ADCS证书服务

    证书服务器是Windows网络基础架构中重要组成部分，因为证书服务特性（不能更改计算机名称、网络参数），因此在部署证书服务器时建议独立部署，不要和域控制器部署在同一台服务器中。否则在迁移或者升级证书服务时，首先要迁移域控制器以及相关的服务（Acitve Directory集成区域DNS服务、DHCP服务、WINS服务等），还要通过策略更改已经部署的系列服务，然后迁移或者升级证书服务，迁移周期将延长甚至影响网络的正常运行。所以好的网络基础架构对证书服务器迁移与升级尤其重要。本章将在域中部署Windows Server 2012企业根，以及最常见的IIS站点应用。

部署ADCS服务

    网络中部署AD DS域服务，域控制器中部署ADCS证书服务。在实际应用环境中，建议将证书服务器独立部署，不建议和域控制器部署在同一台服务器中。部署ADCS服务，需要域管理员权限。

根类型

    Windows Server 2012中提供两种根：企业根和独立根

    ·企业根：安装在AD DS域服务环境中的根，与Acitve Directory集成。部署企业根后，不需要单独配置策略发布企业根证书，AD DS域服务会自动通过组策略将企业根证书发送到域内所有计算机中，也就是说域内所有计算机自动信任企业根。

    ·独立根：安装在独立服务器中，或者安装在成员服务器中的独立根，执行安装ADCS服务的用户不具备访问AD CS域服务的权限，需要通过“受信任的根证书颁发机构”策略，将独立根的证书通过策略发送到域内所有计算机中。

    在部署AD DS域服务环境中，建议部署企业根。本书中部署的根模式为企业根。

安装ADCS服务

    第1步，以域管理员身份登录域控制器。启动“添加角色和功能向导”，根据向导提示打开“选择服务器角色”对话框，“角色”列表中选择“Active Directory证书服务”选项。

    第2步，单击“下一步”。提醒管理员安装ADCS服务同时需要安装的管理组件。单击“添加功能”按钮，返回到“选择服务器角色”对话框

    第3步，单击“下一步”按钮。“功能”列表中根据需要选择需要安装的功能。

    第4步，单击“下一步”按钮，显示部署ADCS服务的注意事项。

    第5步，单击“下一步”按钮。“角色服务”列表中选择需要部署的功能，本例中选择“证书办法机构”和“证书办法机构Web注册”选项。

    第6步，单击“下一步”按钮，显示“Web服务器角色（IIS）”对话框。显示部署ADCS服务同时需要安装IIS Web服务角色，并启用相应的功能。

    第7步，单击“下一步”按钮，显示“选择角色服务”对话框。设置Web服务器需要的功能列表，建议使用默认值即可。

    第8步，单击“下一步”按钮，显示“确认安装所选内容”对话框。显示安装ADCS服务组件列表。选择“如果需要，自动重新启动目标服务器”选项。

    第9步，单击“安装”按钮，开始安装Acitve Directory证书服务。

配置ADCS服务

    第1步，单击“配置目标服务器上的Acitve Directory证书服务”超链接，启动“AD CS配置”向导，显示“凭据”对话框。默认使用当前登录用户作为管理员。

    第2步，单击“下一步”按钮，显示“角色服务”对话框。“选择要配置的角色服务”列表中，选择需要配置的证书功能，本例中“证书颁发机构”和“证书颁发机构Web注册”功能选项。

    第3步，单击“下一步”按钮，显示“设置类型”对话框。设置部署CA类型。本例中选择“企业CA”选项，部署为企业根模式必须和Acitve Directory绑定。证书服务器至少是域成员服务器。

    第4步，单击“下一步”按钮。设置企业根类型，本例中部署为“根”，不是从属CA。

    第5步，单击“下一步”按钮，显示“私钥”对话框。如果没有私钥，选择“创建新的私钥”选项；如果已有私钥，可以选择“使用现有私钥”选项。本例中选择前者。

    第6步，单击“下一步”按钮，显示“CA的加密”对话框。设置证书加密使用的程序、密钥长度以及使用的算法。建议使用默认值即可。

    第7步，单击“下一步”按钮，显示“CA名称”对话框。设置CA服务器的公用名称，注意该名称必须是唯一的。“可分辨名称后缀”文本框中，默认使用当前域的DN名称，“此CA的公用名称”和“可分辨名称后缀”组成证书服务器的完整可分辨名称。

    第8步，单击“下一步”，显示“有效期”对话框。默认设置为5年，根据需要调整发布证书的有效期。

    第9步，单击“下一步”，显示“CA数据库”对话框。设置证书数据库以及日志文件的存储位置。

    第10步，单击“下一步”按钮，显示“确认”对话框。显示设置的证书服务器信息。

    第11步，单击“配置”按钮，开始配置证书服务，配置成功后显示“结果”对话框。单击“关闭”按钮，完成证书服务设置。

证书日常管理

    ADCS服务企业根部署成功，以域用户身份登录计算机后，将企业根自动添加到“受信任的证书颁发机构”中，不需要通过策略将企业根证书发布到网络中的所有计算机中。当网络中的客户端计算机数量比较多时，由于使用者计算机水平参差不齐，让每个用户通过手动方式通过IE浏览器申请证书，会遇到问题。为了解决该问题，域管理员可以通过组策略自动完成证书申请操作，让用户从申请证书工作中解脱出来。

“证书颁发机构”管理工具

    Windows Server 2012 ADCS服务部署成功后，域管理员可以通过“证书颁发机构”管理域用户申请的证书。管理员可以通过“开始”屏幕的“证书颁发机构”此贴或者“服务器管理器”中的“工具”菜单启动“证书颁发机构”管理窗口。

    1.吊销的证书

    选择“吊销的证书”选项后，右侧列表中显示CA服务器已经吊销的证书。“吊销原因”列表中显示证书被吊销的原因。

    如果确认证书吊销错误，右击处于“证书待定”状态的证书，在弹出的快捷菜单中选择“所有任务”选项，在弹出的级联菜单中选择“解除吊销证书”命令，命令执行后，重新发布证书，证书被转移到“颁发的证书”列表中。

    2.颁发的证书

    选择“颁发的证书”选项后，右侧列表中显示CA服务器已经颁发的证书。已经颁发的证书包括用户证书、服务器证书以及客户端计算机证书，用户可以通过Web方式申请证书，也可以通过组策略自动发布证书，对于特殊应用的服务器（IIS服务器），可以通过“Intenet信息服务（IIS）管理器”内置的证书申请、续订功能完成证书申请。

    如果已经颁发的证书过期或者其他原因申请新的证书，CA管理员需要吊销已经发布的证书，使证书无效。例如用户“demo”证书由于申请新证书，需要禁用已有的证书。右击目标证书，在弹出的快捷菜单中选择“所有任务”选项，在弹出的级联菜单中选择“吊销证书”命令。

    命令执行后，显示所示的“证书吊销”对话框。在“理由码”列表中选择证书被吊销的原因，“日期和时间”列表中设置吊销证书生效时间。

    参数设置完成后，单击“是”按钮，禁用选择的证书，证书转移到“吊销的证书”列表中。

    3.挂起的证书

    选择“挂起的申请”选项后，右侧列表中显示用户正在申请的证书。该页面CA管理员可以对申请的证书进行批复：拒绝或者同意。

    本例中有2个正在申请的证书，右击任何一个正在申请的证书，在弹出的快捷菜单中选择“所有任务”选项，在弹出的级联菜单中选择“颁发”或者“拒绝”命令。命令执行后，成功颁发的证书转移到“颁发的证书”列表中，拒绝的证书转移到“吊销的证书”列表中。

    4.失败的申请

    选择“失败的申请”选项后，右侧列表中显示用户申请失败的证书，该页面中CA管理员可以对失败的证书进行手动批复。

    右击任何一个申请失败的证书，在弹出的快捷菜单中选择“所有任务”选项，在弹出的级联菜单中选择“颁发”命令。命令执行后，成功颁发的证书转移到“颁发的证书”列表中。

    5.证书模板

    “证书模板”选项中，显示当前CA服务器加载的证书模板。用户在申请证书时，只有该列表中的模板可用。

“证书模板”管理工具

    CA管理员只能通过“MMC”加载“证书模板”管理单元的方式管理，Windows Server 2012没有提供独立的管理工具。

    加载成功后，显示CA服务器中所有可用的证书模板。

    本例中发布一个全新的用户模板，由于证书颁发机构中已经存在一个名称为“用户”的证书模板，在该基础上复制生产新模板属性后发布到组策略环境中，使用户能够自动注册用户证书。

    1.制作证书模板

    第1步，通过“MMC”加载“证书模板”管理单元，加载成功后。本例中已有的模板“用户”为基础创建一个新的模板。

    第2步，右击“用户”模板，在弹出的快捷菜单中选择“复制模板”命令，命令执行后，打开“新模板的属性”对话框。切换到“常规”选项卡，设置模板显示名称、有效期、续订期以及选择“Acitve Directory中发布证书”选项。

    第3步，切换到“请求处理”选项卡，选择“允许导出私钥”以及“注册证书使用者时无须用户输入”选项。

    第4步，切换到“使用者名称”选项卡，选择“用户Acitve Directory中的信息生成”选项，根据需要设置电子邮件名、DNS名、用户主体名称以及服务的主体名称选项

    第5步，切换到“安全”选项卡，“组或者用户名”列表中选择“Authenticated Users”组，“Authenticated Users的权限”列表中选择“读取”、“写入”、“注册”、“自动注册”选项。单击“确定”按钮，完成新用户模板设置。

    2.启用新证书模板

    打开“证书颁发机构”控制台，左侧导航窗格中选择“证书模板”选项，右侧窗格中显示当前已经启用的所有证书模板。本例中使用新建的模板为用户分配证书，因此需要删除正常使用的证书模板“用户”。

    右击名称为“用户”的模板，在弹出的快捷菜单中选择“删除”命令，命令执行后，根据提示删除已有的“用户模板”。

    右击“证书模板”，在弹出的快捷菜单中选择“新建”选项，在弹出的级联菜单中选择“要颁发的证书模板”命令。

    命令执行后，打开“启用证书模板”对话框，模板列表中选择需要启用的模板。

    单击“确定”按钮，新模板添加到控制台中。

用户手动申请证书

    申请前，将证书服务器的IP地址添加到“受信任的站点”中，并启用所有的“AcitveX”控件功能。

    第1步，以域用户身份登录客户端计算机。打开IE浏览器，键入证书服务器地址，显示“Windows安全”对话框，输入用户名和密码

    第2步，单击“确定”按钮，访问成功后打开“欢迎使用”网页

    第3步，单击“申请证书”超链接，打开“申请一个证书”网页

    第4步，单击“用户证书”超链接，显示“Web访问确认”对话框

    第5步，单击“是”按钮，打开“用户证书-识别信息”网页

    第6步，单击“提交”按钮，开始申请证书，申请相应通过后，证书颁发机构一张证书给当前客户端计算机。

    第7步，单击“安装此证书”超链接，在当前计算机中安装证书。

查看已经颁发的证书

    管理员或者用户可以通过MMC或者浏览器查看当前计算机中安装的证书。注意，如果当前登录用户是非管理员用户，只能查看用户证书，不能查看计算机证书。

    1.查看证书之一：浏览器查看

    IE—工具—Internet选项—打开“Internet选项”—切换到“内容”选项卡

    单击“证书”按钮，显示所示的“证书”对话框。“个人”选项卡中，显示当前计算机中登录用户申请的用户证书。

    2.查看证书之二：MMC查看

    

续订根证书

    企业管理中，管理员可能会遇到根证书即将过期的状况。企业根证书服务器中，以域管理员身份打开“证书颁发机构”，通过续订证书的方法完成根证书延期。

    1.查看根证书

    以域管理员身份打开证书颁发机构，右击证书服务器名称，在弹出的快捷菜单中选择“属性”命令，命令执行后，打开证书服务器属性对话框，切换到“常规”选项卡，“CA证书”列表中显示所有可用的证书

    选择名称为“证书#3”的证书，单击“查看证书”按钮，打开“证书”对话框，切换到“详细信息”选项卡，查看证书有效期。该证书到“2013/7/23 14:15:43”这个时间后过期

    2.续订根证书

    第1步，以域管理员身份打开证书颁发机构，右击证书服务器名称，在弹出的快捷菜单中选择“所有任务”选项，在弹出额级联菜单中选择“续订CA证书”命令。

    第2步，命令执行后，显示“安装CA证书”对话框。

    第3步，单击“是”按钮，打开“续订CA证书”对话框，选择“是”

    第4步，单击“确定”按钮，关闭“续订CA证书”对话框，启动“ADCS服务，重新加载证书颁发机构，打开证书服务器属性对话框后，切换到“常规”选项卡，“CA证书”列表中显示已经续订成功的证书，新证书名称为“证书#4”

发布计算机证书自动申请策略

    以域管理员身份登录域控制器，打开“组策略管理”控制台，选择默认的“Default Domain Policy”策略，注意在实际应用环境中，不建议在该策略中部署策略，应该创建新的域对象后发布策略。

    1.部署计算机证书自动申请策略

    第1步，编辑“Default Domain Policy”策略，打开“组策略管理编辑器”，选择“计算机配置”-“策略”-“Windows设置”-“安全设置”-“公钥策略”-“自动证书申请设置”选项，右击右侧空白窗口，在弹出的快捷菜单中选择“新建”选项，在弹出的级联菜单中选择“自动证书申请”选项。

    第2步，命令执行后，启动“自动证书申请设置向导”，显示“欢迎使用自动证书申请设置向导”对话框

    第3步，单击“下一步”按钮，显示“证书模板”对话框。“证书模板”列表中，选择名称为“计算机”的证书模板。

    第4步，单击“下一步”按钮，显示“正在完成自动证书申请设置向导”对话框，显示设置的自动申请信息。单击“完成”按钮，完成策略设置

    2.部署注册相关组策略

    第1步，编辑“Default Domain Policy”策略，打开“组策略管理编辑器”，选择“计算机配置”-“策略”-“Windows设置”-“安全设置”-“公钥恶略”选项，右侧列表显示预置的策略。

    第2步，打开“证书服务客户端-证书注册策略属性”对话框，“配置模式”设置为“启用”，“证书注册策略列表”中选择内置的“Acitve Directory注册策略”。单击“确定”按钮，完成策略设置。

    第3步，打开“证书服务客户端-证书注册策略属性”对话框，“配置模式”设置为“启用”，选择“续订过期证书、更新未决证书并删除吊销的证书”以及“更新使用证书模板的证书”选项，设置证书预定以及过期的处理方式。

    策略生效后，客户端计算机重新启动，登录成功后即可自动注册证书。

发布用户证书自动申请策略

    通过组策略部署用户策略，用户登录后自动从CA证书服务器申请证书，注意证书的颁发设置。

    第1步，编辑“Default Domian Policy”策略，打开“组策略管理编辑器”，选择“用户配置”-“策略”-“Windows 设置”-“安全设置”-“公钥策略”选项，右侧列表显示预置的策略。

    第2步，打开“证书服务客户端-证书注册策略属性”对话框，“配置模式”设置为“启用”，“证书注册策略列表”中选择内置的“Acitve Directory注册策略”。单击“确定”按钮，完成策略设置。

    第3步，打开“证书服务客户端-自动注册属性”对话框，“配置模式”设置为“启用”，选择“续订过期证书、更新未决证书并删除吊销的证书”以及“更新使用证书模板的证书”选项，设置证书预定以及过期的处理方式。

    参数设置完成后，单击“确定”按钮，完成策略设置。组策略生效后，客户端计算机重新启动将自动完成注册、申请、颁发用户证书。

用户访问SSL站点可能遇到的问题

    用户访问打开一个SSL站点（内部站点）时，如果出现“安全警报”提示对话框，表示问题和证书相关。本节主要介绍如何解决遇到的证书提示问题，使用户可以顺利访问SSL站点，不产生这样的对话框。

提示信息解析

    ·第一个提示：此证书是否由受信任的证书颁发机构颁发。如果是，则为绿色“√”，否则就会出现换色叹号。

    ·第二个提示：此证书是否在有效期内。如果是，则为绿色“√”，否则就会出现×××叹号。

    ·第三个提示：证书上的名称与站点名称是否匹配。如果是，则为绿色“√”，否则就会出现×××叹号。

    如果三个提示的结果均为绿色“√”，直接解析目标网页，将不会出现任何提示。任何一个条件不满足，将出现上述的提示。

第一个提示：关于证书颁发机构

    Windows安装完成后，默认内置N个证书，这些证书都是世界知名公司、企业或机构的根证书，访问由内置证书颁发机构颁发证书加密网站时，不会出现第一个提示错误的情况。因为本机中“受信任根证书颁发机构”里有这些根证书，也就相当于本机信任这些根证书机构颁发的证书。以Windows XP操作系统为例。

    打开IE浏览器，通过菜单栏的“工具”-“Internet选项”-“内容”-“证书”选项，打开“证书”对话框，切换到“受信任的根证书颁发机构”选项卡，显示内置的根证书。

    当浏览器检测到一个新证书时，检查证书颁发者是否在信任机构内，如果是则信任该证书，否则就不信任，不信任时弹出这样的提示，提示浏览器检测到的这份证书并不是受信任的根证书颁发机构。解决该问题的方法是，此证书添加至本地的受信任证书机构内。

    解决方法：安装证书链，并验证证书链。

    第1步，打开证书服务器申请地址“http://192.168.0.1/certsrv”，打开欢迎网页。

    第2步，单击“下载CA证书、证书链或CRL”超链接，打开“下载CA证书、证书链或CRL”网页。

    第3步，单击“请安装此CA证书链”超链接，显示“潜在的脚本冲突”对话框。提示是否将目标站点添加到信任列表中。

    第4步，单击“是”按钮，显示“安全警告”对话框。注意指纹信息

    第5步，单击“是”按钮，在当前计算机中安装证书

    第6步，通过“mmc”打开证书管理器，左侧导航窗格中选择“受信任的根证书颁发机构”-“证书”选项，右侧列表中查找刚导入的证书颁发机构，本例中为“book-DC-CA”

    第7步，双击打开该证书，打开“证书”属性对话框，切换到“详细信息”选项卡，列表中选择“微缩图”，选项，下方文本框显示详细的指纹信息，和上一步的指纹信息比对，确认是否相同

第二个信息：关于日期和时间

    如果当前证书在有效期内，第二个信息不会有任何问题。注意，证书颁发机构的有效期和证书有效期是两个不同的概念。证书颁发机构的有效期，在安装过程中设置默认为5年，企业根CA和独立根CA机构的默认期限均为5年。但颁发的证书，企业根默认为2年，独立根默认为1年。

第三个提示：名称无效

    “安全警报”对话框中第三个提示信息为“安全证书上的名称无效，或者与站点名称不匹配”。单击“查看证书”按钮，显示证书状态以及证书的可用性。证书信息以红色叉号标识，表示当前计算机中的证书无法到指定的证书颁发机构验证，证书无效。

    证书信息显示“颁发给：TDC.book.com”，指的是在证书申请过程中设置的通用名称为“TDC.book.com”，访问该网站时地址栏中键入的信息是“https://192.168.0.151”，显而易见证书通用名称的设置是“TDC.book.com”，计算机的IP地址为“192.168.0.151”，通用名称和IP都有效，只是没有正确匹配。

    解决方法：站点服务器新申请一张证书，将证书的通用名称设置为计算机的IP地址。其他步骤和申请证书相同。

证书典型应用：SSL站点

    证书最常见的应用是部署SSL站点。默认情况下部署的站点使用HTTP协议，端口为80。通过证书部署的站点使用HTTPS协议，端口为443，在安全性要求较高的环境中建议部署SSL站点。本例中，在企业内部部署SSL站点，网络中已经部署AD DS域服务，证书服务方式为“企业根”。

基本信息

    1.默认站点

    本例中名称为“tdc.book.com”服务器运行Windows Server 2012操作系统，是book.com域的成员服务器，已经安装IIS服务以及必需的组件（部署过程略）。通过“http:tdc.book.com”打开站点后（默认80端口）

    2.案例任务

    案例任务：将站点“http://tdc.book.com”部署为SSL类型的站点

申请证书配置文件

    第1步，以域用户身份登录成员服务器，打开“Internet信息服务（IIS）管理器”，左侧导航窗格中选择服务器名称，中间窗格中选择“服务器证书”

    第2步，命令执行后，打开“服务器证书”敞口，默认该服务器中没有安装任何证书

    第3步，右侧“操作”窗格中选择“创建证书申请”超链接，命令执行后，启动“申请证书”向导，打开“可分辨名称属性”对话框，设置证书相关信息。注意通用名称设置，通用名称要设置成客户端计算机访问的站点名称，本例中客户端计算机通过“http://tdc.book.com”形式访问，因此通用名称设置为“tdc.book.com”

    第4步，单击“下一步”按钮，打开“加密服务提供程序属性”对话框。设置加密服务提供程序以及密钥的长度。本例中使用默认值。

    第5步，单击“下一步”按钮，打开“文件名”对话框。设置申请文件的文件名以及存储位置。设置完成的参数。单击“完成”按钮，完成证书申请设置。

申请Web服务器证书

    用户根据证书配置文件创建的申请信息，通过Web方式访问证书服务器并申请证书，证书申请成功后下载到当前服务器环境中。

    第1步，成员服务器中打开Internet Explorer浏览器，键入证书服务器地址，开始为IIS服务器申请证书。

    第2步，单击“申请证书”超链接，命令执行后，打开“高级证书申请”页面。

    第3步，选择“使用base64编码的CMC或PKCS #10文件提交一个证书申请，或使用base64编码的PKCS #7文件续订证书申请”超链接，命令执行后，打开“提交一个证书申请或续订申请”，打开上一步骤中申请成功的证书配置文件，将所有内容复制到“保存的申请”文本框中，证书模板设置为“Web服务器”选项

    第4步，单击“提交”按钮，开始申请，申请成功后打开“证书已颁发”页面。单击“下载证书”和“下载证书链”超链接，将证书保存到指定位置。

Web服务器配置证书

    打开“Internet信息服务（IIS）管理器”，打开“服务器证书”窗口，右侧“操作”窗格中选择“完成证书申请”超链接，命令执行后，打开“指定证书颁发机构响应”对话框，设置以下参数

    ·“包含证书颁发机构响应的文件名”文本框中，选择上一步操作下载的证书。

    ·“好记名称”文本框中设置证书标记

    ·“为新证书选择证书存储”文本框中设置证书存储位置，本例中选择“个人”选项。

    ·单击“确定”，完成证书设置，成功导入的证书显示在中间窗格列表中。

设置SSL站点

    选择需要绑定证书的Web站点，本例以默认站点为例

    第1步，选择“服务器名称”-“网站”-“Default Web Site”选项，打开“Default Web Site主页”设置窗口，右侧“操作”窗格中选择“绑定”超链接

    第2步，命令执行后，打开“网站绑定”对话框。默认该站点使用“HTTP”协议访问，默认端口是80.

    第3步，单击“添加”按钮，打开“添加网站绑定”对话框，参数设置如下

    ·类型：https。

    ·IP地址：全部未分配

    ·端口：443

    ·SSL证书：tdc（新导入的证书）

    第4步，单击“确定”按钮，返回到“网站绑定”对话框。选择端口为“80”的站点设置，单击“删除”按钮，删除使用“http”协议的默认站点，仅保留新添加的https站点。单击“关闭”按钮，完成站点设置。

    第5步，“Default Web Site主页”设置窗口中，选择“SSL设置”，打开“SSL设置”页面，选择“要求SSL”选项，客户证书设置为“必需”，。单击“应用”超链接，完成站点整体设置。

客户端计算机访问SSL站点

    客户端计算机运行Windows 8操作系统，已经加入到域中，使用IE浏览器访问新建的SSL站点。

    1.无证书访问

    当前计算机没有从域中申请任何类型的证书（用户证书、计算机证书），地址栏键入站点地址https://tdc.book.com，显示服务器错误信息，不能访问目标站点。

    2.用户证书访问

    首先客户端计算机申请证书，然后访问目标站点

    登录用户通过“MMC”打开“证书”管理单元，选择“个人”选项，当前环境中没有申请任何证书。单击菜单栏的“操作”菜单，下拉菜单列表中选择“所有任务”命令，在弹出的级联菜单中选择“申请新证书”选项。

    命令执行后，启动“证书注册”向导，打开“在你开始前”对话框，显示证书相关信息

    单击“下一步”按钮，显示“选择证书注册策略”对话框。选择“Acitve Directory注册策略”选项。

    单击“下一步”按钮，显示“请求证书”对话框。从证书颁发机构中检索可用的证书模板，“Acitve Directory注册策略”列表中，显示可用的证书模板。选择“NewUser”模板。

    单击“注册”按钮，客户端计算机根据选择的模板发出申请，证书服务器接收到请求并核准后将证书回传至申请的客户端计算机，然后在该计算机中安装该证书，安装成功后证书状态为“成功”。

    单击“完成”按钮，完成证书申请操作，新申请的证书保存在“证书-当前用户”-“一个人”-“证书”节点中。

    当前计算机从域中成功申请用户证书后，打开IE浏览器，地址栏中键入站点地址https://tdc.book.com，显示“Windows 安全 ”对话框，需要当前用户确认证书。

    单击“确定”按钮，成功访问目标站点。