《证书服务相关》由会员分享,可在线阅读,更多相关《证书服务相关(29页珍藏版)》请在金锄头文库上搜索。
1、证书教程: Server 2003 : 使用 SSL 协议有什么好处呢?SSL 安全协议工作在网络传输层,适用于HTTP,telnet,FTP 和 NNTP 等服务,不过 SSL 最广泛的应用还是 WEB 安全访问,如网上交易,政府办公等。本文将由笔者为各位读者介绍使用 SSL 加密协议建立 WWW 站点的全过程,为了保证技术的先进性我们介绍在 windows2003 的 IIS6 上建立 SSL 加密的方法,当然在windows2000 的 IIS5 上建立 SSL 加密步骤基本相同。一、先决条件:一、先决条件:要想成功架设 SSL 安全站点关键要具备以下几个条件。1、需要从可信的证书办法机
2、构 CA 获取服务器证书。2、必须在 WEB 服务器上安装服务器证书。3、必须在 WEB 服务器上启用 SSL 功能。4、客户端(浏览器端)必须同 WEB 服务器信任同一个证书认证机构,即需要安装CA 证书。二、准备工作:二、准备工作:在实施 SSL 安全站点之前需要我们做一些准备工作。第一步:默认情况下 IIS6 组件是安装在 windows2003 中的,如果没有该组件请自行安装。第二步:我们建立的 IIS 站点默认是使用 HTTP 协议的,打开浏览器在地址处输入“http:/本机 IP”(不含引号)就可以访问。(如图 1)图 1第三步:安装证书服务,通过控制面板中的添加/删除程序,选择添
3、加/删除 windows组件。在 windows 组件向导中找到“证书服务”,前面打勾后点“下一步”。(如图 2)图 2小提示:证书服务有两个子选项“证书服务 Web 注册支持”和“证书服务颁发机构(CA)”。为了方便这两个功能都需要安装。第四步:系统会弹出“安装证书服务后计算机名和区域成员身份会出现改变,是否继续”的提示,我们选“是”即可。(如图 3)图 3第五步:在 windows 组件向导 CA 类型设置窗口中选择独立根 CA。(如图 4)图 4第六步:CA 识别信息处的 CA 公用名称输入本地计算机的 IP 地址,如 10.91.30.45,其他设置保留默认信息即可。(如图 5)图 5
4、第七步:输入证书数据库等信息的保存路径,仍然选择默认位置系统目录的system32 下的 certlog 即可。(如图 6)图 6第八步:下一步后出现“要完成安装,证书服务必须暂时停止 IIS 服务”的提示。选择“是”后继续。(如图 7)图 7第九步:开始复制组件文件到本地硬盘。(如图 8)图 8第十步:安装过程中会出现缺少文件的提示,我们需要将 windows2003 系统光盘插入光驱中才能继续。(如图 9)图 9第十一步:继续复制文件完成 windows 组件的安装工作。(如图 10)图 10三、配置证书:三、配置证书:下面就要为各位读者介绍如何通过 IIS 证书向导配置我们需要的证书文件
5、。第一步:通过“管理工具”中的 IIS 管理器启动 IIS 编辑器。第二步:在默认网站上点鼠标右键选择“属性”。(如图 11)图 11第三步:在默认网站属性窗口中点“目录安全性”标签,然后在安全通信处点“服务器证书”按钮。(如图 12)图 12第四步:系统将自动打开 WEB 服务器证书向导。(如图 13)图 13第五步:服务器证书处选择“新建证书”,然后下一步继续。(如图 14)图 14第六步:延迟或立即请求处选择“现在准备证书请求,但稍后发送”。(如图 15)图 15第七步:设置证书的名称和特定位长,名称保持默认网站即可,在位长处我们通过下拉菜单选择 512。(如图 16)图 16小提示:位
6、长主要用于安全加密,位长越来则越安全,不过传输效率会受到一定的影响,网站性能也受影响。一般来说选择 512 已经足够了。第八步:输入单位信息,包括单位和部门。(如图 17)图 17第九步:在站点公用名称窗口输入 localhost。(如图 18)图 18第十步:地理信息随便填写即可。(如图 19)图 19第十一步:设置证书请求的文件名,我们可以将其保存到桌面以便下面步骤调用方便,保存的文件名为 certreq.txt。(如图 20)图 20第十二步:完成了 IIS 证书向导配置工作,并按照要求将相应的证书文件保存到桌面。(如图 21)图 21四、申请证书:四、申请证书:配置好 IIS 所需的证
7、书文件后就要根据该证书内容进行申请了。第一步:打开 IE 浏览器在地址栏中输入 http:/10.91.30.45/certsrv/打开证书服务界面。(服务器 IP 地址为 10.91.30.45)(如图 22)图 22第二步:点“申请一个证书”后继续。第三步:在申请证书界面选择“高级证书申请”。(如图 23)图 23第四步:在高级证书申请界面选择“使用 base64 编码的 CMC 或 PKCS #10 文件提交一个证书申请,或继订证书申请”。(如图 24)图 24第五步:用记事本打开上面保存在桌面上的那个 certreq.txt 文件,将里面的内容全部复制。(如图 25)图 25第六步:将
8、复制的全部内容粘贴到“提交一个证书申请或续订申请”界面,然后点“提交”按钮。(如图 26)图 26第七步:成功申请后出现证书挂起提示,说明证书申请已经收到,等待管理员通过申请认证。(如图 27)图 27至此我们就完成了证书的申请工作,下面要通过刚刚申请的证书认证。五、验证证书:五、验证证书:证书申请后还需要服务器的管理员手动颁发该证书才能使之生效。第一步:我们选择任务栏的“开始-程序-管理工具-证书颁发机构”。(如图 28)图 28第二步:在左边选项中找到“挂起的申请”。(如图 29)图 29第三步:查看右边的列表,刚才提交的证书申请赫然在目,在待申请的证书上单击鼠标右键,弹出菜单中有“所有任
9、务”一项,接着选择子项“颁发”。这时这个“待定申请”就会转移到“颁发的证书”下面。第四步:在“颁发的证书”下找到刚才那个证书,双击打开。并在“证书属性窗口”的详细信息标签中选择“复制到文件”。(如图 30)图 30第五步:在“证书导出向导”中,任意选择一种 CER 格式导出,比如“DER 编码二进制”并保存成文件。通过以上五步操作我们的 IIS 证书就通过了系统管理员的审核,下面就可以通过审核过的证书建立 SSL 加密站点了。六、配置六、配置 IIS 的的 SSL 安全加密功能安全加密功能我们再次来到 IIS 设置窗口中启用 SSL 安全加密功能。第一步:在默认网站属性窗口中点“目录安全性”标
10、签,然后在安全通信处点“服务器证书”按钮。第二步:挂起的证书请求窗口中选择“处理挂起的请求并安装证书”选项。(如图 31)图 31第三步:通过浏览按钮找到在验证证书第五步中通过证书导出向导刚刚保存的 DER编码格式的文件。(如图 32)图 32第四步:这时我们就可以设置 SSL 参数了,在安全通信属性中将”要求安全通道 SSL”前打上对勾,从而启用了 IIS 站点的 SSL 加密功能。(如图 33)图 33第五步:再次来到默认网站属性中的网站标签,可以看到 SSL 端口已经配置了端口信息443。(如图 34)图 34至此我们就完成了 SSL 加密站点的配置工作,客户端访问服务器的 IIS 网站
11、时所浏览的信息是通过加密的,是非常安全的。七、浏览七、浏览 SSL 加密站点:加密站点:服务器上设置完 SSL 加密站点功能后我们在客户机上通过浏览器访问该站点时就会弹出一个“安全警报”窗口。(如图 35)只有信任该证书后才能够正常浏览网站信息。(如图36)图 36小提示:在访问通过 SSL 加密的站点时所输入的地址应该以 https:/开头,例如本文中应该使用 https:/10.91.30.45。如果仍然那使用 http:/10.91.30.45 则会出现“该网页必须通过安全频道查看,您要查看的网页要求在地址中使用“https“。禁止访问:要求 SSL”的提示。总结:总结:本文介绍的步骤是
12、建立在 windows2003+iis6 的基础上的,对于 windows2000 Server 或者 Windows 2000 Advance Server 也是可以在 IIS5 基础上建立 SSL 加密功能的,设置步骤基本类似。如果你使用的是 Windows 2000 Professional 版本就不用阅读本文了,因为这个版本不支持 IIS 的 SSL 访问。转自:http:/ win7 教程教程: 要想成功架设 SSL 安全站点关键要具备以下几个条件。1、需要从可信的证书办法机构 CA 获取服务器证书。 2、必须在 WEB 服务器上安装服务器证书。 3、必须在 WEB 服务器上启用 S
13、SL 功能。 4、客户端(浏览器端)必须同 WEB 服务器信任同一个证书认证机构,即需要安装 CA 证书。下面,我们对照上面的四部,进行一步一步的操作1:需要从可信的证书办法机构 CA 获取服务器证书(由于我们是在本地做测试环境,而不是实际操作。所以这里我们自己创建一个证书。如果是实际的操作,需要通过域名商,来获取一个证书,这是要花钱的。)2:必须在 WEB 服务器上安装服务器证书。 打开 IIS,找到服务器证书、点击创建自签名证书输入你要创建的证书的名字,我这里取名 joeyssl3、必须在 WEB 服务器上启用 SSL 功能。接下来,我们新建一个本地测试站点,并且绑定刚才我们创建的证书。打
14、开 hosts 文件,用于创建一个站点的名称(例如 http:/webjoeyssl 那么这个 webjoeyssl 就是我们需要创建的站点名称,我用 hosts 解析为本地)C:WindowsSystem32driversetc在 IIS 里面绑定目录,绑定 http 和 https在添加的时候,绑定类型,先选择 http 的类型,虽然这里有 https,但是还是首先要保证能通过 http 能访问网站,毕竟大部分的人都是通过 http 来打开站点的,只是在某些特别需要加密的地方用到 https,我们下一步会绑定 https 的,这里先不急,除非你整个站点都是 https 运用,那么这里才只选
15、择 https。上面的测试,已经能保证上面的测试,已经能保证 http:/webjoeyssl 以及以及https:/webjoeyssl 都可以打开网站了。都可以打开网站了。当然我们也可以强行设置必须要通过 ssl 才能访问站点(此时,只有 https 才能访问,而http 就无法访问了)但是这样会出现一点问题,你访问 http:/webjoeyssl ,浏览器会报错4:客户端(浏览器端)必须同 WEB 服务器信任同一个证书认证机构,即需要安装 CA 证书。我们打开 http:/webjoeyssl/ 或者是 https:/webjoeyssl/ 会提示不安全,点击继续浏览即可。在实际的环境
16、中,你拿到的是一个实际的证书,所以不会产生类似的报告安全证书有问题、转自 http:/ 如果证书服务无法正常通过站点申请,可以选择自定义导入 pfx 证书。如何制作.pfx 数字证书:打开 vs2012 自带的 vs toos 菜单下的命令窗口, 输入 makecert help 查看帮助说明makecert 命令详解: http:/ 详细操作步骤如下:1、创建一个自己签署的 X.509 证书.cer 和一个私钥文件.pvk,命令如下:makecert -r -n “CN=XYZ Company“ -b 01/01/2012 -e 01/01/2018 -sv myselfName.pvk myselfName.cer注意:
