windows2008下的web配置ssl（1）

 

本部分的内容

·         步骤 1：创建证书颁发机构

·         步骤 2：创建公用和私用证书

·         步骤 3：导入公用和私用证书

·         步骤 4：在 IIS 中启用安全套接字层

步骤 1：创建证书颁发机构

在本主题中，您将安装证书服务 Windows 组件。并使用该组件生成在 Contoso 组织与 Fabrikam 组织之间进行安全通信所需的证书。每个贸易合作伙伴都将拥有一个专用的通信加密证书和一个用于标识身份的专用签名证书。此外，合作伙伴将彼此共享公钥证书，以便在实现 3A2 合作伙伴流程接口 (PIP) 时实现安全通信。

安装证书服务器

1.       单击“开始”，指向“设置”，然后单击“控制面板”。双击“添加或删除程序”。

2.       在“添加或删除程序”对话框中，单击“添加/删除 Windows 组件”。

3.       在“Windows 组件向导”页的“组件”部分中，选择“证书服务”，单击“是”，然后单击“下一步”，启动“配置组件向导”。

注意

如果“证书服务”Windows组件已选中，请跳过此过程的其他操作。

4.       在“CA 类型”页中，确保“独立根 CA”已选中，然后单击“下一步”。

5.       在“CA 标识信息”页的“此 CA 的公用名称”框中，键入 Contoso-FabrikamCA，然后单击“下一步”。

6.       在“证书数据库设置”页中，保留默认值，然后单击“下一步”。

7.       当向导提示您停止 Internet 信息服务 (IIS) 时，请单击“是”。

8.       当“配置组件向导”提示您启用 Active Server Pages 时，请单击“是”。

9.       单击“完成”关闭“Windows 组件向导”。

注意

您只需将一台计算机用作证书颁发机构。而不必在第二台计算机上重复此步骤。本教程将 Contoso 计算机用作证书颁发机构。

安装 Windows Server 2008 的根证书颁发机构 (CA)

1.       打开服务器管理器，在“角色”中单击“添加角色”，单击“下一步”，然后单击“Active Directory 证书服务”复选框。两次单击“下一步”。

2.       在“选择角色服务”页上，单击“证书颁发机构和证书颁发机构 Web 注册”。单击“下一步”。

3.       在“指定安装类型”页上，单击“独立”。单击“下一步”。

4.       在“指定 CA 类型”页上，单击“根 CA”。单击“下一步”。

5.       在“设置私钥”页上，单击“新建私钥”。单击“下一步”。

6.       在“为 CA 配置加密”页上，单击“下一步”。

7.       在“配置 CA 名称”页的“此 CA 的公用名称”框中，键入“Contoso-FabrikamCA”，然后单击“下一步”。

8.       在“设置有效期”页上，单击“下一步”。

9.       在“配置证书数据库”页上，单击“下一步”。

10.    在“确认安装选项”页上，单击“安装”。

配置此 CA 的网站以使用 HTTPS 身份验证

1.       在您用作证书颁发机构的计算机上，单击“开始”，指向“所有程序”，再指向“管理工具”，然后单击“Internet 信息服务(IIS)管理器”。

2.       在“Internet 信息服务(IIS)管理器”对话框中，右键单击“默认网站”，然后从弹出菜单中选择“编辑绑定…”。

3.       在“网站绑定”对话框中，单击“添加”。

4.       在“添加网站绑定”对话框中，从“类型”下拉列表中选择“https”，从“SSL 证书”下拉列表中选择该证书，然后单击“确定”。

5.       单击“关闭”，以关闭“网站绑定…”对话框。

下载 CA 证书

1.       在 Internet Explorer 中，找到并打开 http://<contoso 计算机名>/certsrv/Default.asp。

2.       在 Default.asp 页中，单击“下载 CA 证书、证书链或 CRL”。

3.       请确保已在“CA 证书”列表中选中“当前[Contoso-FabrikamCA]”，然后单击“下载 CA 证书”。

4.       将该证书保存为 Contoso 和 Fabrikam 计算机上的 C:\Certs\Contoso-FabrikamCA.cer。

将 CA 证书导入受信任根证书授权机构存储区

1.       单击“开始”，再单击“运行”，键入“cmd”，然后单击“确定”。

2.       在命令提示符处，转到 <驱动器>:\Program Files\MicrosoftBizTalk 2010 Accelerator for RosettaNet\SDK，然后按 Enter。

3.       在命令提示符处，键入 CertWizard /Rootkey "<驱动器>:\Certs\Contoso-FabrikamCA.cer"，然后按 Enter。

重要提示

此步骤在 Contoso 和 Fabrikam 计算机上都要执行。

启用自动颁发证书

1.       在用作证书颁发机构的计算机上，单击“开始”，依次指向“程序”和“管理工具”，然后单击“证书颁发机构”。

2.       在“证书颁发机构”对话框中，用鼠标右键单击“Contoso-FabrikamCA”，然后单击“属性”。

3.       在“Contoso-FabrikamCA 属性”对话框的“策略模块”选项卡中，单击“属性”。

4.       在“属性”对话框中，选择“按照证书模板中的设置”，然后单击“确定”。

5.       单击“确定”关闭“Contoso-FabrikamCA”对话框。

6.       关闭“证书颁发机构”对话框。

注意

通过启用自动颁发证书，证书服务可将证书颁发过程自动化。必须重新启动证书服务才能应用此更改。 您可能需要将根证书 Contoso-FabrikamCA.cer 安装在 Current User\Trusted Root Certification authorities 中。