CA服务器的搭建及web证书申请

一、相关知识

CA : 证书颁发机构 RA ：配合 CA 来接受申请证书与发放证书 CRL：证书吊销列表 LDAP ：存储证书的数据库 作用： 接收证书申请 RA 证书颁发审批 CA 证书颁发 CA/RA 证书吊销 CRL 证书存储 LDAP

二、数字证书

在网上传播公钥如果被黑客截获，那么如果黑客篡改文件后再重新加密后并将加密后的秘钥传给用户，而后每次信息传递黑客都是充当一个中转站，将信息解密，篡改后再进行发送给用户。此时信息被篡改，且无法被察觉。就会产生信任危机，毕竟用户无法确保自己得到的秘钥是否正确的秘钥。这时CA应用而生，它颁发数字证书，用来确保得到的秘钥没有问题

证书格式标准： X.509 证书的内容： 持有者的信息（域名地址，电话，联系⼈等等） 持有者的公钥                                                //重点：证书存在的根本意义！ CA 的数字签名 颁发者的名称与信息 颁发⽇期 证书有效期

三、开始搭建

服务器：win2019

客户机：win7

1.准备工作

服务器固定IP

将服务器与客户机桥接到同一网段

2.搭建服务器

选择AD证书服务（此实验验证用IIS服务器）

web服务选择ASP

AD证书角色服务选择以下下两项

3.配置AD证书服务

这里选择刚才选择的两项

这里填写机构名称：

其余步骤这里不做设置，选择默认，如有需要自行选择修改

四、证书颁发

1.搭建web网站并将网站发布域名，改为www.xx.com（具体操作 注：最下面）

注：不要修改/删除默认页

修改客户机hosts文件（搭建DNS也可）

2.web服务器申请证书：

选择服务器证书

创建证书申请

填写

默认下一步——>填写证书名称//建议在桌面建立一个文本文件后选择这个文件——>完成

3.提交申请

http://10.1.1.129（CA服务器IP）/certsrv 选择证书申请——> 高级证书申请——> 使用Base编码 输入之前申请证书文件的内容——>提交 4.证书颁发 打开证书颁发机构 查看申请 右键选择颁发 这时可以看到颁发的证书有刚刚颁发的证书 5.证书下载 打开 http://10.1.1.129（CA服务器IP）/certsrv选择查看挂起的证书 下载CA证书 下载的证书（改了名字） 6.web服务器导入证书 选择完成证书申请

7.设置测试网站ssl注：选择禁用http，这里没有标

删除之前的绑定

ssl设置

设置

五、客​​​​​​户信任

此时客户机访问网站http://www.xx.com，会跳到默认页面，而访问https://www.xx.com提出证书有问题

客户机访问

http://10.1.1.129（CA服务器IP）/certsrv

下载CA证书

2.下载的证书

win+R输入mmc

选择文件——>选择添加/删除管理单元——>

找到证书添加

选择导入证书——>选择下载的文件

访问正常（注：因为这里添加了证书要重启浏览器才可以通过）