1、Windows CA 證書服務器配置(一) Microsoft 證書服務安裝安裝準備：插入Windows Server 2003 系統安裝光盤添加IIS組件：點擊確定，安裝完畢后，查看IIS管理器，如下：添加證書服務組件：如果您的機器沒有安裝活動目錄，在勾選以上證書服務時，將彈出如下窗口：由于我們將要安裝的是獨立CA，所以不需要安裝活動目錄，點擊是，窗口跳向如下：默認情況下，用自定義設置生成密鑰對和CA證書沒有勾選，我們勾選之后點擊下一步可以進行密鑰算法的選擇：Microsoft 證書服務的默認CSP為：Microsoft Strong Cryptographic Provider，默認散列算

2、法：SHA-1，密鑰長度：2048您可以根據需要做相應的選擇，這里我們使用默認。點擊下一步：填寫CA的公用名稱（以AAAAA為例），其他信息（如郵件、單位、部門等）可在可分辨名稱后綴中添加，有效期限默認為5年（可根據需要作相應改動，此處默認）。點擊下一步：點擊下一步進入組件的安裝，安裝過程中可能彈出如下窗口：單擊是，繼續安裝，可能再彈出如下窗口：由于安裝證書服務的時候系統會自動在IIS中（這也是為什么必須先安裝IIS的原因）添加證書申請服務，該服務系統用ASP寫就，所以必須為IIS啟用ASP功能，點擊是繼續安裝：完成證書服務的安裝。開始 管理工具 證書頒發機構，打開如下窗口：我們已經為服務器成

3、功配置完公用名為AAAAA的獨立根CA，Web服務器和客戶端可以通過訪問該服務器的IIS證書申請服務申請相關證書。此時該服務器（CA）的IIS下多出以下幾項：我們可以通過在瀏覽器中輸入以下網址進行數字證書的申請：http:/hostname/certsrv或http:/hostip/certsrv申請界面如下：Windows CA 證書服務器配置(二) 申請數字證書在IE地址欄中輸入證書服務系統的地址，進入服務主頁：點擊申請一個證書進入申請頁面：如果證書用作客戶端身份認證，則可點擊Web瀏覽器證書或高級證書申請，一般用戶申請Web瀏覽器證書即可，高級證書申請里有更多選項，也就有很多專業術語，高

4、級用戶也可點擊進入進行申請。這里我們以點擊申請Web瀏覽器證書為例：申請Web瀏覽器證書，姓名是必填項，其他項目可不填，但由于CA服務器的管理員是根據申請人的詳細信息決定是否頒發的，所以請盡量多填，并且填寫真實信息，因為CA管理員會驗證申請人的真實信息，然后進行頒發。需注意的一點是，國家（地區）需用國際代碼填寫，CN代表中國。如果想查看更多選項，請點擊更多選項：在更多選項里，默認的CSP為Microsoft Enhanced Cryptographic Provider v1.0，選擇其他CSP不會對認證產生影響。默認情況下啟用強私鑰保護并沒有勾選上，建議將它勾選上，點擊提交后就會讓申請人設置

5、證書的安全級別，如果不將安全級別設置為高級并用口令進行保護，則只要機器上裝有該證書，任何人都可以用它作為認證，所以建議將證書設置為高級安全級別，用口令進行保護。以下將作相應操作，點擊提交：單擊是：單擊設置安全級別：將安全級別設置為高，單擊下一步后會彈出口令設置窗口：輸入口令，對證書進行加密，并記住密碼，因為在以后調用該證書的時候，瀏覽器會彈出輸入密碼的窗口。單擊完成：單擊確定，瀏覽器頁面跳向如下：到這一步，申請人已經向CA服務器發送證書信息，并等待CA管理員對其進行核對，然后決定是否要頒發，如果CA管理員核對信息后決定頒發此證書，則申請人在其頒發之后再次訪問該系統：點擊查看掛起的證書申請狀態：

6、該頁面證明CA管理員已經頒發了申請人的證書，點擊進入證書安裝頁面：點擊安裝此證書：您應該已經信任CA機構，所以請單擊是：您已經成功安裝數字證書。如果要找回您剛才安裝的數字證書，請單擊瀏覽器上的：工具 Internet選項 內容 證書，彈出如下窗口：此時您已經發現，在證書個人存儲區內已經安裝了您剛剛申請并成功安裝的證書。單擊查看：這就是您的數字證書了。Windows CA 證書服務器配置(三) CA 證書頒發開始 管理工具 證書頒發機構：在掛起的申請里已經存在申請掛起等待頒發的證書（如圖ID=2）。右鍵點擊掛起的證書 所有任務 頒發：剛才的掛起證書已經存入頒發的證書存儲區。此時，申請人若在登陸證

7、書申請系統，并查看掛起，就會獲取相應的證書。Windows CA 證書服務器配置（四） Web 服務器配置（1）安裝好IIS，并將其打開（這里用默認網站為例）右鍵點擊默認網站 屬性：選擇目錄安全性選項卡：圖中查看證書為灰色不可用，說明我們還未為默認網站配置數字證書。單擊服務器證書，彈出如下窗口：單擊下一步：由于之前并為配置過數字證書，所以應選擇新建證書。如果以前配置過數字證書，并且數字證書仍然可用，則選擇分配現有證書即可。單擊下一步：單擊下一步：名稱可以根據需要更改，不影響證書的使用。位長默認為1024，一般已經足夠安全，數值越大就越安全，但是數值越大系統的處理速度就會越慢。直接單擊下一步：單

8、位、部門請填寫真實并能夠被證實的信息，因為CA管理員會根據這些信息進行審核。單擊下一步：這一步很關鍵。公用名稱不能隨便更改，只能是該網站的DNS，如果尚未申請DNS則可以用IP地址代替。默認情況下是服務器的計算機名，但這種情況只適合于企業機構（AD管理），我們要配置的是獨立機構，所以公用名只能是DNS或IP地址。單擊下一步：這些信息也將是CA管理員的審核對象。單擊下一步：至此，數字證書的信息已經填寫完畢，這一步將這些信息以Base64編碼的形式保存在本地，Web管理員可以用編碼到CA證書申請系統進行證書的申請。單擊下一步：以上就是數字證書的本地信息，CA管理員將對其進行審核，并決定是否頒發。單

9、擊下一步：單擊完成接下來就是到CA的證書申請系統申請服務器驗證證書。Windows CA 證書服務器配置（四） Web 服務器配置（2）打開如下網頁： 點擊申請一個證書： 點擊高級證書申請：使用base64編碼的CMC或PKCS#10文件提交一個證書申請，或使用base64編碼的PKCS#7文件續訂證書申請我們的用于申請的base64編碼保存在一個名為certreq.txt的請求文件中。將其打開 全選編碼，并將其復制，粘貼到： 點擊提交： 我們已經向CA服務器發送證書請求信息，等待CA管理員對信息進行審核并頒發證書。我們假設CA管理員審核證書信息后執行了頒發。我們再次打開CA的證書申請系統：

10、點擊查看掛起的證書申請的狀態：點擊下載證書 我們等一下要用到的就是該保存到本地的.cer文件。（如果有需要也可以將證書鏈也下載，證書鏈里包含CA服務器的數字證書）我們再返回默認網站 屬性 目錄安全性：單擊服務器證書進行數字證書的安裝：選擇好剛才保存的.cer證書文件SSL的默認端口是443。我們也可以設置能其他端口，但是設置成其他端口號時，用戶訪問的時候必須在URL中指定端口號。證書安裝成功，以上就是數字證書的所有信息單擊完成Windows CA 證書服務器配置（四） Web 服務器配置（3）我們已經可以查看證書了。這就是我們安裝完成的證書。如圖中所示，Web服務器還不信任我們自己配置的證書頒

11、發機構。沒關系，先到CA證書申請系統中下載CA根證書直接鍵入以上地址欄中的URL即可打開網頁，下載CA證書如果之前在下載證書的時候同時下載了證書鏈則可以不執行此步操作，因為證書鏈里包含有CA證書。接下來我們要安裝CA的數字證書，安裝完成后Web服務器才會信任該CA機構。開始 運行：運行打開mmc，單擊確定，打開如下窗口。此時在控制臺管理單元里什么都沒有，沒關系，文件 添加/刪除管理單元單擊添加找到證書的管理單元，單擊添加選擇計算機帳戶，單擊下一步單擊完成當然我們還可以添加其他管理單元，但是我們現在還用不到，所以單擊關閉單擊確定我們已經將證書（本地計算機）添加到控制臺。將其展開，展開受信任的根證

12、書頒發機構此時我們自己配置根證書頒發機構還不被計算機信任，所以我們必須導入證書頒發機構的數字證書。右鍵證書導入證書選擇我們已經保存的CA證書，單擊下一步：此時我們發現，CA證書已經添加到相應區域。我們再返回默認網站 屬性 目錄安全性服務器已經信任CA機構了接下來可以建立SSL通道請求點擊編輯選擇要求安全通道，選擇要求客戶端證書（也可選擇其他選項，視具體情況而定）。確定Web服務器配置完畢。Windows CA 證書服務器配置（五） 客戶端訪問Web服務（終）在客戶端瀏覽器中輸入Web地址，打開網頁由于Web已經配置成要求SSL通道，所以客戶訪問的時候不能再用http協議，而應該用https協議修改成https協議后再次打開網頁，彈出證書選擇的窗口（我們默認客戶端已經安裝CA證書，如果客戶端尚未安裝CA證書，則在彈出此窗口之前會彈出一個警告窗口，單擊確定后就會彈出證書選擇窗口）客戶端尚未安裝數字證書，所以并沒有數字證書提供選擇，單擊確定后進入錯誤頁面客戶端到CA申請數字證書并安裝完成后，再次訪問Web這一次就會有個人