任务14建立数字证书认证中心剖析.ppt

学习目标 实践操作 1.安装server 2003 证书服务 首先要安装IIS，以便客户端在线申请数字证书，除此之外，还应添加证书服务，具体操作过程如下： 1.安装server 2003 证书服务 ⑵单击【下一步】按钮，弹出Microsoft证书服务警告信息框，选择【是】按钮，将弹出选择CA类型窗口，主要包括企业根CA、企业从属CA、独立根CA和独立从属CA。由于证书颁发机构的设置是很重要的，这里需要特殊说明：企业根CA和独立根CA都是证书颁发体系中最受信任的证书颁发机构， 1.安装server 2003 证书服务 ⑶输入CA的识别信息，公用名称最好填写有代表性的名称，可以输入中文，可分辩后缀正确的填写方法是DC＝名字，有效期默认是5年，可以根据自己的需要来设定，如图所示。 1.安装server 2003 证书服务 ⑷单击【下一步】按钮，在证书数据库设置窗口中，输入证书数据库、数据库日志和配置信息的位置，保持默认即可，因为只有保证默认目录（windows\ system32\certlog）系统才会根据证书类型自动分类和调用，如图所示 1.安装server 2003 证书服务 ⑸单击【下一步】按钮,所示弹出如图8.5所示警告框，询问是否要停止IIS服务，选择【是】按钮，即可安装成功。 2.客户端数字证书的申请 证书安装完毕后，就可以在客户端申请数字证书，具体操作过程如下： ⑴在IE地址栏输入http://localhost/CertSrv/default.asp其中localhost代表本机地址，也可以使用本机固定的IP地址或。 ⑵选择“申请一个证书”任务，弹出的窗口中，这里选择提交一个“高级证书申请”，如图所示。 2.客户端数字证书的申请 ⑶选择创建并向此CA提交一个申请，如图所示。 2.客户端数字证书的申请 ⑷在高级证书申请窗口中，填入相应信息，注意国家（地区）应使用英文缩写 ，如图所示。 2.客户端数字证书的申请 ⑸单击【提交】按钮，在弹出如图8.9所示的对话框中，单击【是】按钮，通过短暂服务器响应等待，申请将提交给服务器。 2.客户端数字证书的申请 ⑹至此，客户端数字证书申请完毕，但此时证书处于挂起状态，还必须等待管理员颁发申请的证书，如图所示。 3.颁发证书 　　对于客户端申请的证书，还必须经过管理员进行颁发才能使用，具体操作过程如下： ⑴单击【开始】｜【管理工具】｜【证书颁发机构】，在左边窗格内选择“挂起的申请”，在右边窗格内可以看到刚才的证书申请，右击选择申请的证书，在弹出的快捷菜单里选择【颁发】选项，即可以颁发选中的证书，弹出如图所示的窗口。 3.颁发证书 　　 4.客户端安装证书 　　证书颁发完毕后，客户端就可以将证书安装在自已的机器中使用了，具体操作过程如下： ⑴再次运行IE浏览器，在地址栏输入http://localhost/certsrv/default.asp，在页面上单击链接：“查看挂起的证书申请的状态”，弹出如图所示窗口 4.客户端安装证书 　 5.查看数字证书 数字证书颁发并在客户端安装后，可以通过多种途径进行查看： 1.在Internet选项中查看 运行Internet Explorer，单击菜单【工具】｜【Internet选项】，选择“内容”选项卡，单击【证书】按钮，可以查看本机上的数字证书。 在“证书”对话框中，单击“个人”选项卡，即可看到你的个人数字证书列表；选定某个数字证书，单击【查看】按钮，可以看到该数字证书的详细信息。 2.用MMC来查看 单击【开始】｜【运行】，输入“MMC”命令，打开【控制台】窗口，在该窗口菜单中选择【文件】｜【添加/删除管理单元】，在弹出的对话框中单击【添加】按钮， 5.查看数字证书 选择“证书”管理单元，单击【添加】按钮，选中【我的用户账户】，再单击【完成】按钮。依上在添加“证书颁布机构”管理单元，单击【确定】按钮回到“控制台根节点” 在窗口中依次单击节点即可显示是当前用户的所有证书及证书颁发机构，如图所示。 5.查看数字证书 3.用certmgr.msc查看 单击【开始】｜【运行】，输入“certmgr.msc”命令，在打开的窗口中，单击【个人】｜【证书】，双击即可打开所选中的证书，证书信息包括证书的目的、有效日期、使用者、路径等信息，如图所示。 6.数字证书的管理 1.删除误安装的数字证书 如果你不小心将数字证书添加到了不信任区域了，可以这样删除：单击【开始】｜【运行】，输入“certmgr.msc”命令，打开如图8.16所示的窗口，在左边窗格中选择【不信任的证书】｜【证书】，右击该证书，选择【删除】选项即可。 6.数字证书的管理 2.备份数字证书 按照以上查看或管理证书的方法，打开证书窗口，选中要进行备份的数字证书，点击【导出】按钮，按照向