WindowsServer上使用IIS搭建WEB服务器CA数字证书应用图解全Word格式.docx
《WindowsServer上使用IIS搭建WEB服务器CA数字证书应用图解全Word格式.docx》由会员分享,可在线阅读,更多相关《WindowsServer上使用IIS搭建WEB服务器CA数字证书应用图解全Word格式.docx(24页珍藏版)》请在冰豆网上搜索。
3、点击【添加角色】,之后点击【下一步】;
(图3)
4、找到【ActiveDirectory证书服务】勾选此选项,之后点击【下一步】;
(图4)
5、进入证书服务简介界面,点击【下一步】;
(图5)
6、将证书颁发机构、证书颁发机构WEB注册勾选上,然后点击【下一步】;
(图6)
7、勾选【独立】选项,点击【下一步】;
(由于不在域管理中创建,直接默认为:
“独立”)
(图7)
8、首次创建,勾选【根CA】,之后点击【下一步】;
(图8)
9、首次创建勾选【新建私钥】,之后点击【下一步】;
(图9)
10、默认,继续点击【下一步】;
(图10)
11、默认,继续点击【下一步】;
(图11)
12、默认,继续点击【下一步】;
(图12)
13、默认,继续点击【下一步】;
(图13)
14、点击【安装】;
(图14)
15、点击【关闭】,证书服务器安装完成;
(图15)
WindowsServer2008上使用IIS如何配置WEB服务器上证书应用(SSL应用)?
此应用用于提高WEB站点的安全访问级别;
配置后应用站点可实现安全的服务器至客户端的信道访问;
此信道将拥有基于SSL证书加密的HTTP安全通道,保证双方通信数据的完整性,使客户端至服务器端的访问更加安全;
以证书服务器创建的WEB站点为示例,搭建WEB服务器端SSL证书应用步骤如下:
1、打开IIS,WEB服务器,找到【服务器证书】并选中;
(图1)
2、点击【服务器证书】,找到【创建证书申请】项;
3、单击【创建证书申请】,打开【创建证书申请】后,填写相关文本框,填写中需要注意的是:
“通用名称”必需填写本机IP或域名,其它项则可以自行填写;
注:
下面的192.168.1.203为示例机IP地址,实际IP地址需根据每人主机IP自行填写;
填写完后,单击【下一步】;
4、默认,点击【下一步】
;
5、选择并填写需要生成文件的保存路径与文件名,此文件后期将会被使用;
(保存位置、文件名可以自行设定),之后点击【完成】,此配置完成,子界面会关闭;
6、接下来,点击IE(浏览器),访问:
http:
//192.168.1.203/certsrv/;
此处的192.168.1.203为示例机IP地址,实际IP地址需根据每人主机IP自行填写;
(图6-1)
此时会出现证书服务页面;
此网站如果点击【申请证书】,进入下一界面点击【高级证书申请】,进入下一界面点击【创建并向此CA提交一个申请】,进入下一界面,此时会弹出一个提示窗口:
“为了完成证书注册,必须将该CA的网站配置为使用HTTPS身份验证”;
也就是必须将HTTP网站配置为HTTPS的网站,才能正常访问当前网页及功能;
(图6-2)
在进行后继内容前,相关术语名词解释:
HTTPS(全称:
HypertextTransferProtocoloverSecureSocketLayer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。
即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。
它是一个URIscheme(抽象标识符体系),句法类同http:
体系。
用于安全的HTTP数据传输。
https:
URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。
这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
SSL(SecureSocketsLayer安全套接层),及其继任者传输层安全(TransportLayerSecurity,TLS)是为网络通信提供安全及数据完整性的一种安全协议。
TLS与SSL在传输层对网络连接进行加密。
至此,我们需要搭建一个HTTPS网站,即搭建WEB服务器的SSL应用;
7、如何搭建HTTPS的网站呢?
前期回顾:
证书服务已搭建,用于创建SSL的加密服务;
使用证书服务器的WEB网站时,提示需要将证书WEB站点配置为HTTPS网站才能正常使用;
我们继续以证书服务器的搭建为示例,完成WEB服务器的SSL应用搭建;
8、接下来,由于搭建HTTPS需要先申请证书,但现在证书服务网站也需要配置为HTTPS才能正常使用,那
么在证书网站还未配置为HTTPS服务前我们如何申请证书?
方法如下:
方法:
打开IE(浏览器),找到工具栏,点击【工具栏】,找到它下面的【Internet选项】;
9、点击【Internet选项】->
点击【安全】->
点击【可信站点】;
10、点击【可信站点】,并输入之前的证书网站地址:
//192.168.1.203/certsrv,并将其【添加】到信任站点中;
添加完后,点击【关闭】,关闭子界面;
11、接下来,继续在【可信站点】位置点击【自定义级别】,此时会弹出一个【安全设置】子界面,在安全设置界面中拖动右别的滚动条,找到【对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本】选项,将选为【启用】;
之后点击所有【确定】操作,直到【Internet选项】子界面关闭为止;
12、完成上面操作后,先将IE关闭,然后重新打开,输入:
//192.168.1.203/certsrv;
页面出来后点击【申请证书】;
13、点击【高级证书申请】
14、点击【使用base64编码的CMC或PKCS#10文件提交一个证书申请,或使用Base64编码的PKCS#7文件续订证书申请】
(图14)
15、将之前保存的密钥文档文件找到并打开,将里面的文本信息复制并粘贴到“Base-64编码的证书申请”文本框中;
确定文本内容无误后,点击【提交】;
(图15-1)
(图15-2)
16、此时可以看到提交信息,申请已经提交给证书服务器,关闭当前IE;
(图16)
17、打开证书服务器处理用户刚才提交的证书申请;
回到Windows【桌面】->
点击【开始】->
点击【运行】,在运行位置输入:
certsrv.msc,然后回车就会打开证书服务功能界面;
打开后,找到【挂起的申请】位置,可以看到之前提交的证书申请;
(图17)
18、点击鼠标右键会出现【所有任务】,点击【所有任务】->
点击【颁发】将挂起的证书申请审批通过,此时挂起的证书会从当前界面消失,即代表已完成操作;
(图18)
19、点击【颁发的证书】,可以看到新老已审批通过的证书;
其它操作(吊销的证书、失败的申请)在此略掉,大家有空可以自己试用;
(图19)
20、重新打开IE,输入之前的网址:
打开页面后,可点击【查看挂起的证书申请的状态】;
之后会进入“查看挂起的证书申请的状态”页面,点击【保存的申请证书】;
(图20)
21、进入新页面后,勾选Base64编码,然后点击【下载证书】,将已申请成功的证书保存到指定位置,后续待用;
(图21)
22、打开IIS服务器,点击【服务器证书】->
【完成证书申请】->
选择刚保存的证书,然后在“好记名称”文本框中输入自定义的名称,完后点击【确定】;
(图22)
23、上述操作完后,可在“服务器证书”界面下看到“JZT_TEST1”证书;
(图23)
24、点击左边的【DefaultWebSite】菜单,然后找到【绑定】功能,点击【绑定】功能,会弹出【网站绑定】界面,默认会出现一个类型为http,端口为80的主机服务,然后点击【添加】,会弹出【添加网站绑定】界面,在此界面中选择“类型:
https”、“SSL证书:
JZT_TEST1”,然后点【确定】;
点完确定后,会看到【网站绑定】子界面中有刚配的HTTPS服务,点击【关闭】,子界面消失;
(图24)
25、点击左菜单上的【CertSrv】证书服务网站,然后点击【SSL设置】;
(图25)
26、进入SSL设置页面,勾选上“要求SSL”即启用SSL功能,然后点击【应用】,保存设置;
(图26)
27、此时一个基于SSL应用的WEB服务器站点已配置完成;
让我们用IE试下SSL的应用;
首先,将我们之前为了申请证书而开放的【可信站点】的设置还原;
在IE的【可信站点】的【自定义级别】选项中【对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本】选项,由“启用”改为【禁用】即可;
然后关闭IE,再重新打开并输入:
//192.168.1.203;
此时会出现:
“IIS7”字样的页面,如果出现此页面,恭喜你SSL配置已成功!
反之则有问题,从上到下把操作说明和自己的操作过程比对检查看是否正确;
(有问题别看我,我的示例可是没问题的^_^,自己耐心再检查下!
)
至此:
WEB服务器上配置基于SSL证书应用的安全站点(HTTPS站点)操作已全部完成;
(图27)
(图28)