Windows Server 2008证书服务的安装 实验内容为在CA服务器上安装CA证书服务，在Web服务器生 成Web证书申请，通过IE浏览器提交证书申请，证书申请批准 后下载Web服务器证书，为Web服务器安装证书并配置SSL， 使用HTTPS协议访问网站来验证结果。 （1）登录Windows Server 2008服务器。 （2）打开【服务器管理器】，如图6-40所示。

（3）如图6-41，点击【添加角色】，之后点击【下一步】。

（4）如图6-42，找到【Active Directory证书服务】勾选此选项，之后点击【下一步】 （5）如图6-43，进入证书服务简介界面，点击【下一步】。

（6）如图6-44，将证书颁发机构、证书颁发机构WEB注册勾选上，然后点击【下一步】 （7）如图6-45，勾选【独立】选项，点击【下一步】（由于不在域管理中创建，直接默认为：“独立”）。

（8）如图6-46，首次创建，勾选【根CA】之后点击【下一步】。 （9）如图6-47，首次创建勾选【新建私钥】，之后点击【下一步】。

（10）如图6-48，默认继续点击【下一步】。

（11）如图6-49默认继续点击【下一步】。 （12）如图6-50，默认继续点击【下一步】。

（13）如图6-51，默认继续点击【下一步】。 （14）如图6-52，点击【安装】。

（15）如图6-53，点击【关闭】证书服务器安装完成。

任务 Windows Server 2008使用IIS配置WEB服务器上证书应用 以证书服务器创建的WEB站点为示例，搭建WEB服务器端SSL证 书应用步骤如下： 1.如图6-54，打开IIS，WEB服务器找到【服务器证书】并选 中。

2.如图6-55，点击【服务器证书】，找到【创建证书申请】 项。

3.如图6-56，单击【创建证书申请】，打开【创建证书申 请】后，填写相关文本框，填写中需要注意的是：“通用 名称”必需填写本机IP或域名，其它项则可以自行填写； 注：下面的192.168.1.203为示例机IP地址，实际IP地址 需根据每人主机IP自行填写；填写完后，单击【下一步】 。 4.如图6-57，默认，点击【下一步】。

5.如图6-58，选择并填写需要生成文件的保存路径与文件名, 此文件后期将会被使用；（保存位置、文件名可以自行设定） ，之后点击【完成】，此配置完成，子界面会关闭。

6. 如图6-59，接下来，点击IE浏览器，访问： http://192. 168. 1. 104/certsrv/。注：此处的 192 6.如图6-59，接下来，点击IE浏览器，访问： http://192.168.1.104/certsrv/。注：此处的 192.168.1.104为示例机IP地址，实际IP地址需根据每人 主机IP自行填写。

书】，进入下一界面点击【高级证书申请】，进入下一界 面点击【创建并向此CA提交一个申请】，进入下一界面， 如图6-60，会弹出一个提示窗口：“为了完成证书注册， 必须将该CA的网站配置为使用HTTPS身份验证”，也就是 必须将HTTP网站配置为HTTPS的网站，才能正常访问当前 网页及功能。

8. 搭建HTTPS的网站 证书服务已搭建，用于创建SSL的加密服务；使用证书服务器的 WEB网站时，提示需要将证书WEB站点配置为HTTPS网站才能正 常使用； 9. 由于搭建HTTPS需要先申请证书，但现在证书服务网站也需要 配置为HTTPS才能正常使用，在证书网站还未配置为HTTPS服务前 我们？如下方法申请证书。如图6-61，打开IE(浏览器)，找到工具 栏，点击【工具栏】，找到它下面的【Internet选项】。

10.如图6-62，点击【Internet选项】->点击【安全】->点击 【可信站点】 11.如图6-63，点击【可信站点】，并输入之前的证书网站 地址：http://192.168.1.104/certsrv，并将其【添加】到信 任站点中；添加完后，点击【关闭】，关闭子界面。

12.接下来，如图6-64，继续在【可信站点】位置点击【自定 义级别】，此时会弹出一个【安全设置】子界面，在安全设 置界面中拖动右别的滚动条，找到【对未标记为可安全执行 脚本的ActiveX控件初始化并执行脚本】选项，将选为【启用 】；之后点击所有【确定】操作，直到【Internet选项】子 界面关闭为止； 13.如图6-65，完成上面操作后，先将IE关闭，然后重新打开 ，输入：http://192.168.1.104/certsrv；页面出来后点击 【申请证书】。

14.如图6-66，点击【高级证书申请】。 15.如图6-67，点击【使用base64编码的CMC或PKCS#10文件提 交一个证书申请，或使用Base64编码的PKCS#7文件续订证书 申请】。

16.如图6-68，将之前保存的密钥文档文件找到并打开， 将里面的文本信息复制并粘贴到“Base-64编码的证书申请” 文本框中；确定文本内容无误后，点击【提交】。

17.如图6-69，此时可以看到提交信息，申请已经提交给 证书服务器，关闭当前IE。

18.打开证书服务器处理用户刚才提交的证书申请，回到 Windows【桌面】->点击【开始】->点击【运行】，在运 行位置输入certsrv.msc，然后回车就会打开证书服务功 能界面，打开后，如图6-70，找到【挂起的申请】位置， 可以看到之前提交的证书申请。

19.如图6-71，点击鼠标右键会出现【所有任务】，点击【 所有任务】->点击【颁发】将挂起的证书申请审批通过， 此时挂起的证书会从当前界面消失，即代表已完成操作。 20.如图6-72，点击【颁发的证书】，可以看到新老已审批 通过的证书；其它操作（吊销的证书、失败的申请）在此 略掉，大家有空可以自己试用。

21. 重新打开IE，输入之前的网址： http://192. 168. 1 22.如图6-74，进入新页面后，勾选Base 64编码，然后点击【 下载证书】,将已申请成功的证书保存到指定位置，后续待用 。

23.打开IIS服务器，点击【服务器证书】->【完成证书申 请】->选择刚保存的证书，然后在“好记名称”文本框中 输入自定义的名称，完后点击【确定】，如图6-75所示。

24.上述操作完后，可在“服务器证书”界面下看到“测试 证书”证书，如图6-76所示。

25.点击左边的【Default Web Site】菜单，然后找到【绑定】 功能，点击【绑定】功能，会弹出【网站绑定】界面，默认 会出现一个类型为http，端口为80的主机服务，然后点击【 添加】，会弹出【添加网站绑定】界面，在此界面中选择“ 类型：https”、“SSL证书：JZT_TEST1”，然后点【确定】 。点完确定后，会看到【网站绑定】子界面中有刚配的 HTTPS服务，点击【关闭】子界面消失，如图6-77所示。

26.如图6-78，点击左菜单上的【CertSrv】证书服务网站， 然后点击【SSL设置】。 27.进入SSL设置页面，勾选上“要求SSL”即启用SSL功能， 然后点击【应用】，保存设置，如图6-79所示。

28.此时一个基于SSL应用的WEB服务器站点已配置完成； 让我们用IE试下SSL的应用。 首先，将我们之前为了申请证书而开放的【可信站点】的 设置还原；在IE的【可信站点】的【自定义级别】选项中 【对未标记为可安全执行脚本的ActiveX控件初始化并执行 脚本】选项，由“启用”改为【禁用】即可。然后关闭IE ，再重新打开并输入：https://192.168.1.104，此时会出现 ：“IIS7”字样的页面，如图6-80所示。如果出现此页面， 恭喜你SSL配置已成功！反之则有问题，从上到下把操作说 明和自己的操作过程比对检查看是否正确。