Windows Server 2003拥有你建立认证授权所需要的一切功能。你可以利用这个功能完成签名、加密电子邮件信息、识别IPSec进程或者为网站提供SSL加密等许多工作。
很多人都没有意识到,但是,Windows Server 2003拥有你建立认证授权(certificate authority)所需要的一切功能。你可以利用这个功能完成签名、加密电子邮件信息、识别IPSec进程或者为网站提供SSL加密等许多工作。在本讲座中,我将向你们演示如何在你的机构中应用认证授权。
安装互联网信息服务(IIS)
在你开始安装认证授权之前,你必须安装IIS。认证授权依赖于IIS及其处理ASP代码的能力。Windows将允许你在没有首先安装IIS的情况下安装认证授权。但是,如果你这样做的话,认证授权将不能使用。
要安装IIS,在控制面板中选择添加/删除程序选项。当添加/删除程序的程序启动的时候,用鼠标点击添加/删除Windows组件按钮。你将看到一个Windows组件列表。从列表中选择应用服务器选项,然后用鼠标点击“细节”按钮。你将看到一个IIS对话框,然后点击“细节”。你将看到所有缺省的IIS组件都被选择进行安装。然而,认证授权需要IIS处理ASP代码而ASP不是缺省安装的。
要支持ASP,从列表中选择万维网(World Wide Web)服务,点击“细节”按钮。选择主动服务页对话框,然后点击“确认”。点击“确认”两次以关闭剩余的对话框,然后点击“下一步”。Windows现在开始安装IIS。你也可以插入安装CD盘;如果这样的话,你的CD盘要放在旁边,因为你可能再次需要这个光盘。点击“完成”结束安装过程。
安装证书服务
在我向你们演示安装程序之前,我要指出,安装证书服务是一种半永久的操作。一旦证书服务安装结束,你将不允许重新命名这台服务器或者从当前的域名删除这项服务,除非你首先卸载证书服务。
要开始安装,选择在控制面板中选择添加/删除程序选项。当添加/删除程序的程序启动的时候,用鼠标点击添加/删除Windows组件按钮。你将看到一个 Windows组件列表。从列表中选择证书服务选项,然后用鼠标点击“细节”按钮。你将看到证书服务有两个组件:认证授权和网络注册支持。选择这两个对话框。你将看到一个警告信息,警告你在安装之后将不能重新命名服务器或者改变域名。点击“是”确认这个信息。然后点击“确认”和“下一步”。
这时候,屏幕上会显示信息,询问你要安装哪一类认证授权。本文中,选择单机“Root CA”,然后选择“下一步”。
你现在必须为你正在创建的认证授权输入一个普通的名字。你可以叫任何你喜欢的名字,但是,由于你选择的名字将用来在活动目录中查找这台服务器,这个名字要容易识别。确认这个证书的有效期符合企业的安全策略,然后点击“下一步”。
屏幕上会显示信息,让你确定用来存储证书的数据库和数据库日志的位置。最好使用缺省的设置。无论选择什么路径,都要确保证书数据库和数据库日志存储在安全的位置,并且要定期进行备份。
点击“下一步”,你将看到一个信息,指出IIS服务必须立即停止。点击“确认”。这个安装程序现在就从你的Windows安装CD盘中复制必要的文件。在复制过程完成之后,点击“结束”。
申请一个证书
现在,认证授权安装完毕并且开始运行了。让我们看一下如何申请一个证书。正如你可能想到的那样,认证授权的界面是基于网络的界面。要访问这个界面,登录一个工作站,然后打开浏览器。输入HTTP://,然后是服务器的IP地址和名称(certserv)。这个URL看起来像是这样的:http://192.168.0.1/certserv。
假设你一切都正确执行了,这个证书服务网页就会出现。如果不正确,可能就是IIS没有在安装证书服务之前安装。如果IIS安装了,可能是因为它没有正确的虚拟文件夹。要强制IIS指定一个必要的虚拟文件夹,打开服务器上的“Command Prompt”窗口,输入下面的指令“CERTUTIL-VROOT”。
我推测,这个网页已经正常显示了。点击“申请一个证书”的链接。这个网页向你提示几个不同的选项。你可以申请一个网页浏览器证书或者一个电子邮件保护证书。还有一个高级证书申请链接。你可以使用这个链接申请其它类型的证书,如服务器证书。
为了演示一下这个过程,点击网络浏览器证书链接。你将看到一个提示,这个提示要求你提供姓名、电子邮件地址、公司名称、部门和地理位置等基本信息。填写这些信息,然后点击“申请”按钮。
假设你的互联网浏览器安装了最新的安全补丁,你将看到一个信息提示称这个网站在代表你申请一个证书。点击“是”,你将看到一个信息提示说这个申请已经在处理之中,你可以在第二天取回你的证书。还有一个信息提示你必须在10天之内取回证书。
批准一个证书
显示这个信息的原因是因为你的认证授权没有自动颁发证书。你可以自动颁发证书,但是,那并不能确保良好的安全。你可以随机向任何知道你的认证授权URL地址的人发放证书。
要手工批准证书的请求,回到证书服务器并且从管理工具菜单中选择认证授权指令。当认证授权操作台打开时,通过这个操作台的目录树查找认证授权(本地)|你的服务器|待批准的申请。你现在应该看到证书申请。用鼠标右键点击这个申请,选择全部任务|从快捷菜单发布指令(你也可以使用全部任务|拒绝选项)。这个证书申请现在转移到这个工作台的“已发放证书”容器。
取回证书
现在,证书已经发放了,送到你的工作站,并且返回到认证授权网页。这时候,点击查看待批准证书申请状态的链接。你将看到你早些时候提出的申请。点击这个申请,你将看到你用来安装这个证书的一个链接。