近期準備將單位的服務(wù)器全部升級到Windows Server 2008，但有一些“遺留”問題需要解決： （1）現(xiàn)在單位還有一臺Windows Server 2003，上面安裝了“標準CA”并做證書服務(wù)器，為ISA Server、heuet.com等網(wǎng)站提供域名等證書。 （2）Windows Server 2003安裝了“Windows部署服務(wù)”，用來提供遠程安裝服務(wù)。 （3）用ISA Server做的“***”服務(wù)器，且“企業(yè)CA”做“智能卡”發(fā)放證書。 現(xiàn)在逐漸將Windows Server 2003升級到2008，現(xiàn)在先測試Windows Server 2008中的“標準CA”與Windows Server 2003提供的“標準CA”的區(qū)別，看是否可以升級。 主要測試環(huán)境如下： 準備一臺Windows Server 2008虛擬機，安裝證書服務(wù)，并申請“用戶證書”、“計算機證書”，看是否可以滿足第1個條件。 主要測試過程：1 安裝證書服務(wù) （1）在一臺Windows Server 2008虛擬機中（未安裝IIS、未升級到AD，其他任務(wù)服務(wù)都沒有安裝），進入“服務(wù)器管理器”，定位到“角色”，在右側(cè)窗格單擊“添加角色”，如圖1所示。 圖1 添加角色 （2）在“選擇服務(wù)器角色”頁中，選中“Active Directory證書服務(wù)”，如圖2所示。 圖2 證書服務(wù) 【說明】你千萬不要被“Active Directory”幾個前綴“嚇到”，雖然名稱叫“Active Directory證書服務(wù)”，并不表示這一定需要Active Directory的支持。繼續(xù)看，你就明白。 （3）在“選擇角色服務(wù)”頁中，添加“證書頒發(fā)機構(gòu)”、“證書頒發(fā)機構(gòu)Web注冊”、“聯(lián)機響應(yīng)程序”，在選擇“證書頒發(fā)機構(gòu)Web注冊”時，會彈出添加IIS的對話框，單擊“添加必需的角色服務(wù)”即可自動添加所需要的IIS服務(wù)，如圖3所示。 圖3 添加角色 （4）在“指定安裝類型”頁中，選擇“獨立”，這就是表示要安裝“標準CA證書”服務(wù)器了，如圖4所示。 圖4 添加標準證書服務(wù)器 （5）在“指定CA類型”頁，選擇“根”，如圖5所示。 圖5 根CA （6）在“設(shè)備私鑰”頁，選擇“新建私鑰”，如圖6所示。 圖7 新建私鑰 （7）在“為CA配置加密”頁，選擇默認值，如圖8所示。 圖8 為CA配置加密 （8）在“配置CA名稱”頁，選擇默認值。在以后的配置中，選擇默認值，直接安裝完成，如圖9所示。 圖9 安裝完成 （9）雖然沒有提示需要重新啟動計算機，但是，最好是重新啟動計算機，讓設(shè)置生效，如圖10所示。 圖10 重新啟動計算機2 申請用戶證書 再次進入Windows Server 2008后，我們將為Windows Server 2008“本身”申請一個Web服務(wù)器證書。 （1）打開IE，鍵入[url]http://localhost/certsrv[/url]，如圖11所示。然后單擊“申請證書”。 圖11 申請證書 （2）選擇“高級證書申請”，如圖12所示。 圖12 高級證書申請 （3）在“高級證書申請”頁，單擊“創(chuàng)建并向此CA提交一個申請”，如圖13所示。 圖13 創(chuàng)建并向此CA提交一個申請 （4）使用Web方式申請證書時，需要ActiveX控件。此時，單擊“工具”菜單選擇“Internet選項”，如圖14所示。 圖14 Internet選項 （5）在“高級”選項卡中，允許“允許活動內(nèi)容在我的計算機上運行”，如圖15所示。 圖15 允許活動內(nèi)容在計算機上運行 （6）在“安全”選項卡中，選中“可信站點”，單擊“自定義級別”，如圖16所示。 圖16 自寶座級別“ 在“安全設(shè)置-受信任的站點區(qū)域”對話框中，選中“ActiveX控件自動提示”、“對標記為可安全執(zhí)行腳本的ActiveX控件執(zhí)行程序”、“下載己簽名的ActiveX控件”等，如圖17所示。 圖17 執(zhí)行ActiveX控件 返回到圖16后，單擊“站點”按鈕，添加[url]http://localhost[/url]到可信區(qū)域，如圖18所示。 圖18 添加當前站點到可信區(qū)域 （7）返回到IE后，按F5刷新，可以申請證書，在此，申請證書的名稱與計算機名稱一致，并在“需要的證書類型”中選擇“服務(wù)器身份驗證證書”，并選中“標記密碼為可導(dǎo)出”，如圖19所示。 圖19 申請證書 （8）提交申請后，提示“證書正在掛起”，如圖20所示。 圖20 證書申請被掛起 返回到“服務(wù)器管理器”，定位到“角色→CA→掛起的申請”，在右側(cè)，頒發(fā)申請的證書，如圖21所示。 圖21 頒發(fā)證書 （9）切換到IE瀏覽器，單擊“主頁”按鈕，單擊“查看掛起的證書申請的狀態(tài)”，如圖22所示。 圖22 查看掛起的證書申請的狀態(tài) （10）可以看到，證書已經(jīng)被頒發(fā)，如圖23所示。 圖23 證書已經(jīng)頒發(fā) （11）然后安裝該證書，如圖24所示。 圖24 安裝證書3 導(dǎo)出證書（計算機證書） 由于在Windows Server 2008中，不能直接申請“計算機證書”，所以，要想安裝計算機證書，必須將上一步申請的證書，從“用戶證書”存儲中導(dǎo)出，然后再“導(dǎo)入”到計算機存儲中，成為“計算機證書”，主要步驟如下： （1）在IE中，進入“Internet選項”，在“內(nèi)容”選項卡中，單擊“證書”，如圖25所示。 圖25 證書 （2）在“證書”頁中，在“個人”選項卡中，單擊“導(dǎo)出”按鈕，如圖26所示。 圖26 導(dǎo)出 （3）在“導(dǎo)出私鑰”頁中，選中“是，導(dǎo)出私鑰”，如圖27所示。 圖27 導(dǎo)出私鑰 （4）在“導(dǎo)出文件格式”頁中，選中“如果導(dǎo)出成功，刪除密鑰”，如圖28所示。 圖28 導(dǎo)出后刪除密鑰 （5）設(shè)置密碼，如圖29所示。 圖29 設(shè)置密碼 （6）設(shè)置導(dǎo)出文件的名稱及路徑，如圖30所示。 圖31 導(dǎo)出文件及路徑 （7）導(dǎo)出完成，如圖32所示。 圖32 導(dǎo)出完成4 在計算機存儲中導(dǎo)入證書（計算機證書） （1）運行MMC，如圖33所示。 圖33 MMC （2）添加刪除管理單元，如圖34所示。 圖34 添加管理單元 （3）添加“證書”，如圖35所示。 圖35 添加證書 （4）為“計算機帳戶”添加“證書”管理單元，如圖36所示。 圖36 計算機帳戶 （5）選擇“本地計算機”，如圖37所示。 圖37 本地計算機 （6）返回到MMC管理控制臺后，定位到“證書→個人→證書”，導(dǎo)入證書，如圖38所示。 圖38 導(dǎo)入證書 （7）選中圖31中導(dǎo)出的證書，如圖39所示。 圖39 導(dǎo)入證書 （8）鍵入密碼，以導(dǎo)入證書，如圖40所示。 圖40 鍵入密碼 （9）導(dǎo)入完成，如圖41所示。 圖41 導(dǎo)入證書完成5 在IIS中分配證書 返回到“服務(wù)器管理器”，定位到“Web服務(wù)器→Internet信息服務(wù)”，在右側(cè)的任務(wù)窗格中單擊“綁定”鏈接，如圖42所示。 圖42 綁定 在彈出的“網(wǎng)站綁定”對話框中，單擊“添加”按鈕，在彈出的“添加網(wǎng)站綁定”對話框中，選中HTTPS，并在“SSL證書”下拉列表中，選擇新添加的“Web服務(wù)器證書”，如圖43所示。 圖43 添加證書6 驗證 返回到IE瀏覽器中，鍵入[url]https://localhost[/url]，驗證證書，可以看到“此網(wǎng)站的安全證書有問題”的提示，如圖44所示。 圖44 提示證書有問題 此時，將地址欄換成[url]https://w2008ent[/url]，此時會打開默認的網(wǎng)站，并不會彈出“此網(wǎng)站的安全證書有問題”的提示，如圖45所示。 圖45 默認站點 鍵入[url]https://w2008ent/certsrv[/url]，也可以正常瀏覽，如圖46所示。 圖46 瀏覽證書申請站點7 后記 （1）經(jīng)過測試發(fā)現(xiàn)，Windows Server 2008的標準證書服務(wù)，是完全可以代替Windows Server 2003的證書服務(wù)的。 （2）Windows 2008的證書服務(wù)中，已經(jīng)取消了“存儲到本地”這一選項，也就是說，不能直接申請“計算機證書”，只能是先申請用戶證書，再導(dǎo)出，再導(dǎo)入成“計算機證書”。 （3）其他問題，正在后續(xù)的測試中。

總結(jié)

以上是生活随笔為你收集整理的Windows Server 2008标准证书使用记录的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。