近期準備將單位的服務器全部升級到Windows Server 2008，但有一些“遺留”問題需要解決： （1）現在單位還有一臺Windows Server 2003，上面安裝了“標準CA”并做證書服務器，為ISA Server、heuet.com等網站提供域名等證書。 （2）Windows Server 2003安裝了“Windows部署服務”，用來提供遠程安裝服務。 （3）用ISA Server做的“***”服務器，且“企業CA”做“智能卡”發放證書。 現在逐漸將Windows Server 2003升級到2008，現在先測試Windows Server 2008中的“標準CA”與Windows Server 2003提供的“標準CA”的區別，看是否可以升級。 主要測試環境如下： 準備一臺Windows Server 2008虛擬機，安裝證書服務，并申請“用戶證書”、“計算機證書”，看是否可以滿足第1個條件。 主要測試過程：1 安裝證書服務 （1）在一臺Windows Server 2008虛擬機中（未安裝IIS、未升級到AD，其他任務服務都沒有安裝），進入“服務器管理器”，定位到“角色”，在右側窗格單擊“添加角色”，如圖1所示。 圖1 添加角色 （2）在“選擇服務器角色”頁中，選中“Active Directory證書服務”，如圖2所示。 圖2 證書服務 【說明】你千萬不要被“Active Directory”幾個前綴“嚇到”，雖然名稱叫“Active Directory證書服務”，并不表示這一定需要Active Directory的支持。繼續看，你就明白。 （3）在“選擇角色服務”頁中，添加“證書頒發機構”、“證書頒發機構Web注冊”、“聯機響應程序”，在選擇“證書頒發機構Web注冊”時，會彈出添加IIS的對話框，單擊“添加必需的角色服務”即可自動添加所需要的IIS服務，如圖3所示。 圖3 添加角色 （4）在“指定安裝類型”頁中，選擇“獨立”，這就是表示要安裝“標準CA證書”服務器了，如圖4所示。 圖4 添加標準證書服務器 （5）在“指定CA類型”頁，選擇“根”，如圖5所示。 圖5 根CA （6）在“設備私鑰”頁，選擇“新建私鑰”，如圖6所示。 圖7 新建私鑰 （7）在“為CA配置加密”頁，選擇默認值，如圖8所示。 圖8 為CA配置加密 （8）在“配置CA名稱”頁，選擇默認值。在以后的配置中，選擇默認值，直接安裝完成，如圖9所示。 圖9 安裝完成 （9）雖然沒有提示需要重新啟動計算機，但是，最好是重新啟動計算機，讓設置生效，如圖10所示。 圖10 重新啟動計算機2 申請用戶證書 再次進入Windows Server 2008后，我們將為Windows Server 2008“本身”申請一個Web服務器證書。 （1）打開IE，鍵入[url]http://localhost/certsrv[/url]，如圖11所示。然后單擊“申請證書”。 圖11 申請證書 （2）選擇“高級證書申請”，如圖12所示。 圖12 高級證書申請 （3）在“高級證書申請”頁，單擊“創建并向此CA提交一個申請”，如圖13所示。 圖13 創建并向此CA提交一個申請 （4）使用Web方式申請證書時，需要ActiveX控件。此時，單擊“工具”菜單選擇“Internet選項”，如圖14所示。 圖14 Internet選項 （5）在“高級”選項卡中，允許“允許活動內容在我的計算機上運行”，如圖15所示。 圖15 允許活動內容在計算機上運行 （6）在“安全”選項卡中，選中“可信站點”，單擊“自定義級別”，如圖16所示。 圖16 自寶座級別“ 在“安全設置-受信任的站點區域”對話框中，選中“ActiveX控件自動提示”、“對標記為可安全執行腳本的ActiveX控件執行程序”、“下載己簽名的ActiveX控件”等，如圖17所示。 圖17 執行ActiveX控件 返回到圖16后，單擊“站點”按鈕，添加[url]http://localhost[/url]到可信區域，如圖18所示。 圖18 添加當前站點到可信區域 （7）返回到IE后，按F5刷新，可以申請證書，在此，申請證書的名稱與計算機名稱一致，并在“需要的證書類型”中選擇“服務器身份驗證證書”，并選中“標記密碼為可導出”，如圖19所示。 圖19 申請證書 （8）提交申請后，提示“證書正在掛起”，如圖20所示。 圖20 證書申請被掛起 返回到“服務器管理器”，定位到“角色→CA→掛起的申請”，在右側，頒發申請的證書，如圖21所示。 圖21 頒發證書 （9）切換到IE瀏覽器，單擊“主頁”按鈕，單擊“查看掛起的證書申請的狀態”，如圖22所示。 圖22 查看掛起的證書申請的狀態 （10）可以看到，證書已經被頒發，如圖23所示。 圖23 證書已經頒發 （11）然后安裝該證書，如圖24所示。 圖24 安裝證書3 導出證書（計算機證書） 由于在Windows Server 2008中，不能直接申請“計算機證書”，所以，要想安裝計算機證書，必須將上一步申請的證書，從“用戶證書”存儲中導出，然后再“導入”到計算機存儲中，成為“計算機證書”，主要步驟如下： （1）在IE中，進入“Internet選項”，在“內容”選項卡中，單擊“證書”，如圖25所示。 圖25 證書 （2）在“證書”頁中，在“個人”選項卡中，單擊“導出”按鈕，如圖26所示。 圖26 導出 （3）在“導出私鑰”頁中，選中“是，導出私鑰”，如圖27所示。 圖27 導出私鑰 （4）在“導出文件格式”頁中，選中“如果導出成功，刪除密鑰”，如圖28所示。 圖28 導出后刪除密鑰 （5）設置密碼，如圖29所示。 圖29 設置密碼 （6）設置導出文件的名稱及路徑，如圖30所示。 圖31 導出文件及路徑 （7）導出完成，如圖32所示。 圖32 導出完成4 在計算機存儲中導入證書（計算機證書） （1）運行MMC，如圖33所示。 圖33 MMC （2）添加刪除管理單元，如圖34所示。 圖34 添加管理單元 （3）添加“證書”，如圖35所示。 圖35 添加證書 （4）為“計算機帳戶”添加“證書”管理單元，如圖36所示。 圖36 計算機帳戶 （5）選擇“本地計算機”，如圖37所示。 圖37 本地計算機 （6）返回到MMC管理控制臺后，定位到“證書→個人→證書”，導入證書，如圖38所示。 圖38 導入證書 （7）選中圖31中導出的證書，如圖39所示。 圖39 導入證書 （8）鍵入密碼，以導入證書，如圖40所示。 圖40 鍵入密碼 （9）導入完成，如圖41所示。 圖41 導入證書完成5 在IIS中分配證書 返回到“服務器管理器”，定位到“Web服務器→Internet信息服務”，在右側的任務窗格中單擊“綁定”鏈接，如圖42所示。 圖42 綁定 在彈出的“網站綁定”對話框中，單擊“添加”按鈕，在彈出的“添加網站綁定”對話框中，選中HTTPS，并在“SSL證書”下拉列表中，選擇新添加的“Web服務器證書”，如圖43所示。 圖43 添加證書6 驗證 返回到IE瀏覽器中，鍵入[url]https://localhost[/url]，驗證證書，可以看到“此網站的安全證書有問題”的提示，如圖44所示。 圖44 提示證書有問題 此時，將地址欄換成[url]https://w2008ent[/url]，此時會打開默認的網站，并不會彈出“此網站的安全證書有問題”的提示，如圖45所示。 圖45 默認站點 鍵入[url]https://w2008ent/certsrv[/url]，也可以正常瀏覽，如圖46所示。 圖46 瀏覽證書申請站點7 后記 （1）經過測試發現，Windows Server 2008的標準證書服務，是完全可以代替Windows Server 2003的證書服務的。 （2）Windows 2008的證書服務中，已經取消了“存儲到本地”這一選項，也就是說，不能直接申請“計算機證書”，只能是先申請用戶證書，再導出，再導入成“計算機證書”。 （3）其他問題，正在后續的測試中。

總結

以上是生活随笔為你收集整理的Windows Server 2008标准证书使用记录的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。