server https配置.docx

server https配置.docx

《server https配置.docx》由会员分享，可在线阅读，更多相关《server https配置.docx（16页珍藏版）》请在冰豆网上搜索。

serverhttps配置

1.HTTP数据传输过程

WWW服务是目前网络中最受欢迎的网络服务之一，它由Web服务器、Web浏览器以及通信协议三部

分组成。

而WWW服务使用最多的就是HTTP（HyperTextTransferProtocol，超文本传输协议），因此当

用户浏览网页时可以在地址栏看到诸如形式的网址，其中最前面的“http”就

表明该网站是基于HTTP的。

使用HTTP在Web服务器和Web浏览器之间传输数据时，HTTP首先将Web浏览器的

访问申请转换为TCP/IP支持的格式并将该申请发送给Web服务器。

Web服务器通过TCP/IP接收到Web浏览器

的申请后将应答信息交给HTTP，HTTP经过处理返回给Web浏览器。

在这个传输过程中数据采用明文传输，

因此很容易被黑客侦听和窃取。

由此可见，用HTTP在Internet上传输数据是很不安全的。

2.HTTPS应运而生

随着Internet的日益商业化和社会化，人们对Internet的信息安全性给予了很大的关注，尤其在网上

购物、网上银行、商业通信等敏感服务方面更是如此。

为了提高HTTP传输数据的安全性，Netscape（网景

公司）开发了SSL（SecureSocketLayer，安全套接字层）协议以确保数据在网络上的安全传输。

SSL的

作用就是对数据进行加密，利用SSL协议可以实现加密的http传输，这就是用户今天讨论的主角HTTPS（即

SSLoverHTTP）。

使用HTTPS在网络进行数据传输时，数据发送方首先把数据包交给SSL协议进行加密，然后把加密后的

数据包交给HTTP传输给数据接收方。

数据接收方接收到加密后的数据包后并不能立即读取，而必须交由

SSL协议将其解密成明文。

在上述数据传输过程中，数据包是以密文的形式在网络上进行传输的。

没有合

法证书的用户无法解密这些密文，因此数据的安全性非常高。

提示：

SSL是HTTPS的灵魂，HTTPS的安全性来源于SSL加密算法。

目前SSL使用一个由Diffle和

Hellman提出的称为“公开密钥算法”的密码技术。

此技术基于所谓的密钥对，由两个不同的密钥构成一

个密钥对。

如果使用密钥对的一个密钥加密数据，它就只能用密钥对的另一个密钥解密。

密钥对中的一个

密钥是公开的，供用户用来加密数据，另一个则是私有的，用来解密用公开密钥加密的数据。

借助HTTPS可以保证Web站点的访问安全，以WindowsServer2003（SP1）系统为例，下面具体谈一谈

实现方法。

证书服务器用于向Web站点发放证书，默认情况下WindowsServer（SP1）系统没有安装证书服务器，因此需要进行手动安装，操作步骤如下所述：

   Step1在“控制面板”窗口中双击【添加或删除程序】选项，打开“添加或删除程序”窗口。

然后在左窗格中单击【添加/删除Windows组件】按钮，打开“Windows组件向导”对话框。

   Step2在“组件”列表中找到并选中【证书服务】选项，然后单击【详细信息】按钮，在打开的“证书服务”对话框中选中【证书服务Web注册支持】和【证书服务颁发机构（CA）】复选框。

依次单击【确定】→【下一步】按钮，如图9-76所示。

图9-76“证书服务”对话框

   Step3在打开的“CA类型”对话框中选中【独立根（CA）】单选钮，单击【下一步】按钮，如图9-77所示。

图9-77选择CA类型

   Step4打开“CA识别信息”对话框，输入CA名称等标识信息（如“安全站点”）。

在【有效期限】编辑框中设置CA识别信息的有效期限，单击【下一步】按钮，如图9-78所示。

图9-78设置CA识别信息

   Step5打开“证书数据库设置”对话框，建议保持默认路径，并依次单击【下一步】→【完成】按钮。

提示：

在安装过程中系统会提示安装向导将停止IIS服务，单击【是】按钮停止继续安装。

如果IIS当前没有启用ASP支持，想到将提示用户启用ASP。

单击【是】按钮将继续安装。

另外在复制文件的过程中会要求用户提供Windows2000Server安装光盘或指定安装源，并且在完成安装后证书服务会自动启动。

   Step6在开始菜单中依次单击【管理工具】→【证书颁发机构】菜单项，打开“证书颁发机构”窗口。

在左窗中右键单击【安全站点】（即证书服务标识）目录，依次选择【所有任务】→【启动服务】命令启动证书服务，如图9-79所示。

现在证书服务器已经可以为Web站点提供证书发放服务了，不过如果Web服务器没有提出申请证书的要求，证书服务器决不会为其主动提供证书。

因此需要为Web服务器申请证书，操作步骤如下所述：

   Step1在开始菜单中依次单击【管理工具】→【Internet信息服务（IIS）管理器】菜单项，打开“Internet信息服务”窗口。

在左窗格中右键单击Web站点名称（如“默认网站”），选择【属性】命令，打开“默认Web站点属性”对话框。

切换到【目录安全性】选项卡，单击【服务器证书】按钮。

进入Web服务器证书向导，单击【下一步】按钮，如图9-80所示。

图9-80单击【服务器证书】按钮

   Step2打开“服务器证书”对话框，由于是第一次使用证书向导，因此应该选中【新建证书】单选钮，并单击【下一步】按钮，如图9-81所示。

图9-81选中【新建证书】单选钮

   Step3在打开的“延迟或立即请求”对话框中保持【现在准备请求，但稍后发送】单选钮的选中状态，并单击【下一步】按钮。

   Step4打开“名称和安全性设置”对话框，在【名称】编辑框中输入证书的名称。

【位长】保持默认值，单击【下一步】按钮，如图9-82所示。

图9-82“名称和安全性设置”对话框

   Step5在接着打开的“单位信息”对话框中设置Web站点的所属单位和部门信息，建议输入真实有效的信息，单击【下一步】按钮，如图9-83所示。

图9-83“单位信息”对话框

   Step6打开“站点公用名称”对话框后直接单击【下一步】按钮，打开“地理信息”对话框。

设置合适的地理位置信息并单击【下一步】按钮，如图9-84所示。

图9-84“地理信息”对话框

   Step7打开“证书请求文件名”对话框，单击【浏览】按钮指定证书申请文件的保存位置和文件名称（也可以使用默认值，但一定要记住，以备后用）。

依次单击【下一步】→【完成】按钮完成服务器证书的申请，如图9-85所示。

图9-85“证书请求文件名”对话框

为Web服务器申请证书的要求虽然已经提出，但尚未提交给证书服务器进行处理。

现在需要登录到证书服务器提交Web服务器发出的证书申请，操作步骤如下所述：

   Step1在IE浏览器地址栏中输入证书服务器地址（本例证书服务器IP地址为10.115.223.8）http:

//10.115.223.8/CertSrv/default.asp并回车，进入证书服务Web页。

在“欢迎”页面中单击【申请一个证书】超链接，如图9-86所示。

图9-86单击【申请一个证书】超链接

   Step2打开“申请一个证书”Web页，单击【高级证书申请】超链接，并单击【下一步】按钮，如图9-87所示。

图9-87单击【高级证书申请】超链接

   Step3打开“高级证书申请”Web页，单击【使用base64编码的PKCS#10文件提交一个证书申请，或使用base64编码的PKCS#7文件更新证书申请】超链接，并单击【下一步】按钮，如图9-88所示。

图9-88“高级证书申请”Web页

   Step4在打开的“提交一个证书申请或续交申请”Web页中，找到并打开事先保存的证书申请文件（也就是前面的步骤中提示要记住的文件），并将内容粘贴到“Base64编码证书申请（PKCS #10或#7）”文本框中。

最后单击【提交】按钮，如图9-89所示。

图9-89“提交一个证书申请或续交申请”Web页

   Step5系统提示证书挂起，要求用户等待管理员颁发所申请的证书，如图9-90所示。

图9-90证书挂起

完成提交的证书已经暂时挂起，Web服务器等待证书服务器同意该申请并为自己颁发证书。

证书服务器颁发证书的操作步骤如下所述：

   Step1在开始菜单中依次单击【管理工具】→【证书颁发机构】菜单项，打开“证书颁发机构”窗口。

在左窗格中展开CA根证书服务器目录，选中【挂起的申请】选项，可以在右窗格中看到刚才提交的证书申请。

选中该申请，然后依次单击【操作】→【所有任务】→【颁发】菜单命令即可颁发证书，如图9-91所示。

图9-91单击【颁发】命令

   Step2在左窗格中单击【颁发的证书】目录可以在右窗格中看到刚刚颁发的新证书。

双击该证书，打开“证书”对话框。

切换到【详细信息】选项卡，单击【复制到文件】按钮，进入“证书导出向导”。

单击【下一步】按钮，如图9-92所示。

图9-92单击【复制到文件】按钮

   Step3打开“导出文件格式”对话框，保持【DER编码二进制X.509（.CER）】单选钮的选中状态，并单击【下一步】按钮。

在打开的“要导出的文件”对话框中指定导出文件的存储路径和文件名（请务必将该文件名和路径记下来，以备后用）。

依次单击【下一步】→【完成】按钮完成证书的导出，如图9-93所示。

图9-93“要导出的文件”对话框

完成证书颁发后需要返回至“默认网站属性”对话框，进一步处理事先挂起的请求并安装证书，操作步骤如下所述：

   Step1打开“Internet信息服务（IIS）管理器”窗口，在左窗格中右键单击【默认Web站点】目录，选择【属性】命令，打开“默认网站属性”对话框。

切换到【目录安全性】选项卡，单击【服务器证书】按钮。

进入Web服务器证书向导，单击【下一步】按钮。

   Step2打开“服务器证书”对话框，选中【分配现有证书】单选钮，并单击【下一步】按钮，如图9-94所示。

图9-94选中【分配现有证书】单选钮

   Step3在打开的“可用证书”对话框中列出了Web服务器当前可以使用的证书文件，选中该证书并单击【下一步】按钮，如图9-95所示。

图9-95“可用证书”对话框

   Step4打开“SSL端口”对话框，在【此网站应该使用的SSL端口】编辑框中保持默认的443端口。

依次单击【下一步】→【下一步】→【完成】按钮完成证书的安装，如图9-96所示。

图9-96“SSL端口”对话框

现在已经为Web站点申请并安装了证书，其已成为一个使用https加密协议传输信息的安全的Web站点。

用户在访问Web站点时，Web站点会自动向用户传递服务器证书，用以向用户证明自己是合法的服务器，而不是冒充的服务器。

本例中Web站点的IP地址为10.115.223.8，用户通过客户端浏览器访问该站点的方法为：

在浏览器地址栏中输入Web站点地址https:

//10.115.223.8:

443，这时会打开“安全警报”对话框，提示用户“即将通过安全连接查看网页”。

单击【确定】按钮即可访问该Web站点，如图9-97所示。

图9-97“安全警报”对话框

   提示：

如果出现有关证书存在问题的安全警报，则直接单击【是】按钮可以继续访问站点，且用户的信息不会被他人查看或更改。

其实，只有在Web站点属性页的【目录安全性】选项卡中选中了【要求客户证书】复选框时，安装了证书的Web站点才会成为一个需要客户提供证书方能访问的站点。

不过一般的Web站点都不这样做，因为这需要给每个客户端的IE浏览器发放证书，相对而言比较繁琐，除非有非常的安全需要（如网上银行的签约客户）。