1.創建一個域根證書發佈機構(CA ),一般是在AD上(域控)
添加Role
別忘記選擇Web 配置
Next > Next, 然後這邊選擇root CA, 如果選擇Sub... 就是子證書發佈機構,它需要你先有一個根證書的CA, 很好理解
其它默認Next下去即可,安裝完成
2.簡單的爲自己的web site站點申請證書
在Web server 上,打開IIS Manager, 在對應的Server那裏,選擇Server Certificates (服務器證書)
然後創建一個域證書
!!!注意 在創建輸入的時候 Common name,必須是你準備issued to的Web address, 就是你想使用證書綁定的網站的網址,不是IP
Next, 選擇一個CA,我們上面創建的那個
Friendly name反而不是那麼重要,隨便輸一個,我這裏輸入的是"DS1"
打開Web Site, 就是你要綁定證書的那個站點,我這邊使用默認的,然後Bind上你上面創建的證書
3.證書
a) 對於不在這個域裏的機器,配置你的DNS,修改Host文件,使能夠解析到你上述網站, 輸入它的網址,記得輸入完整的網址,不是IP !!!
很漂亮的紅叉叉= =~(這是沒有配置證書的情況), 直接輸入IP也會這樣
下載root的證書,因爲我們的證書是從上述root CA上申請,所以輸入http://RootCA's servername/certsrv 去下載證書
然後安裝
再次登陸, 就沒有那個紅叉叉了.
b)對於在這個域的機器,會默認安裝域中的CA的Root 證書的,所以直接連,就可以了
4.證書與CA之間的溝通
下載了證書,在你登錄https,或者做出需要證書驗證的動作的時候, 這時候會有個和CA的CRL通信:
a)如果你的CA 服務器關閉了或者無法連接了,證書就有可能失效了
b)如果是正常連接,但是你的CA服務器被Revoke,那麼證書也會失效
c)如果上述都正常使用的話,Client就會有個CRL類似緩存文件一樣,記錄在你的機器上
清除命令是 certutil -urlcache crl delete
d)如何取消上述Client和CA的確認通信呢:
方法1:改註冊表值,HKLM或者HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\,然後新建 DWORD "CertificateRevocation" = 0
以下其它位置亦可:
HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\InternetSettings\CertificateRevocation
HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\InternetSettings\CertificateRevocation
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\CertificateRevocation
方法2:打開IE,選擇Internet Options --> Advanced Tab --> server certificate revocation 不要勾選上
e)最後如果你的Client的日期時間超過了期限,那麼證書還是失效了.
