close
Windows 2003 的CA Server 建置
一.Win 2003 CA Server:名稱為DC22
先裝IIS Web service(全球資訊網服務)
裝好再安裝Certificate Services,此後不能更改CA Server 的電腦名稱
--> 選獨立根CA --> 設定CA的名稱--> 設定憑證資料庫(下一步) -->啟動ASP -->完成
二.Win 2003 Web Server (svr222)申請憑證
網站名稱:www.example.corp
在 IIS選擇要做ssl加密的網站 --> 分頁"目錄安全設定"
點選"伺服器憑證(S)" --> 下一步 --> 選"建立新憑證(C)"
--> 準備要求,但於稍後傳送(P) --> 名稱自定、加密金鑰位元長度選 2048
--> 鍵入公司名稱、單位 --> 網站名稱:一定要是該站FQDN:www.example.corp
--> 地區 --> 存檔 c:\certreq.txt
--> 完成
三.在SVR222上用IE開啟http://dc22/certsvr/ --> 選擇 "要求憑證" --> 進階憑證要求
--> 選"用Base-64 編碼的CMC或PKCS #10檔案來提交憑證要求,或用Base-64 編碼的PKCS#7檔案提交更新要求"
--> 把步聚二的certreq.txt內容貼入"已儲存的要求下欄位"
--> 按提交
四.在CA Server上,執行系統管理工具 --> 憑證授權單位 --> 在擱置要求中 --> 選擇對應的文件
-->右鍵 --> 所有工做 --> 發行
五.回到SVR222 上,執行http://dc22/certsrv/ 選檢視擱置中的憑證要求狀態
--> 點選"已儲存要求的憑證 --> 下載憑證 --> 存檔於:c:\certnew.cer
六.在 IIS選擇要做ssl加密的網站 --> 分頁"目錄安全設定"
--> 點選"伺服器憑證(S)" --> 下一步 --> 處理擱置要求及安裝憑證
--> 鍵入c:\certnew.cer --> 選擇 443 port --> 完成
七.在 IIS選擇要做ssl加密的網站 --> 分頁"目錄安全設定"
--> 編輯 --> 將"必須使用安全通道"打勾 --> 完成
八.測試
找一台XP(client) -->IE -->打http://www.example.corp 會出現必須使用安全通道的訊息
打入https://www.example.corp會出現安全性警訊:這個安全性憑是由您尚未信任的公司所發出。
請查閱憑證來決定您是否信憑證授權單位。
原因是CA Server是自己建立的,此XP不認識
解決:在XP上打http://dc22/certsrv/ ,選"下載CA 憑證、憑證鏈結或CRL" --> 點選"下載CA憑證"
安裝後即正常
全站熱搜
留言列表
