第一章CA 服務(wù)器搭建1. Windows 2008 安裝“IIS ”以及“證書服務(wù)”注：安裝“證書服務(wù)”之后將不能修改計算機的“機器名”以及“域”，IIS 將使用windows 的80端口，80端口

第一章CA 服務(wù)器搭建

1. Windows 2008 安裝“IIS ”以及“證書服務(wù)”

注：安裝“證書服務(wù)”之后將不能修改計算機的“機器名”以及“域”，IIS 將使用windows 的80端口，80端口必須沒有被占用，否則后果嚴(yán)重，無法安裝。 右鍵“計算機”——>“管理”

點擊左側(cè)的“角色”

點擊右側(cè)的“添加角色”，彈出“添加角色向?qū)А?/p>

勾選“Active Directory 證書服務(wù)”和“Web 服務(wù)器（IIS ）”兩個服務(wù)，點擊下一步

點擊“下一步”

勾選“證書頒發(fā)機構(gòu)”和“證書頒發(fā)機構(gòu)Web 注冊”，在勾選“證書頒發(fā)機構(gòu)Web 注冊”時彈出“添加角色向?qū)А?/p>

點擊“添加必需的角色服務(wù)”，點擊“下一步”

如果大家自己的服務(wù)器建議使用“企業(yè)”根節(jié)點，“企業(yè)”根更有利與使用windows 的域控制器，來控制安全性，當(dāng)然使用“獨立”根節(jié)點也并不影響，這里因為機器全部使用的工作組而沒有使用域，所以無法使用“企業(yè)”根，在這里使用“獨立”根，點擊“下一步”

選擇“根CA ”，點擊“下一步”

選擇“新建私鑰”，點擊“下一步”，進入“加密”

在這里選擇“加密方式”，默認使用SHA1加密方式，這里不做更改，點擊“下一步”

點擊“下一步”

這里選擇“CA 證書”有效期限，默認為5年，點擊“下一步” 這里選擇證書的存放位置，以及日志的存放位置，使用“默認”選擇，點擊“下一步”

點擊“下一步”

這里選擇IIS 服務(wù)器的安裝配置，如沒有特殊需求使用默認即可，點擊“下一步” 點擊“安裝”，進入服務(wù)安裝環(huán)節(jié)

等待安裝結(jié)束，安裝結(jié)束后，點擊“關(guān)閉”。

安裝結(jié)束后，右鍵“計算機”點擊“管理”，在右側(cè)展開目錄樹，出現(xiàn)

點擊“Web 服務(wù)器（IIS ）”，在右側(cè)中點擊“啟動”（安裝之后默認是啟動狀態(tài)），打開瀏覽器，在地址欄中輸入：http://localhost/certsrv/ 打開以下頁面

截止到此windows 2008的證書服務(wù)，以及證書頒發(fā)服務(wù)全部安裝完畢，ca 證書服務(wù)器搭建完畢。

2. Windows 2003 安裝“IIS ”以及“證書服務(wù)”

暫缺, 但有相關(guān)的文檔資料《搭建CA 服務(wù)器用SSL 實現(xiàn)網(wǎng)站數(shù)據(jù)加密傳輸.pdf 》

第二章向CA 證書服務(wù)器申請CA 證書

參考資料：http://doorgods.blog.163.com/blog/static/78547857201141934531616/ 在web 服務(wù)器上（安裝Tomcat 的服務(wù)器）操作系統(tǒng)版本不限制，使用JDK 或JVM1.4以及以上版本。在“開始”——>“運行”中，輸入cmd 打開文本命令窗口，將目錄切換到j(luò)dk 或者jre 中的bin 下面（這里默認使用jdk1.5.0.10安裝目錄為c:/java/jdk1.5.0_10/）。 在命令窗口中輸入命令：

cd c:/java/jdk1.5.0_10/bin

1. 生成Web 服務(wù)器的證書庫

下面生成一個向ca 服務(wù)器申請證書的文件，在命令控制臺中輸入命令： keytool -genkey -alias tomcat -keyalg RSA -keystore keystore

生成web 服務(wù)器的證書存放庫

keytool 是java 提供的聲稱證書的工具在jdk 或者jre 的bin 目錄下存在keytool.exe 文件

-genkey 參數(shù)是建立證書庫

-alias 為別名，這里使用tomcat

-keyalg 為指定加密方式，這里使用常用的RSA 加密方式

-keystore 為指定證書庫存放文件 按“回車”鍵，出現(xiàn)輸入證書庫密碼的提示框

輸入密碼，“回車”，出現(xiàn)輸入證書注冊信息的提示：

第一個提示輸入的是“您的名字與姓氏是什么”，這里非常重要，一般填寫域名，比如：www.sddpf.org.cn 或者ip 地址，比如：192.168.1.243

還有最后一個“該單位的兩字母國家代碼是什么”一般填寫CN （大寫） 最后確認你填寫的信息是否正確，輸入y ，“回車”

提示輸入別名為tomcat 證書庫的主密碼（如果和keystore 密碼相同，按回車），這里使用一致密碼就可以直接“回車”。

在控制臺輸入命令

keytool –list –keystore keystore

-list 打開證書庫列表

-keystore 指定要打開的證書庫

輸入證書密碼

2. 生成向CA 證書服務(wù)器申請證書的文件

keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore keystore

-certreq 聲稱申請證書文件

-keyalg 指定加密方式

-alias 證書庫的別名 這里必須與上一步中建立的正數(shù)據(jù)名字相同

-file 指定生成的文件文件名稱以及路徑

-keystore 指定證書庫

提示輸入證書庫keystore 的密碼

生成申請證書成功，這時候在jdk/bin目錄下生成了兩個文件keystore 和certreq.csr ，keystore 為剛才生成的證書庫文件，certreq.csr 為向CA 認證中心申請證書的申請文件，如果向第三方CA 認證中心申請證書，直接提交

certreq.csr 文件即可，但目前使用我們自己搭建的ca 服務(wù)器，而windows 提供的注冊證書頒發(fā)服務(wù)沒有提供提交文件的入口，故此：使用UE 或者editPlus 等工具打開certreq.csr 文件

務(wù)器ip 地址/certsrv/ 打開CA 服務(wù)器的申請界面，點擊“申請證書” 點擊“高級證書申請”

點擊“使用base64編碼的CMC 或PKCS #10文件提交一個證書申請……” 出現(xiàn)以下界面

在“保存的申請”輸入框中粘貼“certreq.csr ”文件中的內(nèi)容

點擊“提交”

注：如果CA 證書服務(wù)器搭建時使用的是“企業(yè)”根時，到此就結(jié)束了可以直接下載證書，但因為搭建CA 證書服務(wù)器時使用的是“獨立”根，所以這里需要去證書服務(wù)器手動頒發(fā)一下證書

切換到CA 證書服務(wù)器，右鍵“計算機”，點擊“管理”，打開“角色”目錄樹，打開“Active Directory證書服務(wù)”，打開獨立根，點擊“掛起的申請” 右鍵右側(cè)的申請

在“所有任務(wù)”中選擇“頒發(fā)”，到此為止證書頒發(fā)成功，然后切換到web

這里將要下載2個證書，一個是CA 服務(wù)器的根證書，一個是網(wǎng)站的CA 證書

點擊“下載CA 證書、證書鏈或CRL ”去下載CA 服務(wù)器的根證書

點擊“下載CA 證書”

下載CA 服務(wù)器的“根證書”，另存為rootCert.cer

注意：這個證書是CA 證書服務(wù)器的根證書而并非申請的網(wǎng)站（系統(tǒng)）的CA 證書 然后回到主頁

點擊“查看掛起的證書申請的狀態(tài)” 看一下“保存的申請證書（日期）”日期是否是剛才申請的時間，如果是點擊該鏈接，下載網(wǎng)站（系統(tǒng)）的CA 證書 另存為“siteCert.cer ”到此，證書申請完畢。

3. 將申請的證書導(dǎo)入到web 服務(wù)器的證書庫中

打開web 服務(wù)器的命令控制臺（開始——>運行——>cmd），先講CA 證書的根證書導(dǎo)入到web 服務(wù)器的證書庫中

輸入：

keytool -import -trustcacerts -alias root -file d:/rootCert.cer -keystore keystore

-import 倒入

-trustcacerts 證書

-alias 要導(dǎo)入證書庫的字庫 這里導(dǎo)入的是CA 服務(wù)器的根目錄所以選擇 root

-file 證書的路徑

-keystore 指定目的證書庫

提示輸入證書庫keystore 的密碼

輸入y 并“回車”，提示“認證已添加至keystore 中”

使用 keytool –list –keystore keystore命令查看證書庫信息

然后將網(wǎng)站（系統(tǒng)）的CA 證書導(dǎo)入到證書庫中

keytool -import -trustcacerts -alias tomcat -file d:/siteCert.cer -keystore keystore

-alias 這里使用的一開始建立證書庫的時候tomcat 子庫

-file 證書存放的路徑

輸入密碼，并“回車”

提示證書回復(fù)已安裝在keystore 中，到此證書全部導(dǎo)入完畢

第三章修改Tomcat 配置文件，使tomcat 使用CA 證書

將生成的keystore 文件復(fù)制到tomcat 安裝目錄的conf 文件夾下，打開

conf/server.xml，搜索non-SSL HTTP/1.1 Connector找到

-keystoreFile 證書庫的目錄位置，也就是剛剛的keystore 文件位置

-keystorePass 證書庫的密碼，也就是開始輸入的密碼，在本例中是python

maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true"

acceptCount="100" debug="0" scheme="https" secure="true"

clientAuth="false" sslProtocol="TLS" keystoreFile="/conf/keystore" keystorePass="python"/>

然后重啟tomcat 打開瀏覽器訪問tomcat 下的工程，這里測試環(huán)境：

因為這里使用的是我們自己搭建的CA 證書服務(wù)器，所以IE 提示“此網(wǎng)站出具的安全證書不是由受信任的證書頒發(fā)機構(gòu)頒發(fā)的……”，解決這個問題需要改變客戶端機器的IE 設(shè)置，將CA 服務(wù)器的根證書（也就是剛剛的rootCert.cer ）導(dǎo)入到客戶端瀏覽器中，下面以IE8為例。點解“工具”——“Internet 選項”打開“內(nèi)容”選項卡，點擊其中的“證書”按鈕 打開“證書”界面 打開“受信任的根證書頒發(fā)機構(gòu)”點擊“導(dǎo)入”

點擊“下一步”

點擊“瀏覽”按鈕，選擇要導(dǎo)入的證書（也就是剛剛的rootCert.cer ）

點擊“下一步”，一路默認選擇

點擊“是”

完成“CA 服務(wù)器的根證書”導(dǎo)入，重啟瀏覽器，訪問剛才的地址

且在最后面有一個鎖的標(biāo)志，證明CA 證書安裝，并且使用正常。