- 实验环境
- 实验步骤
- 0x01 安装AD域环境
- 0x02 添加AD证书服务角色
- 0x03 申请证书
- 0x04 证书的安装和使用
- 0x05 win7通过https访问08server
- 0x06 证书的导入与导出
Windows 7 ip:192.168.30.220(可以不用设置静态ip)
Windows server 2008设置静态ip:192.168.30.229 (注意VMnet8网卡网段)
都设置为NAT网卡,保证在同一网段,能访问到即可
- 输入命令dcpromo,回车,安装域服务
- 点击下一步
- 命名林根域
- 设置林功能级别
- 选取DNS服务器
- 安装路径保持默认即可
- 此密码是用作还原域时使用,该实验用不到
- 继续下一步
等待。
完成后立即重启。
查看计算机属性,发现该计算机以属于xupt域
-
服务器管理器—角色—添加角色
-
选择AD证书服务
-
选择Web页注册,添加所需角色服务
-
只有安装AD域后,这里才可以选择企业CA。前面安装AD域的原因就是在这里选择企业CA
- 第一个CA证书选择根CA
- 选择新建私钥
- 秘钥字符长度选择2048,哈希算法选择SHA1
- 默认下一步
- 点击安装,安装成功
-
打开CA证书控制台查看,开始—所有程序—管理工具——证书颁发机构
发现这里的证书服务信息都是空的
-
打开Internet信息服务管理器,开始—所有程序—管理工具——Internet 信息服务(IIS)管理器
-
双击打开服务器证书
-
点击创建证书申请,并填写基本信息
-
默认加密服务提供程序,位长选择2048
-
选择保存路径,并为证书指定文件名
-
打开刚保存的证书,可以发现内容是经base64编码后的内容
-
因为我们的证书不是经过正式机构颁发的,并且浏览器开启着安全配置,所以我们不能访问安全加密的https,下面我们需要关闭安全配置
关闭安全配置
-
关闭浏览器安全配置后,使用IE浏览器访问Web站点下证书服务的虚拟目录,这里访问需要输入管理员用户名及密码
10. 点击申请证书
11. 点击高级证书申请
12. 点击使用base64编码的CMC文件提交一个证书申请
13. 将刚才的base64编码复制到证书申请处
15. 选择Web服务器,提交
16. 将申请的证书保存到桌面
-
返回Web服务器控制台,点击完成证书申请,选择刚刚申请的证书,并进行重命名
-
指定站点启用https(安全超文本传输协议),选择刚刚我们保存到桌面的证书
这里为了实验简单化,这里就不进行SSL配置 -
打开证书颁发机构,查看颁发的证书,这里就有刚刚给我颁发的证书
- https访问,因为证书是我们自己认证的,所以显示证书有问题,但是不影响,继续浏览
- 虽然显示证书错误,但是我们可以通过https正常访问
目的是为了防止安装的证书的网站需要重新建立
-
证书导出
成功导出
-
删除原有的证书
-
导入证书
可以看到成功导入
