獲取客戶端證書
可以使用此過程獲取與 HTTPS 消息一起使用的客戶端證書。可以將客戶端證書與 HTTPS 消息一起使用進行消息身份驗證和消息加密。
在證書頒發機構 MMC 管理單元中添加到證書管理器角色的組中的成員身份或等效身份是完成此過程的最低要求。默認情況下,<Domain>\Domain Admins 和 <Domain>\Enterprise Admins 組被添加到證書頒發機構 MMC 管理單元中的證書管理器角色。
獲取客戶端證書的步驟
在 Web 瀏覽器中,打開 http://<servername>/certsrv 中用于從 CA 申請證書的表格,其中<servername>是要訪問的 CA 所在的 Web 服務器的名稱。
單擊“申請一個證書”,單擊“高級證書申請”,然后單擊“創建并向此 CA 提交一個申請”。
鍵入請求的信息并選擇任何其他所需的選項,包括:
選擇“證書模板”下的“用戶”選項。
選擇“自動密鑰容器名稱”選項。
選擇“標記密鑰為可導出”。
單擊“提交”,然后執行下列操作之一:
如果看到“證書已頒發”網頁,單擊“安裝此證書”。
如果看到“證書正在掛起”網頁,請求 CA 管理員從證書頒發機構 MMC 管理單元頒發證書,然后返回證書請求網頁并安裝證書。
如果您已用完“證書服務”網頁,請關閉 Internet Explorer。
驗證客戶端證書是否有效以及是否位于正確證書存儲區中的步驟
打開本地計算機帳戶的“證書”管理單元。依次單擊“開始”、“運行”,鍵入 mmc,然后單擊“確定”。在“文件”菜單上,單擊“添加/刪除管理單元”,從可用管理單元列表中選擇“證書”,然后單擊“添加”。選擇“計算機帳戶”,單擊“下一步”,選擇“本地計算機(在其上運行此控制臺的計算機)”,單擊“完成”,然后單擊“確定”。
找到“證書(本地計算機)”下“個人”存儲區中安裝的客戶端證書,然后雙擊該證書驗證它。單擊“證書”對話框的“證書路徑”選項卡,以查看證書狀態。
將證書復制到 MSMQ 證書存儲區的步驟
在為當前用戶打開“證書”管理單元的同一 MMC 控制臺中打開消息隊列服務帳戶的“證書”管理單元。在“文件”菜單上,單擊“添加/刪除管理單元”,從可用管理單元列表中選擇“證書”,然后單擊“添加”。選擇“服務帳戶”,單擊“下一步”,選擇“本地計算機(在其上運行此控制臺的計算機)”,然后單擊“下一步”。在“服務帳戶”中,選擇“消息隊列”,單擊“完成”,然后單擊“確定”。
找到“證書(本地計算機)”下“個人”存儲區中安裝的客戶端證書。
位置:
控制臺根節點/證書(本地計算機)/個人/證書
按住鍵盤上的 Ctrl 鍵并使用鼠標拖動證書,將其復制到“證書”管理單元中“證書 - 本地計算機上的服務(消息隊列)”下的“MSMQ\個人”存儲區中。
位置:
控制臺根節點/證書 - 本地計算機上的服務(消息隊列)/MSMQ\個人
其他注意事項
若要檢查掛起的證書請求,請在 CA 網頁中單擊“查看掛起的證書申請的狀態”。如果看到掛起的證書,請選擇要檢查的證書請求,然后單擊“下一步”。如果狀態為“仍然掛起”,則必須等待 CA 管理員頒發證書。如果狀態為“已頒發”,若要安裝證書,請單擊“安裝此證書”。如果狀態為“已拒絕”,請與 CA 管理員聯系以了解詳細信息。
注意,在請求客戶端證書之前,可能需要將 CA 網頁設為 Internet Explorer 的受信任站點。為此,請在 Internet Explorer 中的“工具”菜單上,單擊“Internet 選項”。在“安全”選項卡上,單擊“受信任的站點”,然后單擊“站點”。清除“該區域中的所有站點都需要驗證(https:)”復選框。鍵入 http://<servername>(其中<servername> 是承載 CA 注冊網頁的服務器的占位符),然后單擊“添加”。
在接收計算機本地不必有客戶端證書,但接收計算機必須能夠訪問客戶端證書。
【編輯推薦】
