近期准备将单位的服务器全部升级到Windows Server 2008,但有一些“遗留”问题需要解决:
(1)现在单位还有一台Windows Server 2003,上面安装了“标准CA”并做证书服务器,为ISA Server、heuet.com等网站提供域名等证书。
(2)Windows Server 2003安装了“Windows部署服务”,用来提供远程安装服务。
(3)用ISA Server做的“VPN”服务器,且“企业CA”做“智能卡”发放证书。
现在逐渐将Windows Server 2003升级到2008,现在先测试Windows Server 2008中的“标准CA”与Windows Server 2003提供的“标准CA”的区别,看是否可以升级。
主要测试环境如下:
准备一台Windows Server 2008虚拟机,安装证书服务,并申请“用户证书”、“计算机证书”,看是否可以满足第1个条件。
主要测试过程:
1 安装证书服务
(1)在一台Windows Server 2008虚拟机中(未安装IIS、未升级到AD,其他任务服务都没有安装),进入“服务器管理器”,定位到“角色”,在右侧窗格单击“添加角色”,如图1所示。
clip_image002
图1 添加角色
(2)在“选择服务器角色”页中,选中“Active Directory证书服务”,如图2所示。
clip_image004
图2 证书服务
【说明】你千万不要被“Active Directory”几个前缀“吓到”,虽然名称叫“Active Directory证书服务”,并不表示这一定需要Active Directory的支持。继续看,你就明白。
(3)在“选择角色服务”页中,添加“证书颁发机构”、“证书颁发机构Web注册”、“联机响应程序”,在选择“证书颁发机构Web注册”时,会弹出添加IIS的对话框,单击“添加必需的角色服务”即可自动添加所需要的IIS服务,如图3所示。
clip_image006
图3 添加角色
(4)在“指定安装类型”页中,选择“独立”,这就是表示要安装“标准CA证书”服务器了,如图4所示。
clip_image008
图4 添加标准证书服务器
(5)在“指定CA类型”页,选择“根”,如图5所示。
clip_image010
图5 根CA
(6)在“设备私钥”页,选择“新建私钥”,如图6所示。
clip_image012
图7 新建私钥
(7)在“为CA配置加密”页,选择默认值,如图8所示。
clip_image014
图8 为CA配置加密
(8)在“配置CA名称”页,选择默认值。在以后的配置中,选择默认值,直接安装完成,如图9所示。
clip_image016
图9 安装完成
(9)虽然没有提示需要重新启动计算机,但是,最好是重新启动计算机,让设置生效,如图10所示。
clip_image018
图10 重新启动计算机
2 申请用户证书
再次进入Windows Server 2008后,我们将为Windows Server 2008“本身”申请一个Web服务器证书。
(1)打开IE,键入[url]http://localhost/certsrv[/url],如图11所示。然后单击“申请证书”。
clip_image020
图11 申请证书
(2)选择“高级证书申请”,如图12所示。
clip_image022
图12 高级证书申请
(3)在“高级证书申请”页,单击“创建并向此CA提交一个申请”,如图13所示。
clip_image024
图13 创建并向此CA提交一个申请
(4)使用Web方式申请证书时,需要ActiveX控件。此时,单击“工具”菜单选择“Internet选项”,如图14所示。
clip_image026
图14 Internet选项
(5)在“高级”选项卡中,允许“允许活动内容在我的计算机上运行”,如图15所示。
clip_image028
图15 允许活动内容在计算机上运行
(6)在“安全”选项卡中,选中“可信站点”,单击“自定义级别”,如图16所示。
clip_image030
图16 自宝座级别“
在“安全设置-受信任的站点区域”对话框中,选中“ActiveX控件自动提示”、“对标记为可安全执行脚本的ActiveX控件执行程序”、“下载己签名的ActiveX控件”等,如图17所示。
clip_image032
图17 执行ActiveX控件
返回到图16后,单击“站点”按钮,添加[url]http://localhost[/url]到可信区域,如图18所示。
clip_image034
图18 添加当前站点到可信区域
(7)返回到IE后,按F5刷新,可以申请证书,在此,申请证书的名称与计算机名称一致,并在“需要的证书类型”中选择“服务器身份验证证书”,并选中“标记密码为可导出”,如图19所示。
clip_image036
图19 申请证书
(8)提交申请后,提示“证书正在挂起”,如图20所示。
clip_image038
图20 证书申请被挂起
返回到“服务器管理器”,定位到“角色→CA→挂起的申请”,在右侧,颁发申请的证书,如图21所示。
clip_image040
图21 颁发证书
(9)切换到IE浏览器,单击“主页”按钮,单击“查看挂起的证书申请的状态”,如图22所示。
clip_image042
图22 查看挂起的证书申请的状态
(10)可以看到,证书已经被颁发,如图23所示。
clip_image044
图23 证书已经颁发
(11)然后安装该证书,如图24所示。
clip_image046
图24 安装证书
3 导出证书(计算机证书)
由于在Windows Server 2008中,不能直接申请“计算机证书”,所以,要想安装计算机证书,必须将上一步申请的证书,从“用户证书”存储中导出,然后再“导入”到计算机存储中,成为“计算机证书”,主要步骤如下:
(1)在IE中,进入“Internet选项”,在“内容”选项卡中,单击“证书”,如图25所示。
clip_image048
图25 证书
(2)在“证书”页中,在“个人”选项卡中,单击“导出”按钮,如图26所示。
clip_image050
图26 导出
(3)在“导出私钥”页中,选中“是,导出私钥”,如图27所示。
clip_image052
图27 导出私钥
(4)在“导出文件格式”页中,选中“如果导出成功,删除密钥”,如图28所示。
clip_image054
图28 导出后删除密钥
(5)设置密码,如图29所示。
clip_image056
图29 设置密码
(6)设置导出文件的名称及路径,如图30所示。
clip_image058
图31 导出文件及路径
(7)导出完成,如图32所示。
clip_image060
图32 导出完成
4 在计算机存储中导入证书(计算机证书)
(1)运行MMC,如图33所示。
clip_image062
图33 MMC
(2)添加删除管理单元,如图34所示。
clip_image064
图34 添加管理单元
(3)添加“证书”,如图35所示。
clip_image066
图35 添加证书
(4)为“计算机帐户”添加“证书”管理单元,如图36所示。
clip_image068
图36 计算机帐户
(5)选择“本地计算机”,如图37所示。
clip_image070
图37 本地计算机
(6)返回到MMC管理控制台后,定位到“证书→个人→证书”,导入证书,如图38所示。
clip_image072
图38 导入证书
(7)选中图31中导出的证书,如图39所示。
clip_image074
图39 导入证书
(8)键入密码,以导入证书,如图40所示。
clip_image076
图40 键入密码
(9)导入完成,如图41所示。
clip_image078
图41 导入证书完成
5 在IIS中分配证书
返回到“服务器管理器”,定位到“Web服务器→Internet信息服务”,在右侧的任务窗格中单击“绑定”链接,如图42所示。
clip_image080
图42 绑定
在弹出的“网站绑定”对话框中,单击“添加”按钮,在弹出的“添加网站绑定”对话框中,选中HTTPS,并在“SSL证书”下拉列表中,选择新添加的“Web服务器证书”,如图43所示。
clip_image082
图43 添加证书
6 验证
返回到IE浏览器中,键入[url]https://localhost[/url],验证证书,可以看到“此网站的安全证书有问题”的提示,如图44所示。
clip_image084
图44 提示证书有问题
此时,将地址栏换成[url]https://w2008ent[/url],此时会打开默认的网站,并不会弹出“此网站的安全证书有问题”的提示,如图45所示。
clip_image086
图45 默认站点
键入[url]https://w2008ent/certsrv[/url],也可以正常浏览,如图46所示。
clip_image088
图46 浏览证书申请站点
7 后记
(1)经过测试发现,Windows Server 2008的标准证书服务,是完全可以代替Windows Server 2003的证书服务的。
(2)Windows 2008的证书服务中,已经取消了“存储到本地”这一选项,也就是说,不能直接申请“计算机证书”,只能是先申请用户证书,再导出,再导入成“计算机证书”。
(3)其他问题,正在后续的测试中。