WindowsCA证书服务器配置.ppt

密码学,Windows_CA_证书服务器配置,1,2,目录,1.CA中心,CA中心又称CA机构，即证书授权中心(Certificate Authority)，或称证书授权机构，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。负责证书颁发、吊销、更新和续订等证书管理任务和CRL（被CA吊销的证书的列表）发布和事件日志记录等几项重要的任务。,3,1.CA中心,CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。在SET交易中，CA不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。,4,1.CA中心,电子商务的安全是通过使用加密手段来达到的，非对称密钥加密技术（公开密钥加密技术）是电子商务系统中主要的加密技术，主要用于对称加密密钥的分发（数字信封）、数字签名的实现(进行身份认证和信息的完整性检验)和交易防抵赖等。CA体系为用户的公钥签发证书，以实现公钥的分发并证明其合法性。该证书证明了该用户拥有证书中列出的公开密钥。证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。证书的格式遵循X.509标准。,5,1.CA中心,认证中心（CACertificate Authority）作为权威的、可信赖的、公正的第三方机构，专门负责发放并管理所有参与网上交易的实体所需的数字证书。它作为一个权威机构，对密钥进 行有效地管理，颁发证书证明密钥的有效性，并将公开密钥同某一个实体（消费者、商户、银行）联系在一起。它负责产生、分配并管理所有参与网上信息交换各方所需的数字证书，因此是安全电子信息交换的核心。,6,1.CA中心,为保证客户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性，不仅需要对客户的身份真实性进行验证，也需要有一个具有权威性、公正性、唯一性的机构，负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的安全证书。数字证书管理中心是保证电子商务安全的基础设施。它负责电子证书的申请、签发、制作、废止、认证和管理，提供网上客户身份认证、数字签名、电子公证、安全电子邮件等服务等业务。,7,1.CA中心,随着认证中心(或称CA中心)的出现，使得开放网络的安全问题得以迎刃而解。利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术，可以建立起安全程度极高的加解密和身份认证系统，确保电子交易有效、安全地进行，从而使信息除发送方和接收方外，不被其他方知悉（保密性）；保证传输过程中不被篡改（完整性和一致性）；发送方确信接收方不是假冒的（身份的真实性和不可伪装性）；发送方不能否认自己的发送行为（不可抵赖性）。,8,CA的架构,CA认证的主要工具是CA中心为网上作业主体颁发的数字证书。CA架构包括PKI结构、高强度抗攻击的公开加解密算法、数字签名技术、身份认证技 术、运行安全管理技术、可靠的信任责任体系等等。从业务流程涉及的角色看，包括认证机构、数字证书库和黑名单库、密钥托管处理系统、证书目录服务、证书审批和作废处理系统。从CA的层次结构来看，可以分为认证中心（根CA）、密钥管理中心（KM）、认证下级中心（子CA）、证书审批中心（RA中心）、证书审批受理点（RAT）等。CA中心一般要发布认证体系声明书，向服务的对象郑重声明CA的政策、保证安全的措施、服务的范围、服务的质量、承担的责任、操作流程等条款。,9,CA的架构,根据PKI的结构，身份认证的实体需要有一对密钥，分别为私钥和公钥。其中的私钥是保密的，公钥是公开的。从原理上讲，不能从公钥推导出私钥，穷举法来求私钥则由于目前的技术、运算工具和时间的限制而不可能。每个实体的密钥总是成对出现，即一个公钥必定对应一个私钥。公钥 加密的信息必须由对应的私钥才能解密，同样，私钥做出的签名，也只有配对的公钥才能解密。公钥有时用来传输对称密钥，这就是数字信封技术。,10,CA的架构,密钥的管理政策是把公钥和实体绑定，由CA中心把实体的信息和实体的公钥制作成数字证书，证书的尾部必须有CA中心的数字签名。由于CA中心的数字签名是不可伪造的，因此实体的数字证书不可伪造。CA中心对实体的物理身份资格审查通过后，才对申请者颁发数字证书，将实体的身份与数字证书对应起来。由于实体都信任提供第三方服务的CA中心，因此，实体可以信任由CA中心颁发数字证书的其他实体，放心地在网上进行作业和交易。,11,CA的职责,CA中心主要职责是颁发和管理数字证书。其中心任务是颁发数字证书，并履行用户身份认证的责任。CA中心在安全责任分散、运行安全管理、系统安全、物理安全、数据库安全、人员安全、密钥管理等方面，需要十分严格的政策和规程，要有完善的安全机制。另外要有完善的安全审计、运行监控、容灾备份、事故快速反应等实施措施，对身份认证、访问控制、防病毒防攻击等方面也要有强大的工具支撑。,12,CA的职责,CA中心的证书审批业务部门则负责对证书申请者进行资格审查，并决定是否同意给该申请者发放证书，并承担因审核错误引起的、为不满足资格的证书申请者发放证书所引起的一切后果，因此，它应是能够承担这些责任的机构担任；证书操作部门（Certificate Processor，简称CP）负责为已授权的申请者制作、发放和管理证书，并承担因操作运营错误所产生的一切后果，包括失密和为没有授权者发放证书等，它可以由审核业务部门自己担任，也可委托给第三方担任。,13,CA中的数字证书,数字安全证书就是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在Internet上解决我是谁的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。在网上电子交易中，商户需要确认持卡人是信用卡或借记卡的合法持有者，同时持卡人也必须能够鉴别商户是否是合法商户，是否被授权接受某种品牌的信用卡或借记卡支付。为处理这 些关键问题，必须有一个大家都信赖的机构来发放数字安全证书。数字安全证书就是参与网上交易活动的各方（如持卡人、商家、支付网关）身份的代表，每次交易时，都要通过数字安全证书对各方的身份进行验证。数字安全证书是由权威公正的第三方机构即CA中心签发的，它在证书申请被认证中心批 准后，通过登记服务机构将证书发放给申请者。,14,CA中的数字证书,数字安全证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字 签名。一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。一个标准的X.509数字安全证书包含以下一些内容：证书的版本信息；证书的序列号，每个证书都有一个唯一的证书序列号；证书所使用的签名算法；证书的发行机构名称，命名规则一般采用X.500格式；证书的有效期，现在通用的证书一般采用UTC时间格式；证书所有人的名称，命名规则一般采用X.500格式；证书所有人的公开密钥；证书发行者对证书的签名,15,CA中心的作用,CA为电子商务服务的证书中心，是PKI（Public Key Infrastructure）体系的核心。它为客户的公开密钥签发公钥证书、发放证书和管理证书，并提供一系列密钥生命周期内的管理服务。它将客户的公 钥与客户的名称及其他属性关联起来，为客户之间电子身份进行认证。证书中心是一个具有权威性、可信赖性和公证性的第三方机构。它是电子商务存在和发展的基础。,16,CA中心的作用,自身密钥的产生、存储、备份/恢复、归档和销毁从根CA开始到直接给客户发放证书的各层次CA，都有其自身的密钥对。CA中心的密钥对一般由硬件加密服务器在机器内直接产生，并存储于加密硬 件内，或以一定的加密形式存放于密钥数据库内。加密备份于IC卡或其他存储介质中，并以高等级的物理安全措施保护起来。密钥的销毁要以安全的密钥冲写标 准，彻底清除原有的密钥痕迹。需要强调的是，根CA密钥的安全性至关重要，它的泄露意味着整个公钥信任体系的崩溃，所以CA的密钥保护必须按照最高安全级 的保护方式来进行设置和管理。,17,CA中心的作用,为认证中心与各地注册审核发放机构的安全加密通信提供安全密钥管理服务在客户证书的生成与发放过程中，除了有CA中心外，还有注册机构、审核机构和发放机构（对于有外部介质的证书）的存在。行业使用范围内的证书，其证书的审批控制，可由独立于CA中心的行业审核机构来完成。CA中心在与各机构进行安全通信时，可采用多种手段。对于使用证书机制的安全通信，各机构（通信端）的密钥产生、发放与管理维护，都可由CA中心来完成。,18,CA中心的作用,确定客户密钥生存周期，实施密钥吊销和更新管理 每一张客户公钥证书都会有有效期，密钥对生命周期的长短由签发证书的CA中心来确定。各CA系统的证书有效期限有所不同，一般大约为23年。,19,CA中心的作用,密钥更新不外为以下两种情况：密钥对到期、密钥泄露后需要启用新的密钥对（证书吊销）。密钥对到期时，客户一般事先非常清楚，可以采用重新申请的方式实施更新。采用证书的公钥吊销，是通过吊销公钥证书来实现的。公钥证书的吊销来自于两个方向，一个是上级的主动吊销，另一个是下级主动申请证书的吊销。当上级CA对下级CA不能信赖时（如上级发现下级CA的私钥有泄露的可能），它可以主动停止下级CA公钥证书的合法使用。当客户发现自己的私钥泄露时，也可 主动申请公钥证书的吊销，防止其他客户继续使用该公钥来加密重要信息，而使非法客户有盗取机密的可能。一般而言，在电子商务实际应用中，可能会较少出现私 钥泄露的情况，多数情况是由于某个客户由于组织变动而调离该单位，需要提前吊销代表企业身份的该客户的证书。,20,2.服务器证书,服务器证书是SSL数字证书的一种形式，意指通过提交数字证书来证明您的身份或表明您有权访问在线服务。再者简单来说，通过使用服务器证书可为不同站点提供身份鉴定并保证该站点拥有高强度加密安全。然而，并不是所有网站都需要添加服务器证书，但强烈建议只要是与用户、服务器进行交互连结操作，以及涉及到密码、隐私等内容的网站页面，才需要服务器安全认证证书。,21,SSL证书,SSL证书是数字证书的一种，类似于驾驶证、护照和营业执照的电子副本。SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道（Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证；对传送的数据进行加密和隐藏；确保数据在传送中不被改变，即数据的完整性，现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中，因此，仅需安装服务器证书就可以激活该功能了）。即通过它可以激活SSL协议，实现数据信息在客户端和服务器之间的加密传输，可以防止数据信息的泄露。保证了双方传递信息的安全性，而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。,22,SSL证书,数位签名又名数字标识、签章(即 Digital Certificate，Digital ID)，提供了一种在网上进行身份验证的方法，是用来标志和证明网路通信双方身份的数字信息文件，概念类似日常生活中的司机驾照或身份证相似。数字签名主要用于发送安全电子邮件、访问安全站点、网上招标与投标、网上签约、网上订购、安全网上公文传送、网上办公、网上缴费、网上缴税以及网上购物等安全的网上电子交易活动。,23,SSL证书优点,一般说来，在网上进行电子商务交易时，交易双方需要使用数字签名来表明自己的身份，并使用数字签名来进行有关的交易操作。随着电子商务的盛行，数位签章的颁发机构 CA（如GlobalSign）中心将为电子商务的发展提供可靠的安全保障。一个有效、可信的 SSL 数字证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息，私用密钥用于解译加密的信息。因此，浏览器指向一个安全域时，SSL 将同步确认服务器和客户端，并创建一种加密方式和一个唯一的会话密钥。一般而言，由 CA 业者发出的数字证书，有别于国内浏览器业者比对域名信息等方式，采取更为严格的企业及所有权验证，为电商环境树立更为可信的运作环境。,24,SSL证书认证原理,安全套接字层(SSL)技术通过加密信息和提供鉴权，保护网站安全。一份 SSL 证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息，私用密钥用于解译加密的信息。浏览器指向一个安全域时，SSL 同步确认服务器和客户端，并创建一种加密方式和一个唯一的会话密钥。它们可以启动一个保证消息的隐私性和完整性的安全会话。SSL的工作原理中包含如下三个协议：握手协议（Handshake protocol）记录协议（Record protocol）警报协议（Alert protocol）,25,SSL证书认证原理,握手协议握手协议是客户机和服务器用SSL连接通信时使用的第一个子协议，握手协议包括客户机与服务器之间的一系列消息。SSL中最复杂的协议就是握手协议。该协议允许服务器和客户机相互验证，协商加密和MAC算法以及保密密钥，用来保护在SSL记录中发送的数据。握手协议是在应用程序的数据传输之前使用的。,26,SSL证书认证原理,记录协议记录协议在客户机和服务器握手成功后使用，即客户机和服务器鉴别对方和确定安全信息交换使用的算法后，进入SSL记录协议，记录协议向SSL连接提供两个服务：（1）保密性：使用握手协议定义的秘密密钥实现（2）完整性：握手协议定义了MAC，用于保证消息完整性,27,SSL证书认证原理,警报协议客户机和服务器发现错误时，向对方发送一个警报消息。如果是致命错误，则算法立即关闭SSL连接，双方还会先删除相关的会话号，秘密和密钥。每个警报消息共2个字节，第1个字节表示错误类型，如果是警报，则值为1，如果是致命错误，则值为2；第2个字节制定实际错误类型。,28,证书功能,服务器部署了 SSL 证书后可以确保用户在浏览器上输入的机密信息和从服务器上查询的机密信息从用户电脑到服务器之间的传输链路上是高强度加密传输的，是不可能被非法篡改和窃取的。同时向网站访问者证明了服务器的真实身份，此真实身份是通过第三方权威机构验证的。也就是说有两大作用：数据加密和身份认证。,29,证书功能,确认网站真实性（网站身份认证）：用户需要登录正确的网站进行在线购物或其它交易活动，但由于互联网的广泛性和开放性，使得互联网上存在着许多假冒、钓鱼网站，用户如何来判断网站的真实性，如何信任自己正在访问的网站，可信网站将帮你确认网站的身份。当用户需要确认网站身份的时候，只需要点击浏览器地址栏里面的锁头标志即可。,30,证书功能,保证信息传输的机密性：用户在登录网站在线购物或进行各种交易时，需要多次向服务器端传送信息，而这些信息很多是用户的隐私和机密信息，直接涉及经济利益或私密，如何来确保这些信息的安全呢？可信网站将帮您建立一条安全的信息传输加密通道。,31,证书功能,在SSL会话产生时，服务器会传送它的证书，用户端浏览器会自动的分析服务器证书，并根据不同版本的浏览器，从而产生40位或128位的会话密钥，用于对交易的信息进行加密。所有的过程都会自动完成，对用户是透明的，因而，服务器证书可分为两种：最低40位和最低128位（这里指的是SSL会话时生成加密密钥的长度，密钥越长越不容易破解）证书。最低40位的服务器证书在建立会话时，根据浏览器版本不同，可产生40位或128位的SSL会话密钥用来建立用户浏览器与服务器之间的安全通道。而最低128位的服务器证书不受浏览器版本的限制可以产生128位以上的会话密钥，实现高级别的加密强度，无论是IE或Netscape浏览器，即使使用强行攻击的办法破译密码，也需要10年。,32,证书分类,SSL证书依据功能和品牌不同分类有所不同，但SSL证书作为国际通用的产品，最为重要的便是产品兼容性（即证书根预埋技术），因为他解决了网民登录网站的信任问题，网民可以通过SSL证书轻松识别网站的真实身份。SSL证书分为如下种类：扩展验证型(EV)SSL证书组织验证型(OV)SSL证书域名验证型（DV）SSL证书,33,证书工作流程,用户连接到你的Web站点，该Web站点受服务器证书所保护。（可由查看 URL的开头是否为https:来进行辩识，或浏览器会提供你相关的信息）。你的服务器进行响应，并自动传送你网站的数字证书给用户，用于鉴别你的网站。用户的网页浏览器程序产生一把唯一的会话钥匙码，用以跟网站之间所有的通讯过程进行加密。使用者的浏览器以网站的公钥对交谈钥匙码进行加密，以便只有让你的网站得以阅读此交谈钥匙码。具有安全性的通讯过程已经建立。这个过程仅需几秒中时间，且使用者不需进行任何动作。依不同的浏览器程序而定，使用者会看到一个钥匙的图标变得完整，或一个门栓的图标变成上锁的样子，用于表示工作阶段具有安全性。,34,2.服务器证书,服务器证书(server certificates)组成Web服务器的SSL安全功能的唯一的数字标识。通过相互信任的第三方组织获得，并为用户 提供验证您Web站点身份的手段。服务器证书包含详细的身份验证信息，如服务器内容附属的组织、颁发证书的组织以及称为公开密钥的唯一的身份验证文件。这意味着服务器证书确保用户关于web服务器内容的验证，同时意味着建立的HTTP连接是安全的。,35,服务器证书厂商,常见的安全套接字层(SSL)证书认证机构有VeriSign，GlobalSign，WoSign 等，为网站、内联网和外联网的电子商务及通讯提供安全保护。CA 机构通过加密功能和严格的鉴权措施，保护着服务器的安全。拥有代表着互联网高度安全性的可信任标志，并为每一位网站访问者启用最强大的 SSL 加密功能。目前VeriSign通过其国内合作伙伴天威诚信，提供该服务，赛门铁克公司在2010年收购了VeriSign公司数字证书业务，增加了数字证书中安全漏洞扫描业务，使得证书安全服务更加的全面。GlobalSign 则直接在中国提供服务器证书的申请、审核和认证。,36,互联网上的最受信任标志,财富 500 强企业中超过 93%的公司和世界 40 家最大的银行都选择 SSL 证书安全策略，因为他们都深知互联网安全重要性。他们之所以信任 SSL 证书服务，正是由于先进的加密技术和严格的业务鉴权实践。如果您的网站使用 SSL 证书(SSL Certificates)，并显示了签章(Secured Seal)，您的客户就知道他们的交易安全可靠，并且充分信赖您的网站。,37,最高等级的服务器证书,目前最高等级的服务器证书为extended validation ssl certificates，翻译为中文即扩展验证（EV）SSL证书，该证书经过最彻底的身份验证，确保证书持有组织的真实性。绿色地址栏将循环显示组织名称和作为CA的机构名称（如GlobalSign），从而最大限度上确保网站的安全性，树立网站可信形象，不给欺诈钓鱼网站以可乘之机。,38,服务器证书工作原理,安全套接字层(SSL)技术通过加密信息和提供鉴权，保护您的网站安全。一份 SSL 证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息，私用密钥用于解译加密的信息。浏览器指向一个安全域时，SSL 同步确认服务器和客户端，并创建一种加密方式和一个唯一的会话密钥。它们可以启动一个保证消息的隐私性和完整性的安全会话。,39,服务器证书工作原理,使用扩展确认的安全网站专业版(Secure Site Pro with EV)：真正的 128 位扩展确认当您进行在线商务活动时，利用扩展确认和128位SSL加密技术增强客户对您的信心，同时，还为每一位网站访问者提供最强大的加密服务。另外还包括Secured签章。显目的绿色地址栏，为用户带来直观的安全感。安全网站专业版(Secure Site Pro)：真正的 128 位强制型 SSL 证书为您的金融交易和机密数据传输提供最强大的 SSL 安全保护。为大多数网站访问者提供128位SSL加密服务。通过使用由业界最严格的鉴证方式和信息基础架构提供支持的证书，向网站访问者表明您格外重视安全性。另外还包括 Secured 签章，最值得信任的互联网安全标志。,40,3.证书服务器配置,首先，主体发出证书申请，通常情况下，主体将生成密钥对，有时也可能由CA完成这一功能，然后主体将包含其公钥的证书申请提交给CA，等待年批准。CA在收到主体发来的证书申请后，必须核实申请者的身份，一旦核实，CA就可以接受该申请，对申请进行签名，生成一个有效的证书，最后，CA将分发证书，以便申请者可使用该证书。,41,3.证书服务器配置,基于WINDOWS的CA支持4种类型企业根CA：它是证书层次结构中的最高级CA，企业根CA需要AD。企业根CA自行签发自己的CA证书，并使用组策略将该证书发布到域中的所有服务器和工作站的受信任的根证书颁发机构的存储区中，通常，企业CA不直为用户和计算机证书提供资源，但是它是证书层次结构的基础。,42,3.证书服务器配置,企业从属CA：企业从属CA必须从另一CA（父CA）获得它的CA证书，企业从属CA需要AD，当希望使用AD，证书模板和智能卡登录到运行WINDOWS XP和WIN2003的计算机时，应使用企业从属CA。,43,3.证书服务器配置,独立根CA：独立根CA是证书层次结构中的最高级CA。独立根CA既可以是域的成员也可以不是，因此它不需要AD，但是，如果存在AD用于发布证书和证书吊销列表，则会使用AD，由于独立根CA不需要AD，因此可以很容易地将它众网络上断开并置于安全的区域，这在创建安全的离线根CA时非常有用。,44,3.证书服务器配置,独立从属CA：独立从属CA必须从另一CA（父CA）获得它的CA证书，独立从属CA可以是域的成员也可以不是，因此它不需要AD，但是，如果存在AD用于发布和证书吊销列表，则会使用AD。,45,添加IIS组件,安装准备：插入Windows Server 系统安装光盘添加IIS组件：,46,添加IIS组件,安装完毕后，查看IIS管理器，如下：,47,添加IIS组件,添加证书服务组件勾选上证书服务,48,安装独立根CA,安装独立根CA默认情况下，用自定义设置生成密钥对和CA证书没有勾选，我们勾选之后点击下一步,49,安装独立根CA,进行密钥算法的选择icrosoft 证书服务的默认CSP为：Microsoft Strong Cryptographic Provider，默认散列算法：SHA-1，密钥长度：2048您可以根据需要做相应的选择，这里我们使用默认,50,安装独立根CA,填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在可分辨名称后缀中添加，有效期限默认为5年,51,安装独立根CA,设置证书数据库,52,安装独立根CA,进入组件的安装，安装过程中可能弹出如下窗口：单击是，继续安装，可能再弹出如下窗口：,53,安装独立根CA,由于安装证书服务的时候系统会自动在IIS中（这也是为什么必须先安装IIS的原因）添加证书申请服务，该服务系统用ASP写就，所以必须为IIS启用ASP功能。点击是完成安装。,54,安装独立根CA,开始 管理工具 证书颁发机构，打开如下窗口：我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。,55,申请数字证书,在IE地址栏中输入证书服务系统的地址，进入服务主页点击申请一个证书进入申请页面：,56,申请数字证书,如果证书用作客户端身份认证，则可点击Web浏览器证书或高级证书申请，一般用户申请Web浏览器证书即可，高级证书申请里有更多选项，也就有很多专业术语，高级用户也可点击进入进行申请。,57,申请数字证书,这里我们以点击申请Web浏览器证书为例。申请Web浏览器证书，姓名是必填项，其他项目可不填，但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的，所以请尽量多填，并且填写真实信息，因为CA管理员会验证申请人的真实信息，然后进行颁发。需注意的一点是，国家（地区）需用国际代码填写，CN代表中国。,58,申请数字证书,在更多选项里，默认的CSP为Microsoft Enhanced Cryptographic Provider v1.0，选择其他CSP不会对认证产生影响。默认情况下启用强私钥保护并没有勾选上，建议将它勾选上，点击提交后就会让申请人设置证书的安全级别，如果不将安全级别设置为高级并用口令进行保护，则只要机器上装有该证书，任何人都可以用它作为认证，所以建议将证书设置为高级安全级别，用口令进行保护。,59,申请数字证书,单击设置安全级别,60,申请数字证书,将安全级别设置为高，单击下一步后会弹出口令设置窗口,61,申请数字证书,输入口令，对证书进行加密，并记住密码，因为在以后调用该证书的时候，浏览器会弹出输入密码的窗口。,62,申请数字证书,完成设置后，浏览器页面跳向如下,63,申请数字证书,点击查看挂起的证书申请状态,64,申请数字证书,该页面证明CA管理员已经颁发了申请人的证书，点击进入证书安装页面：,65,申请数字证书,应该已经信任CA机构，所以单击是，成功安装数字证书。,66,申请数字证书,如果要找回您刚才安装的数字证书，请单击浏览器上的：工具 Internet选项 内容 证书，弹出如下窗口：,67,申请数字证书,单击查看，这就是刚数字证书。,68,CA 证书颁发,开始 管理工具 证书颁发机构在挂起的申请里已经存在申请挂起等待颁发的证书,69,CA 证书颁发,右键点击挂起的证书 所有任务 颁发刚才的挂起证书已经存入颁发的证书存储区。此时，申请人若在登陆证书申请系统，并查看挂起，就会获取相应的证书。,70,Web服务器配置,安装好IIS，并将其打开（这里用默认网站为例），右键点击默认网站 属性,71,Web服务器配置,选择目录安全性选项卡图中查看证书为灰色不可用，说明我们还未为默认网站配置数字证书。,72,Web服务器配置,单击服务器证书，弹出如下窗口,73,Web服务器配置,由于之前并为配置过数字证书，所以应选择新建证书。如果以前配置过数字证书，并且数字证书仍然可用，则选择分配现有证书即可。,74,Web服务器配置,75,Web服务器配置,名称可以根据需要更改，不影响证书的使用。位长默认为1024，一般已经足够安全，数值越大就越安全，但是数值越大系统的处理速度就会越慢。,76,Web服务器配置,单位、部门请填写真实并能够被证实的信息，因为CA管理员会根据这些信息进行审核。,77,Web服务器配置,这一步很关键。公用名称不能随便更改，只能是该网站的DNS，如果尚未申请DNS则可以用IP地址代替。默认情况下是服务器的计算机名，但这种情况只适合于企业机构（AD管理），我们要配置的是独立机构，所以公用名只能是DNS或IP地址。,78,Web服务器配置,这些信息也将是CA管理员的审核对象。,79,Web服务器配置,至此，数字证书的信息已经填写完毕，这一步将这些信息以Base64编码的形式保存在本地，Web管理员可以用编码到CA证书申请系统进行证书的申请。,80,Web服务器配置,以下就是数字证书的本地信息，CA管理员将对其进行审核，并决定是否颁发。,81,Web服务器配置,打开如下网页点击申请一个证书点击高级证书申请,82,Web服务器配置,我们假设CA管理员审核证书信息后执行了颁发。我们再次打开CA的证书申请系统，点击查看挂起的证书申请的状态，下载证书,83,Web服务器配置,再返回默认网站 属性 目录安全性,84,Web服务器配置,单击服务器证书进行数字证书的安装,85,Web服务器配置,选择好刚才保存的.cer证书文件,86,Web服务器配置,SL的默认端口是443。我们也可以设置能其他端口，但是设置成其他端口号时，用户访问的时候必须在URL中指定端口号。,87,Web服务器配置,证书安装成功，以下就是数字证书的所有信息,88,Web服务器配置,再返回默认网站 属性 目录安全性，我们已经可以查看证书,89,Web服务器配置,这就是我们安装完成的证书，如图中所示。Web服务器还不信任我们自己配置的证书颁发机构。,90,Web服务器配置,先到CA证书申请系统中下载CA根证书,91,Web服务器配置,接下来我们要安装CA的数字证书，安装完成后Web服务器才会信任该CA机构。开始 运行打开mmc，打开如下窗口,92,Web服务器配置,文件 添加/删除管理单元,93,Web服务器配置,找到证书的管理单元，单击添加,94,Web服务器配置,选择计算机帐户，单击下一步,95,Web服务器配置,选择本地计算机，完成设置。,96,Web服务器配置,我们已经将证书（本地计算机）添加到控制台。,97,Web服务器配置,将证书展开，展开受信任的根证书颁发机构,98,Web服务器配置,此时我们自己配置根证书颁发机构还不被计算机信任，所以我们必须导入证书颁发机构的数字证书选择我们已经保存的CA证书，单击下一步,99,Web服务器配置,设置证书存储受信任,100,Web服务器配置,此时我们发现，CA证书已经添加到相应区域。,101,Web服务器配置,我们再返回默认网站 属性 目录安全性，查看证书，服务器已经信任CA机构,102,Web服务器配置,下来可以建立SSL通道请求,103,Web服务器配置,选择要求安全通道，选择要求客户端证书（也可选择其他选项，视具体情况而定）。Web服务器配置完毕。,104,谢谢收看,105,