|
|
概要
在将 IP 安全设置 (IPSec) 配置为使用证书颁发机构 (CA) 互相验证身份时,您必须获得一个本地计算机证书。本文介绍如何从独立的 Windows CA 安装用于 IPSec 的本地计算机证书。
若要获得本地计算机证书,请执行以下操作之一:
• 从第三方 CA 获得此证书。
• 在 Windows 中安装证书服务创建您自己的 CA。
申请本地计算机证书需通过使用 HTTP。因为必须将本地计算机证书用于 IPSec,所以您必须向 CA 提交高级申请以指明这一点。
当您使用本地证书颁发机构 (CA) 时,该 CA 必须设置为允许 IPSEC 证书。本文中的操作说明假定您已允许客户端身份验证、IPSEC 和 IPSEC(脱机申请)。如果在申请时遗漏这些内容,您必须正确设置您的 CA,然后再继续。
从独立的 Windows 证书颁发机构安装本地计算机证书
1. 申请内容是一个包含证书服务器的 IP 地址或名称的 Web 地址,后跟“/certsrv”。在您的 Web 浏览器中,键入以下 Web 地址
http://CA 的 IP 地址/certsrv
其中,CA 的 IP 地址 是证书服务器的 IP 地址或名称。
2. 在证书服务器的启动“欢迎”页中,单击“申请证书”,然后单击下一步。
3. 在“选择申请类型”页中,单击“高级申请”,然后单击下一步。
4. 在“高级证书申请”页中,单击“使用表格向这个 CA 提交一个证书申请”,然后单击下一步。
5. 在“高级证书申请”页中,在相应的框中键入您的姓名和电子邮件名称。
6. 在预期目的下,单击客户端身份验证证书或 IPSec 证书。
如果单击 IPSec 证书,此证书将只用于 IPSec。
7. 在密钥选项下,单击“Microsoft Base Cryptographic Provider v1.0”,对于密钥用法单击签名,然后对密钥大小单击 1024。
8. 使“创建新密钥集”选项处于选中状态(除非您希望指定特定名称,否则可清除容器名称复选框),然后单击“使用本地机器保存”。
9. 除非必须做具体更改,否则应让所有其他选项设置为默认值。
10. 单击提交。
如果将证书颁发机构配置为自动颁发证书,则会出现“证书已发布”页。
11. 单击“安装此证书”。
此时出现“安装的证书”页,其中显示以下消息:“您的新证书已成功安装。”
12. 如果证书颁发机构未配置为自动颁发证书,则会出现“证书挂起”页,要求您等候管理员发布所申请的证书。
如要检索管理员已经发布的证书,请返回到该 Web 地址,然后单击“检查挂起的证书”。单击已申请的证书,然后单击下一步。
如果证书仍挂起,则会出现“证书挂起”页。如果证书已发布,则会出现“安装此证书”页。
从企业的 Windows 证书颁发机构安装本地计算机证书
1. 申请内容是一个包含证书服务器的 IP 地址或名称的 Web 地址,后跟“/certsrv”。在 Web 浏览器中,键入以下 Web 地址
http://CA 的 IP 地址/certsrv
其中,CA 的 IP 地址 是证书服务器的 IP 地址或名称。
2. 如果您使用的计算机尚未登录到域,系统将提示您提供域凭据。
3. 在证书服务器的启动“欢迎”页中,单击“申请证书”,然后单击下一步。
4. 在“选择申请类型”页中,单击“高级申请”,然后单击下一步。
5. 在“高级证书申请”页中,单击“使用表格向这个 CA 提交一个证书申请”,然后单击下一步。
6. 在“高级证书申请”页中,单击证书模板选项的 IPSEC(脱机申请)。
7. 在密钥选项下,单击“Microsoft Base Cryptographic Provider v1.0”,对于密钥用法单击签名,对于密钥大小单击 1024。
8. 使“创建新密钥集”选项处于选中状态(除非您希望指定一个名称,否则可清除容器名称复选框),然后单击“使用本地机器保存”。
9. 除非必须做具体更改,否则应让所有其他选项设置为默认值。
10. 单击提交。
此时出现“证书已颁发”页。
11. 单击安装此证书。此时出现“安装的证书”页,其中显示以下消息:
您的新证书已经成功安装。
验证本地计算机证书已安装
在安装证书之后,使用 Microsoft 管理控制台 (MMC) 中的证书(本地计算机)管理单元验证证书的位置。您的证书将出现在个人下。
如果此处没有出现已安装的证书,则表明证书已经以“用户证书申请”形式安装,或者您在高级申请中未单击“使用本地机器保存”。
这篇文章中的信息适用于:
• Microsoft Windows Server 2003 Datacenter Edition
• Microsoft Windows Server 2003 Enterprise Edition
• Microsoft Windows Server 2003 Standard Edition
• Microsoft Windows Server 2003 Web Edition
• Microsoft Windows Server 2003 Datacenter Edition
• Microsoft Windows Server 2003 64-bit Enterprise Edition
关键字: kbsecurityservices kbenv kbhowto kbhowtomaster kbipsec kbtool KB323342
URL:
http://support.microsoft.com/default.aspx?scid=kb;zh-cn;323342
在将 IP 安全设置 (IPSec) 配置为使用证书颁发机构 (CA) 互相验证身份时,您必须获得一个本地计算机证书。本文介绍如何从独立的 Windows CA 安装用于 IPSec 的本地计算机证书。
若要获得本地计算机证书,请执行以下操作之一:
• 从第三方 CA 获得此证书。
• 在 Windows 中安装证书服务创建您自己的 CA。
申请本地计算机证书需通过使用 HTTP。因为必须将本地计算机证书用于 IPSec,所以您必须向 CA 提交高级申请以指明这一点。
当您使用本地证书颁发机构 (CA) 时,该 CA 必须设置为允许 IPSEC 证书。本文中的操作说明假定您已允许客户端身份验证、IPSEC 和 IPSEC(脱机申请)。如果在申请时遗漏这些内容,您必须正确设置您的 CA,然后再继续。
从独立的 Windows 证书颁发机构安装本地计算机证书
1. 申请内容是一个包含证书服务器的 IP 地址或名称的 Web 地址,后跟“/certsrv”。在您的 Web 浏览器中,键入以下 Web 地址
http://CA 的 IP 地址/certsrv
其中,CA 的 IP 地址 是证书服务器的 IP 地址或名称。
2. 在证书服务器的启动“欢迎”页中,单击“申请证书”,然后单击下一步。
3. 在“选择申请类型”页中,单击“高级申请”,然后单击下一步。
4. 在“高级证书申请”页中,单击“使用表格向这个 CA 提交一个证书申请”,然后单击下一步。
5. 在“高级证书申请”页中,在相应的框中键入您的姓名和电子邮件名称。
6. 在预期目的下,单击客户端身份验证证书或 IPSec 证书。
如果单击 IPSec 证书,此证书将只用于 IPSec。
7. 在密钥选项下,单击“Microsoft Base Cryptographic Provider v1.0”,对于密钥用法单击签名,然后对密钥大小单击 1024。
8. 使“创建新密钥集”选项处于选中状态(除非您希望指定特定名称,否则可清除容器名称复选框),然后单击“使用本地机器保存”。
9. 除非必须做具体更改,否则应让所有其他选项设置为默认值。
10. 单击提交。
如果将证书颁发机构配置为自动颁发证书,则会出现“证书已发布”页。
11. 单击“安装此证书”。
此时出现“安装的证书”页,其中显示以下消息:“您的新证书已成功安装。”
12. 如果证书颁发机构未配置为自动颁发证书,则会出现“证书挂起”页,要求您等候管理员发布所申请的证书。
如要检索管理员已经发布的证书,请返回到该 Web 地址,然后单击“检查挂起的证书”。单击已申请的证书,然后单击下一步。
如果证书仍挂起,则会出现“证书挂起”页。如果证书已发布,则会出现“安装此证书”页。
从企业的 Windows 证书颁发机构安装本地计算机证书
1. 申请内容是一个包含证书服务器的 IP 地址或名称的 Web 地址,后跟“/certsrv”。在 Web 浏览器中,键入以下 Web 地址
http://CA 的 IP 地址/certsrv
其中,CA 的 IP 地址 是证书服务器的 IP 地址或名称。
2. 如果您使用的计算机尚未登录到域,系统将提示您提供域凭据。
3. 在证书服务器的启动“欢迎”页中,单击“申请证书”,然后单击下一步。
4. 在“选择申请类型”页中,单击“高级申请”,然后单击下一步。
5. 在“高级证书申请”页中,单击“使用表格向这个 CA 提交一个证书申请”,然后单击下一步。
6. 在“高级证书申请”页中,单击证书模板选项的 IPSEC(脱机申请)。
7. 在密钥选项下,单击“Microsoft Base Cryptographic Provider v1.0”,对于密钥用法单击签名,对于密钥大小单击 1024。
8. 使“创建新密钥集”选项处于选中状态(除非您希望指定一个名称,否则可清除容器名称复选框),然后单击“使用本地机器保存”。
9. 除非必须做具体更改,否则应让所有其他选项设置为默认值。
10. 单击提交。
此时出现“证书已颁发”页。
11. 单击安装此证书。此时出现“安装的证书”页,其中显示以下消息:
您的新证书已经成功安装。
验证本地计算机证书已安装
在安装证书之后,使用 Microsoft 管理控制台 (MMC) 中的证书(本地计算机)管理单元验证证书的位置。您的证书将出现在个人下。
如果此处没有出现已安装的证书,则表明证书已经以“用户证书申请”形式安装,或者您在高级申请中未单击“使用本地机器保存”。
这篇文章中的信息适用于:
• Microsoft Windows Server 2003 Datacenter Edition
• Microsoft Windows Server 2003 Enterprise Edition
• Microsoft Windows Server 2003 Standard Edition
• Microsoft Windows Server 2003 Web Edition
• Microsoft Windows Server 2003 Datacenter Edition
• Microsoft Windows Server 2003 64-bit Enterprise Edition
关键字: kbsecurityservices kbenv kbhowto kbhowtomaster kbipsec kbtool KB323342
URL:
http://support.microsoft.com/default.aspx?scid=kb;zh-cn;323342
添加到百度搜藏
