏览器证书或者一个电子邮件保护证书还有一个高级证书申请链接你可以使用这个链接申请其它类型的证书如服务器证书
  
  为了演示一下这个过程点击网络浏览器证书链接你将看到一个提示这个提示要求你提供姓名电子邮件地址公司名称部门和地理位置等基本信息填写这些信息然后点击申请按钮
  
  假设你的互联网浏览器安装了最新的安全补丁你将看到一个信息提示称这个网站在代表你申请一个证书点击你将看到一个信息提示说这个申请已经在处理之中你可以在第二天取回你的证书还有一个信息提示你必须在天之内取回证书
  
  批准一个证书
  
  显示这个信息的原因是因为你的认证授权没有自动颁发证书你可以自动颁发证书但是那并不能确保良好的安全你可以随机向任何知道你的认证授权URL地址的人发放证书
  
  要手工批准证书的请求回到证书服务器并且从管理工具菜单中选择认证授权指令当认证授权操作台打开时通过这个操作台的目录树查找认证授权(本地)|你的服务器|待批准的申请你现在应该看到证书申请用鼠标右键点击这个申请选择全部任务|从快捷菜单发布指令(你也可以使用全部任务|拒绝选项)这个证书申请现在转移到这个工作台的已发放证书容器
  
  取回证书
  
  现在证书已经发放了送到你的工作站并且返回到认证授权网页这时候点击查看待批准证书申请状态的链接你将看到你早些时候提出的申请点击这个申请你将看到你用来安装这个证书的一个链接
网友评论
<