域环境部署PKI与证书服务
在 Windows server 2016操作系统中,证书服务不是Windows默认服务,需要在系统安装完成后手动添加证书服务,在其具体操作步骤如下。
(1)打开“服务器管理器”窗口,单击“添加角色功能”
(2)在“开始之前”窗口中,单击“下一步”按钮
(3)在“选择安装类型”窗口中,选择“基于角色或基于功能的安装”单选按钮,单击“下一步”按钮
(4)在“选择目标服务器”窗口中,在服务器池中选择当前服务器,单击“下一步”按钮
(5)在“选择服务器角色”窗口中,选择“Active Directory证书服务”复选框,并在弹出的“添加角色和功能向导”对话框中单击“添加功能”按钮,然后单击“下一步”按钮
(6)在“选择功能”窗口中,保持默认设置,单击“下一步”按钮 
(7)在“Active Directory证书服务”窗口中,可以查看有关证书颁发机构命名的注意事项,然后单击“下一步”按钮
(8)在“选择角色服务”窗口中,选择“证书颁发机构”和“证书颁发机构Web注册”两个复选框,然后单击“下一步”按钮,“证书颁发机构web注册”复选框用于使用用户通过web浏览器连接到CA,以便申请证书或检索证书吊销列表
(9)在“确认安装所选内容”窗口中,确认安装的摘要信息,单击“安装”按钮,
(10)安装完成后,单击 关闭按钮
配置证书服务
(1)单击服务器管理器的通知按钮,在展开的菜单中选择配置目标服务器上的Active Directory证书服务
(2)在凭据窗口中可以看到,若安装证书颁发机构web注册和企业证书颁发机构,则分别需要本地administrator组和enterprise admins组的权限,默认位当前登录的域管理员,权限满足,单击下一步按钮
(3)在角色服务窗口中,选择证书颁发机构和证书颁发机构web注册,两个复选框,单击下一步按钮
(4)在设置类型窗口中,选择企业CA单选按钮,然后单击下一步
(5)在CA类型窗口中,选择根CA单选按钮,单击下一步按钮
(6)在私钥窗口中,选择创建新的私钥单选按钮,单击下一步按钮
(7)在CA加密窗口中,使用默认CSP(加密提供程序),哈希算法和密钥长度,单击下一步按钮
(8)在CA名称窗口中使用默认配置,单击下一步按钮
(9)在有效期窗口中使用默认配置,单击下一步按钮
(10)在CA数据库窗口中,可以修改数据库存放的位置和数据库日志存放的位置,使用默认配置,单击下一步按钮
(11)在确认窗口中,查看角色,角色服务器或功能的配置信息,确认无误后单击配置按钮
(12)配置完成后,在结果窗口中单击关闭按钮
(13)配置完成后可以从服务器管理器窗口的工具菜单中选择证书颁发机构,打开证书颁发机构管理器,管理证书的颁发
证书申请和颁发
申请证书
(1)在web服务器上,打开Internet information services(IIs)管理器窗口,在左侧窗口中选择服务器名称,双击中间窗格的服务器证书,
(2)单击右侧窗格的创建证书申请
(3)在可分辨名称属性窗口中输入证书的必须信息,单击下一步按钮
(4)在加密服务提供程序属性窗口中,使用默认的加密程序和密钥长度,单击下一步按钮
(5)在文件名窗口中,位该证书申请指定一个文件名和保存位置,单击完成按钮,完成证书申请的创建,
(6)打开证书申请文件C:\webcer.txt 可见证书申请文件是base64编码
提交申请证书
通过浏览器可以访问certsrv虚拟目录提交申请
(1)复制证书申请文件的全部内容
(2)使用浏览器http://ip/certsrv 连接刀证书服务器,在弹出的对话框中输入域管理员的账号和密码,打开证书服务的欢迎页面,单击申请证书
(3)在申请一个证书页面中,单击高级证书申请
(4)在高级证书申请页面中,选择第二项使用base64编码的证书申请
(5)在提交一个证书申请或续订申请页面,降第一步复制的证书申请内容粘贴到保存的申请文本框中,在证书模板下拉列表框中选择web服务器 单击提交按钮
颁发证书
域环境企业级CA申请的证书,提交申请后会自动颁发,并直接进入证书已颁发页面,在证书已颁发页面中,选择base64编码单选按钮,单击下载证书,将证书保存在本地
在web服务器上安装证书
(1)打开web服务器,打开服务器证书,单击完成证书申请链接
(2)在指定证书颁发机构响应对话框中,输入CA响应文件(已下载的数字证书文件)的路径和文件名,并给该文件起个好记的名称,单击确定按钮,完成证书的申请
配置安全通道SSL
(1)展开Internet information services(IIs)管理器,窗口左侧窗格的节点树,选择需要使用该证书的站点,单击右侧操作窗格中的绑定按钮
(2)在网站绑定对话框中,单击添加按钮
(3)在添加网站绑定对话框中选择类型类https,选择ssl证书位先前安装的证书web使用默认443端口,单击确定按钮
(4)当为站点设置https类型的绑定后,还需要修改该站点的ssl设置,展开Internet information services(IIS)管理器 窗口左侧窗格的节点树,选择需要配置SSL的站点,双击中间窗格中的ssl设置,进入ssl设置页面
使用https协议访问网站
用户可以使用https方式(https//)和站点建立连接,
单击继续浏览此网站(不推荐)后即可访问目标网站
客户端访问首先把客户端加入域,客户端DNS指向域的IP地址