签发客户端验证证书和私钥

本文目的

本文将会教会你如何使用Windows2003的证书颁发机构来签发客户端验证证书以及对应的私钥，客户端验证证书又简称用户证书。

所需环境

l  Windows2003操作系统或虚拟机镜像

l  证书颁发机构

详细步骤

第一步    初始化证书颁发机构

初始化进入Windows2003系统，启动证书颁发机构，如果当前是停用状态就将其启用。

当证书颁发机构收到证书申请时，默认将其放在挂起的申请中，在这里根据ID号查找到证书申请，右键点击它进行颁发。如果想让证书颁发机构自动颁发证书请求，则需要按【root属性】-【策略模块】-【属性】的步骤来设置，否则直接跳到第二步。

第二步    申请用户证书

1.        首先应保证Internet信息服务处于启动状态，然后打开IE浏览器在地址栏中输入申请证书的web地址http://IP地址/certsrv，出现如下页面。若在本机申请，IP地址可替换成localhost或127.0.0.1。

2.        点击【申请一个证书】的链接，如下图。

3.        再点击【Web浏览器证书】的链接，如下图。

4.        若只想生成用户证书则填写用户信息后直接提交即可。若想获取用户私钥则需点击【更多选项】的链接，再填写用户姓名等相关信息，姓名和国家（地区）是最小集，其他可以选择不填。在密钥选项中，勾选【标记密钥为可导出】，其他保持默认，然后提交。

5.        提交后将弹出询问是否确认的窗口，点击【是】。

6.        此时出现下面的页面表示申请证书成功，如果没有设置成自动颁发证书则不会出现【安装此证书】的链接，需要手动到证书颁发机构中进行颁发，然后返回第一个页面，点击【查看挂起的证书申请的状态】的链接进行安装。

7.        点击【安装此证书】的链接，将弹出询问是否确认的窗口，点击【是】。

8.        出现以下页面表示证书已安装成功。如果想生成多个用户证书，只需重复第二步的操作，直到全部证书安装完毕。

第三步    导出用户证书和私钥

       按照【工具】-【Internet选项】-【内容】-【证书】的顺序，打开IE浏览器的证书管理窗口。刚才安装的证书全部都在这里，点击【查看】按钮或双击证书则弹出证书信息窗口，选择【详细信息】就可以看到证书的申请信息，选择【复制到文件】就可以将证书导出。或者在证书管理窗口中，选中导出的证书，然后点击【导出】按钮就可直接导出证书。

在证书导出向导中出现导出私钥界面，如果要导出用户私钥则选择第一项“是，导出私钥”，否则，只需导出用户证书则保持默认，即“不，不要导出私钥”，然后下一步。

注意：申请证书的时候，如果密钥选项中没有勾选【标记密钥为可导出】，此界面将只有第二个选项可用，第一个选项呈现灰色表示不可用。

当选择导出私钥后出现输入密码界面，用户在客户端PC上安装私钥时，会被要求提供该密码，所以我们通常使用8个1，除非有特殊需求。然后下一步，直到完成证书导出向导。

虽然密码确定为8个1后，也是可以修改的。方法就是在PC上安装这个私钥（比如user.pfx或user.p12），导出时被要求重置私钥密码，此时就可以更换密码了。

第四步    导出CA证书

       将IE窗口返回到第一个页面，点击【下载一个CA证书】的链接，将证书颁发机构的根证书（root.cer）下载到本地。

这样，按照以上步骤，我们就能得到所需的根证书（root.cer）和用户证书（user.cer），以及客户端登录验证所需的用户私钥（user.pfx）。