概要
更多信息
您可以使用 Windows NT Option Pack 的組件 Certificate Server 1.0 頒發供客戶端使用的證書。
在 SSL 可以使用前,必須在服務器上執行以下任務:
1. | 在服務器上創建一個根 CA 證書。 |
2. | 在服務器上安裝此根 CA 證書。 |
3. | 爲服務器創建一個密鑰證書申請。 |
4. | 爲服務器處理密鑰證書申請。 |
5. | 在服務器上安裝密鑰證書。 |
6. | 保證服務器上目錄的安全。 |
1. | 在客戶端上安裝此根 CA 證書。 |
2. | 在客戶端上安裝一個證書。 |
3. | 從客戶端連接到安全 SSL 目錄。 |
在服務器上創建一個根 CA 證書
若要在服務器上創建根 CA 證書,只須執行 Windows NT Option Pack 的證書服務器組件的默認安裝。默認安裝會自動創建一個根 CA 證書。注意:如果選擇使用高級配置,請不要選擇“非根 CA”選項。
在服務器上安裝根 CA 證書
1. | 請瀏覽到 http://localhost/certsrv/ (http://localhost/certsrv/),單擊“證書註冊工具”鏈接,然後單擊“安裝證書頒發機構證書”鏈接。 | ||||||||||||||||||||||||||||||
2. | 單擊“刷新”按鈕驗證顯示的信息爲當前信息,然後單擊“ComputerName/CA-Name 的證書”鏈接。 | ||||||||||||||||||||||||||||||
3. | 在“文件下載”對話框中,選擇“從當前位置打開文件”單選按鈕,然後單擊“確定”。
如果安裝的是 Windows NT 4.0 SP4 或 SP5,請執行下列步驟
194788 (http://support.microsoft.com/kb/194788/) Windows NT Service Pack 4 和客戶端證書
如果安裝的是 Windows NT 4.0 SP3,請執行下列步驟
|
爲服務器創建密鑰證書申請
1. | 啓動 Internet Service Manager (ISM),它將加載 Microsoft 管理控制檯 (MMC) 的 Internet Information Server 管理單元。 |
2. | 右鍵單擊要保護的網站、目錄或文件,然後單擊“屬性”。單擊“目錄安全性”(或“文件安全性”)選項卡。 |
3. | 在“安全通信”下,單擊“密鑰管理器”按鈕。 注意:如果已安裝了一個證書,則該按鈕的標籤是“編輯”而不是“密鑰管理器”。 |
4. | 在“密鑰管理器”中,右鍵單擊“WWW”,然後單擊“創建新密鑰”。 |
5. | 單擊“將申請放入將要發送到文件頒發機構的文件中”單選按鈕,然後將文件保存到硬盤上。請確保記住該文件的名稱和位置。 注意:C:/NewKeyRq.txt 是該文件的默認路徑和名稱。 |
6. | 按步驟執行完“創建新密鑰”對話框的其餘部分。 注意:當提示您輸入狀態時,請確保完全將其拼寫出來(不要使用縮寫)並使用正確的大小寫,這樣才能使證書申請與 PKCS #10 兼容。 |
7. | 關閉“密鑰管理器”,當系統提示“現在提交所有更改?”時,請確保單擊“是”。 |
8. | 在 MMC 中,單擊“確定”。 |
爲服務器處理密鑰證書申請
1. | 打開爲服務器請求創建的文本文件(默認情況下爲 C:/NewKeyRq.txt)。 |
2. | 選擇並複製密鑰的文本,從此行開始:
-----BEGIN NEW CERTIFICATE REQUEST-----
並以此行結束:
-----END NEW CERTIFICATE REQUEST-----
(換句話說,包括這兩行)。 |
3. | 請瀏覽到 http://localhost/certsrv/ (http://localhost/certsrv/),單擊“證書註冊工具”鏈接,然後單擊“處理證書申請”鏈接。 |
4. | 在“Web 服務器註冊”頁上,將密鑰文本粘貼到文本框中,然後單擊“提交申請”。 如果出現以下錯誤消息: Error!!!Certificate Server is unable to process your request.Last status error code = 57.
有關其他信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
255981 (http://support.microsoft.com/kb/255981/) 爲服務器處理密鑰證書申請失敗
|
5. | 成功處理證書後,單擊“下載”按鈕。 |
6. | 單擊“將文件存入磁盤”單選按鈕,然後保存該文件。請確保記住該文件的名稱和位置。 注意:Newcert.cer 是該文件的默認名稱。 |
在服務器上安裝密鑰證書
1. | 在 MMC 中,右鍵單擊要保護的網站、目錄或文件,然後單擊“屬性”。單擊“目錄安全性”(或“文件安全性”)選項卡。 |
2. | 在“安全通信”下,單擊“編輯”按鈕(請注意,此按鈕就是前面的“密鑰管理器”更改來的)。現在,單擊“密鑰管理器”按鈕。 |
3. | 在“密鑰管理器”中,右鍵單擊新密鑰申請(帶有紅色斜槓的圖標),然後單擊“安裝密鑰證書”。 |
4. | 選擇證書文件,然後在系統提示時,提供密碼。單擊“確定”。 |
5. | 在“服務器綁定”對話框中,“任何未分配”應顯示在“IP 地址”和“端口號”列下。單擊“確定”(除非您希望將密鑰分配給特定的 IP 地址和端口號)。 |
6. | 關閉“密鑰管理器”並確保在系統提示“現在提交所有更改?”時單擊“是” |
7. | 單擊“確定”兩次,以返回到 MMC 中。 |
保證服務器上目錄的安全。
1. | 在 MMC 中,右鍵單擊要保護的網站、目錄或文件,然後單擊“屬性”。 |
2. | 單擊“目錄安全性”(或“文件安全性”)選項卡。在“安全通信”下,單擊“編輯”按鈕。 |
3. | 選中“訪問該資源時要求安全通道”複選框。 |
4. | 選中“要求客戶端證書”單選按鈕。 |
5. | 單擊“確定”兩次,以返回到 MMC 中。 |
在客戶端上安裝根 CA 證書
1. | 瀏覽至 http://ServerDomainName/certsrv/,單擊“證書註冊工具”鏈接,然後單擊“安裝證書頒發機構證書”鏈接。 |
2. | 單擊“刷新”按鈕驗證顯示信息是當前信息,然後單擊“ServerDomainName/CA-Name 的證書”鏈接。 |
3. | 在“文件下載”對話框中,選擇“從當前位置打開文件”單選按鈕,然後單擊“確定”。 |
4. | 下一個要顯示的對話框將取決於應用到 Windows NT 4.0 的是哪一個 Service Pack。 |
如果安裝的是 SP4 或 SP5
1. | 在“證書”對話框中,單擊“安裝證書”按鈕。 |
2. | 在“證書管理器導入嚮導”啓動時,單擊“下一步”。 |
3. | 當系統提示選擇證書存儲區時,請選擇“將所有的證書放入下列存儲”單選按鈕,然後單擊“瀏覽”。 |
4. | 選中“選擇物理存儲區”複選框,打開“受信任根證書頒發機構”,然後選擇“本地計算機”。單擊“確定”。 |
5. | 單擊“下一步”,然後單擊“完成”。單擊“確定”關閉該對話框。 |
6. | 重新啓動計算機。 |
如果安裝的是 SP3
1. | 在“新站點證書”對話框中,單擊“確定”(通常需要所有複選框都處於選中狀態)。 |
2. | 當系統提示“是否將下列證書添加到根存儲區中?”時,單擊“是”。 |
3. | 重新啓動客戶端計算機,以使新的根 CA 證書生效。 |
在客戶端上安裝證書
1. | 瀏覽至 http://ServerDomainName/certsrv/,單擊“證書註冊工具”鏈接,然後單擊“申請客戶端身份驗證證書”鏈接。 注意:在 Internet Explorer 中,爲了在該網頁上下載此 ActiveX 控件,您必須將安全設置爲“中”。(Netscape 不使用 ActiveX 控件,所以安全設置對 Netscape 來說不是問題)。 |
2. | 填寫“證書註冊表”頁要求的信息,然後單擊“提交申請”按鈕。 |
3. | 成功處理證書後,單擊“下載”按鈕。 |
4. | 如果看到以下消息,請單擊“確定”: |
從客戶端連接到安全 SSL 目錄
1. | 瀏覽至 https://ServerDomainName/SecuredResource 注意:請確保使用 httpS 協議,而不是 http,以便服務器創建安全連接。 |
2. | 如果出現“客戶端身份驗證”對話框,請選擇您剛剛安裝的證書(在上面一節中),然後單擊“確定”。 |
參考
這篇文章中的信息適用於:
• | Microsoft Internet Information Server 4.0 |
• | Microsoft Windows NT 4.0 |
• | Microsoft Windows NT version 4.0 Option Pack |