无

1 介绍

UAM 与客户端配合进行证书认证时需要申请和安装根证书、服务器证书、客户端证书等。本文将介绍各种证书的使用场合，申请和安装证书的方法。

2 证书使用指南

不同的证书认证场景可以采用不同的证书认证类型，服务器和客户端需要安装的证书也不尽相同。具体请参见表 1所示。

3 服务器申请和安装证书

为了使 UAM 服务器具备证书认证能力，需要将根证书和服务器证书文件导入到 UAM 服务器中。证书文件的获取方式如下：

• 根证书文件：直接下载。

• 服务器证书文件：无法直接下载。先将服务器证书安装到服务器的操作系统中，然后从操作 系统中导出服务器证书文件。

3.1 根证书

(1) 打开Internet Explorer浏览器，在地址栏中输入“http://192.168.1.103/certsrv/”，进入 Microsoft Active Directory证书服务页面，如图 1所示。其中，192.168.1.103 是CA的IP地 址。

(2) 点击“下载CA证书、证书链或CRL”链接，进入下载 CA 证书、证书链或 CRL页面，如图 2所示。

(3) 点击“下载 CA 证书”链接，按提示信息将证书保存至本地，根证书申请完成。

3.2 服务器证书

(1) 打开Internet Explorer浏览器，在地址栏中输入“http://192.168.1.103/certsrv/”，进入证书服务页面，如图 3所示。其中，192.168.1.103 是CA证书服务器的IP地址。

依次单击申请证书 > 高级证书申请 > 创建并向此 CA 提交一个申请菜单项，进入高级证书申请页面。

(2) 配置服务器证书申请，如图 4所示。

参数配置如下：

• 姓名：填写“Server”。

• 需要的证书类型：选择“服务器身份验证证书”。

• CSP：选择“Microsoft Enhanced RSA and AES Cryptographic Provider(Prototype)”。

• 勾选“标记密钥可导出”，将证书设为可导出状态。 其他参数保持缺省值即可。

(3) 单击<提交>按钮，提交申请。

(4) 申请提交后，需要等待证书服务器管理员颁发证书。用户可以通过单击图 3中的“查看挂起的 证书申请的状态”查看证书申请的当前状态。

(5) 证书服务器管理员向您的证书申请授权后，在图 5中，点击“安装此证书”链接，按照提示信息安装。

(6) 页面显示“您的新证书已成功安装”，客户端证书安装完成，如图 6所示。

3.3 将根证书和服务器证书导入iMC服务器

根证书已经下载完成，具体请参见3.1 根证书。

由于申请服务器证书时，无法下载服务器证书，而只能直接安装服务器证书到服务器的操作系统中，因此 UAM 还不具备证书认证的能力。必须将服务器证书从操作系统中导出，并导入到 UAM 中，才能使 UAM 具备证书认证的能力。

3.3.1 从Windows中导出服务器证书

(1) 在服务器证书颁发成功页面，选择浏览器上[工具/Internet选项]，进入Internet选项页面，如图7所示。

(2) 选择“内容”页签，单击<证书>按钮，进入证书页面，如图 8所示。

(3) 选择需要导出的服务器证书，单击<导出>按钮，进入证书导出向导，如图 9所示。

(4) 单击<下一步>按钮，进入导出私钥页面。选择“是，导出私钥”，如图 10所示。

(5) 单击<下一步>按钮，进入导出文档格式页面，如图 11所示。

(6) 证书存放格式保存缺省即可，单击<下一步>按钮，设置私钥密码，如图 12所示。

(7) 单击<下一步>按钮，设置私钥存放路径，如图 13所示。

(8) 单击<完成>按钮，服务器证书导出成功。

3.3.2 导入到iMC服务器

1. iMC UAM 7.0 (E0103）及之前版本的导入过程

(1) 登录 iMC。

(2) 选择“用户”页签。

(3) 单击导航树中的“接入策略管理 > 业务参数配置 > 证书配置”菜单项，进入证书配置页面， 如图 15所示。

(4) 点击证书校验中EAP证书配置的 链接，进入根证书配置页面，如图 16所示。

(5) 单击<选择文件>按钮，选择根证书存放位置。

(6) 单击<下一步>按钮，进入CRL配置页面，如图 17所示。

(7) 这里不进行CRL设置，直接单击<下一步>按钮，配置服务器证书页面，如图 18所示。

(8) 勾选“服务器证书和私钥在同一个文件”，单击<选择文件>按钮，选择导出的服务器证书文件。单击<下一步>按钮，输入服务器私钥密码（私钥密码是导出服务器证书时，设置的私钥密码），如图 19所示。

(9) 输入正确的服务器私钥密码后，单击<下一步>按钮，显示 CRL 配置，单击<确定>按钮，iMC导入根证书和服务器证书操作完成。iMC 服务器具备了证书认证的能力。

2. iMC UAM 7.0 (E0201)及之后版本导入过程

(1) 登录 iMC。

(2) 选择“用户”页签。

(3) 单击导航树中的“接入策略管理 > 业务参数配置 > 证书配置”菜单项，进入证书配置页面，如图 21所示。

(4) 单击根证书配置下的<导入EAP根证书>按钮，进入导入根证书页面，如图 22所示。

(5) 单击<选择文件>按钮，选择根证书存放位置。、

(6) 单击<下一步>按钮，进入CRL配置页面，如图 23所示。

(7) 单击<确定>按钮，根证书导入完成。

(8) 单击服务器证书配置下的<导入EAP服务器证书>按钮，进入导入服务器证书页面，如图 25所示。

(9) 勾选“服务器证书和私钥在同一文件”。单击<选择文件>按钮，选择导出的服务器证书文件，如图 26所示。

(10) 单击<下一步>按钮，输入服务器私钥密码（私钥密码是导出服务器证书时，设置的私钥密码），如图 27所示。

(11) 单击<确定>按钮，iMC 导入服务器证书操作完成。至此，iMC 服务器具备了证书认证的能力。

4 客户端申请和安装证书

4.1 根证书

(1) 打开Internet Explorer浏览器，在地址栏中输入“http://192.168.1.103/certsrv/”，进入证书服务页面，如图 28所示。其中，192.168.1.103 是CA的IP地址。

(2) 点击“下载CA证书、证书链或CRL”链接，进入下载CA证书、证书链或 CRL页面，如图 29所示。

(3) 点击“请安装此 CA 证书链”链接，待页面显示“已成功安装 CA 证书链”后，根证书安装成功。

4.2 客户端证书

(1) 打开Internet Explorer浏览器，在地址栏中输入“http://192.168.1.103/certsrv/”，进入证书服务页面，如图 30所示。其中，192.168.1.103 是CA证书服务器的IP地址。

(2) 依次单击申请证书 > 高级证书申请 > 创建并向此 CA 提交一个申请菜单项菜单项，进入高级证书申请页面。

(3) 配置客户端证书申请，如图 31所示。

参数配置如下：

• 姓名：

²  如果申请的是用户证书，需要填入使用此证书的帐号名，如果帐号名在域内，还需要添加域名称。

²  如果申请的是计算机证书，需要填入使用此证书的计算机的计算机名。

• 需要的证书类型：选择“客户端身份验证证书”。

其他参数保持缺省值即可。

(4) 单击<提交>按钮，提交申请。

(5) 申请提交后，需要等待证书服务器管理员颁发证书。用户可以通过单击图 30中的“查看挂起的证书申请的状态”查看证书申请的当前状态。如图 32所示，为证书未颁发状态。

(6) 证书服务器管理员向您的证书申请授权后，在图 33中，点击“安装此证书”链接，按照提示信息安装。

(7) 页面显示“您的新证书已成功安装”，客户端证书安装完成。