Windows Server 2008标准证书使用记录

近期准备将单位的服务器全部升级到Windows Server 2008，但有一些“遗留”问题需要解决： （1）现在单位还有一台Windows Server 2003，上面安装了“标准CA”并做证书服务器，为ISA Server、heuet.com等网站提供域名等证书。 （2）Windows Server 2003安装了“Windows部署服务”，用来提供远程安装服务。 （3）用ISA Server做的“***”服务器，且“企业CA”做“智能卡”发放证书。 现在逐渐将Windows Server 2003升级到2008，现在先测试Windows Server 2008中的“标准CA”与Windows Server 2003提供的“标准CA”的区别，看是否可以升级。 主要测试环境如下： 准备一台Windows Server 2008虚拟机，安装证书服务，并申请“用户证书”、“计算机证书”，看是否可以满足第1个条件。 主要测试过程：1 安装证书服务 （1）在一台Windows Server 2008虚拟机中（未安装IIS、未升级到AD，其他任务服务都没有安装），进入“服务器管理器”，定位到“角色”，在右侧窗格单击“添加角色”，如图1所示。 图1 添加角色 （2）在“选择服务器角色”页中，选中“Active Directory证书服务”，如图2所示。 图2 证书服务 【说明】你千万不要被“Active Directory”几个前缀“吓到”，虽然名称叫“Active Directory证书服务”，并不表示这一定需要Active Directory的支持。继续看，你就明白。 （3）在“选择角色服务”页中，添加“证书颁发机构”、“证书颁发机构Web注册”、“联机响应程序”，在选择“证书颁发机构Web注册”时，会弹出添加IIS的对话框，单击“添加必需的角色服务”即可自动添加所需要的IIS服务，如图3所示。 图3 添加角色 （4）在“指定安装类型”页中，选择“独立”，这就是表示要安装“标准CA证书”服务器了，如图4所示。 图4 添加标准证书服务器 （5）在“指定CA类型”页，选择“根”，如图5所示。 图5 根CA （6）在“设备私钥”页，选择“新建私钥”，如图6所示。 图7 新建私钥 （7）在“为CA配置加密”页，选择默认值，如图8所示。 图8 为CA配置加密 （8）在“配置CA名称”页，选择默认值。在以后的配置中，选择默认值，直接安装完成，如图9所示。 图9 安装完成 （9）虽然没有提示需要重新启动计算机，但是，最好是重新启动计算机，让设置生效，如图10所示。 图10 重新启动计算机2 申请用户证书 再次进入Windows Server 2008后，我们将为Windows Server 2008“本身”申请一个Web服务器证书。 （1）打开IE，键入[url]http://localhost/certsrv[/url]，如图11所示。然后单击“申请证书”。 图11 申请证书 （2）选择“高级证书申请”，如图12所示。 图12 高级证书申请 （3）在“高级证书申请”页，单击“创建并向此CA提交一个申请”，如图13所示。 图13 创建并向此CA提交一个申请 （4）使用Web方式申请证书时，需要ActiveX控件。此时，单击“工具”菜单选择“Internet选项”，如图14所示。 图14 Internet选项 （5）在“高级”选项卡中，允许“允许活动内容在我的计算机上运行”，如图15所示。 图15 允许活动内容在计算机上运行 （6）在“安全”选项卡中，选中“可信站点”，单击“自定义级别”，如图16所示。 图16 自宝座级别“ 在“安全设置-受信任的站点区域”对话框中，选中“ActiveX控件自动提示”、“对标记为可安全执行脚本的ActiveX控件执行程序”、“下载己签名的ActiveX控件”等，如图17所示。 图17 执行ActiveX控件 返回到图16后，单击“站点”按钮，添加[url]http://localhost[/url]到可信区域，如图18所示。 图18 添加当前站点到可信区域 （7）返回到IE后，按F5刷新，可以申请证书，在此，申请证书的名称与计算机名称一致，并在“需要的证书类型”中选择“服务器身份验证证书”，并选中“标记密码为可导出”，如图19所示。 图19 申请证书 （8）提交申请后，提示“证书正在挂起”，如图20所示。 图20 证书申请被挂起 返回到“服务器管理器”，定位到“角色→CA→挂起的申请”，在右侧，颁发申请的证书，如图21所示。 图21 颁发证书 （9）切换到IE浏览器，单击“主页”按钮，单击“查看挂起的证书申请的状态”，如图22所示。 图22 查看挂起的证书申请的状态 （10）可以看到，证书已经被颁发，如图23所示。 图23 证书已经颁发 （11）然后安装该证书，如图24所示。 图24 安装证书3 导出证书（计算机证书） 由于在Windows Server 2008中，不能直接申请“计算机证书”，所以，要想安装计算机证书，必须将上一步申请的证书，从“用户证书”存储中导出，然后再“导入”到计算机存储中，成为“计算机证书”，主要步骤如下： （1）在IE中，进入“Internet选项”，在“内容”选项卡中，单击“证书”，如图25所示。 图25 证书 （2）在“证书”页中，在“个人”选项卡中，单击“导出”按钮，如图26所示。 图26 导出 （3）在“导出私钥”页中，选中“是，导出私钥”，如图27所示。 图27 导出私钥 （4）在“导出文件格式”页中，选中“如果导出成功，删除密钥”，如图28所示。 图28 导出后删除密钥 （5）设置密码，如图29所示。 图29 设置密码 （6）设置导出文件的名称及路径，如图30所示。 图31 导出文件及路径 （7）导出完成，如图32所示。 图32 导出完成4 在计算机存储中导入证书（计算机证书） （1）运行MMC，如图33所示。 图33 MMC （2）添加删除管理单元，如图34所示。 图34 添加管理单元 （3）添加“证书”，如图35所示。 图35 添加证书 （4）为“计算机帐户”添加“证书”管理单元，如图36所示。 图36 计算机帐户 （5）选择“本地计算机”，如图37所示。 图37 本地计算机 （6）返回到MMC管理控制台后，定位到“证书→个人→证书”，导入证书，如图38所示。 图38 导入证书 （7）选中图31中导出的证书，如图39所示。 图39 导入证书 （8）键入密码，以导入证书，如图40所示。 图40 键入密码 （9）导入完成，如图41所示。 图41 导入证书完成5 在IIS中分配证书 返回到“服务器管理器”，定位到“Web服务器→Internet信息服务”，在右侧的任务窗格中单击“绑定”链接，如图42所示。 图42 绑定 在弹出的“网站绑定”对话框中，单击“添加”按钮，在弹出的“添加网站绑定”对话框中，选中HTTPS，并在“SSL证书”下拉列表中，选择新添加的“Web服务器证书”，如图43所示。 图43 添加证书6 验证 返回到IE浏览器中，键入[url]https://localhost[/url]，验证证书，可以看到“此网站的安全证书有问题”的提示，如图44所示。 图44 提示证书有问题 此时，将地址栏换成[url]https://w2008ent[/url]，此时会打开默认的网站，并不会弹出“此网站的安全证书有问题”的提示，如图45所示。 图45 默认站点 键入[url]https://w2008ent/certsrv[/url]，也可以正常浏览，如图46所示。 图46 浏览证书申请站点7 后记 （1）经过测试发现，Windows Server 2008的标准证书服务，是完全可以代替Windows Server 2003的证书服务的。 （2）Windows 2008的证书服务中，已经取消了“存储到本地”这一选项，也就是说，不能直接申请“计算机证书”，只能是先申请用户证书，再导出，再导入成“计算机证书”。 （3）其他问题，正在后续的测试中。

总结

以上是生活随笔为你收集整理的Windows Server 2008标准证书使用记录的全部内容，希望文章能够帮你解决所遇到的问题。

如果觉得生活随笔网站内容还不错，欢迎将生活随笔推荐给好友。