3  服务器申请和安装证书

为了使UAM服务器具备证书认证能力，需要将根证书和服务器证书文件导入到UAM服务器中。证书文件的获取方式如下：

·     根证书文件：直接下载。

·     服务器证书文件：无法直接下载。先将服务器证书安装到服务器的操作系统中，然后从操作系统中导出服务器证书文件。

3.1  根证书

(1)     打开Internet Explorer浏览器，在地址栏中输入“http://192.168.1.103/certsrv/”，进入Microsoft Active Directory证书服务页面，如图1所示。其中，192.168.1.103是CA的IP地址。

图1 证书服务

(2)     点击“下载CA证书、证书链或CRL”链接，进入下载 CA 证书、证书链或 CRL页面，如图2所示。

图2 下载CA证书

(3)     点击“下载CA证书”链接，按提示信息将证书保存至本地，根证书申请完成。

3.2  服务器证书

(1)     打开Internet Explorer浏览器，在地址栏中输入“http://192.168.1.103/certsrv/”，进入证书服务页面，如图3所示。其中，192.168.1.103是CA证书服务器的IP地址。

图3 证书服务

依次单击申请证书 > 高级证书申请 > 创建并向此CA提交一个申请菜单项，进入高级证书申请页面。

(2)     配置服务器证书申请，如图4所示。

图4 服务器证书申请

参数配置如下：

·     姓名：填写“Server”。

·     需要的证书类型：选择“服务器身份验证证书”。

·     CSP：选择“Microsoft Enhanced RSA and AES Cryptographic Provider(Prototype)”。

·     勾选“标记密钥可导出”，将证书设为可导出状态。

其他参数保持缺省值即可。

(3)     单击<提交>按钮，提交申请。

(4)     申请提交后，需要等待证书服务器管理员颁发证书。用户可以通过单击图3中的“查看挂起的证书申请的状态”查看证书申请的当前状态。

(5)     证书服务器管理员向您的证书申请授权后，在图5中，点击“安装此证书”链接，按照提示信息安装。

图5 证书已颁发

(6)     页面显示“您的新证书已成功安装”，客户端证书安装完成，如图6所示。

图6 证书已安装

3.3  将根证书和服务器证书导入iMC服务器

根证书已经下载完成，具体请参见3.1  根证书。

由于申请服务器证书时，无法下载服务器证书，而只能直接安装服务器证书到服务器的操作系统中，因此UAM还不具备证书认证的能力。必须将服务器证书从操作系统中导出，并导入到UAM中，才能使UAM具备证书认证的能力。

3.3.1  从Windows中导出服务器证书

(1)     在服务器证书颁发成功页面，选择浏览器上[工具/Internet选项]，进入Internet选项页面，如图7所示。

图7 Internet选项

(2)     选择“内容”页签，单击<证书>按钮，进入证书页面，如图8所示。

图8 导出证书

(3)     选择需要导出的服务器证书，单击<导出>按钮，进入证书导出向导，如图9所示。

图9 证书导出向导

(4)     单击<下一步>按钮，进入导出私钥页面。选择“是，导出私钥”，如图10所示。

图10 导出私钥

(5)     单击<下一步>按钮，进入导出文档格式页面，如图11所示。

图11 导出文件格式

(6)     证书存放格式保存缺省即可，单击<下一步>按钮，设置私钥密码，如图12所示。

图12 私钥密码

(7)     单击<下一步>按钮，设置私钥存放路径，如图13所示。

图13 要导出的文件

(8)     单击<完成>按钮，服务器证书导出成功。

图14 导出成功

3.3.2  导入到iMC服务器

1. iMC UAM 7.0 (E0103）及之前版本的导入过程

(1)     登录iMC。

(2)     选择“用户”页签。

(3)     单击导航树中的“接入策略管理 > 业务参数配置 > 证书配置”菜单项，进入证书配置页面，如图15所示。

图15 证书配置

(4)     点击证书校验中EAP证书配置的链接，进入根证书配置页面，如图16所示。

(5)     单击<选择文件>按钮，选择根证书存放位置。

图16 选择文件

(6)     单击<下一步>按钮，进入CRL配置页面，如图17所示。

图17 CRL配置

(7)     这里不进行CRL设置，直接单击<下一步>按钮，配置服务器证书页面，如图18所示。

图18 配置服务器证书

(8)     勾选“服务器证书和私钥在同一个文件”，单击<选择文件>按钮，选择导出的服务器证书文件。单击<下一步>按钮，输入服务器私钥密码（私钥密码是导出服务器证书时，设置的私钥密码），如图19所示。

图19 服务器私钥密码

(9)     输入正确的服务器私钥密码后，单击<下一步>按钮，显示CRL配置，单击<确定>按钮，iMC导入根证书和服务器证书操作完成。iMC服务器具备了证书认证的能力。

图20 CRL配置

2. iMC UAM 7.0 (E0201)及之后版本导入过程

(1)     登录iMC。

(2)     选择“用户”页签。

(3)     单击导航树中的“接入策略管理 > 业务参数配置 > 证书配置”菜单项，进入证书配置页面，如图21所示。

图21 证书配置

(4)     单击根证书配置下的<导入EAP根证书>按钮，进入导入根证书页面，如图22所示。

(5)     单击<选择文件>按钮，选择根证书存放位置。

图22 选择文件

(6)     单击<下一步按钮，进入CRL配置页面，如图23所示。

图23 CRL配置

(7)     单击<确定>按钮，根证书导入完成。

图24 根证书导入完成

(8)     单击服务器证书配置下的<导入EAP服务器证书>按钮，进入导入服务器证书页面，如图25所示。

图25 配置服务器证书

(9)     勾选“服务器证书和私钥在同一文件”。单击<选择文件>按钮，选择导出的服务器证书文件，如图26所示。

图26 配置服务器证书

(10)     单击<下一步>按钮，输入服务器私钥密码（私钥密码是导出服务器证书时，设置的私钥密码），如图27所示。

图27 服务器私钥密码

(11)     单击<确定>按钮，iMC导入服务器证书操作完成。至此，iMC服务器具备了证书认证的能力。

4  客户端申请和安装证书

4.1  根证书

(1)     打开Internet Explorer浏览器，在地址栏中输入“http://192.168.1.103/certsrv/”，进入证书服务页面，如图28所示。其中，192.168.1.103是CA的IP地址。

图28 证书服务

(2)     点击“下载CA证书、证书链或CRL”链接，进入下载CA证书、证书链或 CRL页面，如图29所示。

图29 下载CA证书

(3)     点击“请安装此CA证书链”链接，待页面显示“已成功安装CA证书链”后，根证书安装成功。

4.2  客户端证书

(1)     打开Internet Explorer浏览器，在地址栏中输入“http://192.168.1.103/certsrv/”，进入证书服务页面，如图30所示。其中，192.168.1.103是CA证书服务器的IP地址。

图30 证书服务

(2)     依次单击申请证书 > 高级证书申请 > 创建并向此CA提交一个申请菜单项菜单项，进入高级证书申请页面。

(3)     配置客户端证书申请，如图31所示。

图31 客户端证书申请

参数配置如下：

·     姓名：

¡     如果申请的是用户证书，需要填入使用此证书的帐号名，如果帐号名在域内，还需要添加域名称。

¡     如果申请的是计算机证书，需要填入使用此证书的计算机的计算机名。

·     需要的证书类型：选择“客户端身份验证证书”。

其他参数保持缺省值即可。

(4)     单击<提交>按钮，提交申请。

(5)     申请提交后，需要等待证书服务器管理员颁发证书。用户可以通过单击图30中的“查看挂起的证书申请的状态”查看证书申请的当前状态。如图32所示，为证书未颁发状态。

图32 证书正在挂起

(6)     证书服务器管理员向您的证书申请授权后，在图33中，点击“安装此证书”链接，按照提示信息安装。

图33 证书已颁发

(7)     页面显示“您的新证书已成功安装”，客户端证书安装完成。

图34 证书已安装