可以使用此过程获取与 HTTPS 消息一起使用的客户端证书。可以将客户端证书与 HTTPS 消息一起使用进行消息身份验证和消息加密。
在证书颁发机构 MMC 管理单元中添加到证书管理器角色的组中的成员身份或等效身份是完成此过程的最低要求。默认情况下,<Domain>\Domain Admins 和 <Domain>\Enterprise Admins 组被添加到证书颁发机构 MMC 管理单元中的证书管理器角色。
获取客户端证书的步骤
在 Web 浏览器中,打开 http://<servername>/certsrv 中用于从 CA 申请证书的表格,其中<servername>是要访问的 CA 所在的 Web 服务器的名称。
单击“申请一个证书”,单击“高级证书申请”,然后单击“创建并向此 CA 提交一个申请”。
键入请求的信息并选择任何其他所需的选项,包括:
选择“证书模板”下的“用户”选项。
选择“自动密钥容器名称”选项。
选择“标记密钥为可导出”。
单击“提交”,然后执行下列操作之一:
如果看到“证书已颁发”网页,单击“安装此证书”。
如果看到“证书正在挂起”网页,请求 CA 管理员从证书颁发机构 MMC 管理单元颁发证书,然后返回证书请求网页并安装证书。
如果您已用完“证书服务”网页,请关闭 Internet Explorer。
验证客户端证书是否有效以及是否位于正确证书存储区中的步骤
打开本地计算机帐户的“证书”管理单元。依次单击“开始”、“运行”,键入 mmc,然后单击“确定”。在“文件”菜单上,单击“添加/删除管理单元”,从可用管理单元列表中选择“证书”,然后单击“添加”。选择“计算机帐户”,单击“下一步”,选择“本地计算机(在其上运行此控制台的计算机)”,单击“完成”,然后单击“确定”。
找到“证书(本地计算机)”下“个人”存储区中安装的客户端证书,然后双击该证书验证它。单击“证书”对话框的“证书路径”选项卡,以查看证书状态。
将证书复制到 MSMQ 证书存储区的步骤
在为当前用户打开“证书”管理单元的同一 MMC 控制台中打开消息队列服务帐户的“证书”管理单元。在“文件”菜单上,单击“添加/删除管理单元”,从可用管理单元列表中选择“证书”,然后单击“添加”。选择“服务帐户”,单击“下一步”,选择“本地计算机(在其上运行此控制台的计算机)”,然后单击“下一步”。在“服务帐户”中,选择“消息队列”,单击“完成”,然后单击“确定”。
找到“证书(本地计算机)”下“个人”存储区中安装的客户端证书。
位置:
控制台根节点/证书(本地计算机)/个人/证书
按住键盘上的 Ctrl 键并使用鼠标拖动证书,将其复制到“证书”管理单元中“证书 - 本地计算机上的服务(消息队列)”下的“MSMQ\个人”存储区中。
位置:
控制台根节点/证书 - 本地计算机上的服务(消息队列)/MSMQ\个人
其他注意事项
若要检查挂起的证书请求,请在 CA 网页中单击“查看挂起的证书申请的状态”。如果看到挂起的证书,请选择要检查的证书请求,然后单击“下一步”。如果状态为“仍然挂起”,则必须等待 CA 管理员颁发证书。如果状态为“已颁发”,若要安装证书,请单击“安装此证书”。如果状态为“已拒绝”,请与 CA 管理员联系以了解详细信息。
注意,在请求客户端证书之前,可能需要将 CA 网页设为 Internet Explorer 的受信任站点。为此,请在 Internet Explorer 中的“工具”菜单上,单击“Internet 选项”。在“安全”选项卡上,单击“受信任的站点”,然后单击“站点”。清除“该区域中的所有站点都需要验证(https:)”复选框。键入 http://<servername>(其中<servername> 是承载 CA 注册网页的服务器的占位符),然后单击“添加”。
在接收计算机本地不必有客户端证书,但接收计算机必须能够访问客户端证书。
【编辑推荐】