服务器CA数字证书应用图解.docx
《服务器CA数字证书应用图解.docx》由会员分享,可在线阅读,更多相关《服务器CA数字证书应用图解.docx(23页珍藏版)》请在冰豆网上搜索。
服务器CA数字证书应用图解
服务器CA数字证书应用图解
一、什么是数字证书及作用?
数字证书确实是互联网通讯中标志〔证明〕通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。
它是由一个由权威机构-----CA机构,又称为证书授权〔CertificateAuthority〕中心发行的,人们能够在网上用它来识别对方的身份。
数字证书是一个经证书授权中心数字签名的包含公布密钥拥有者信息以及公布密钥的文件。
最简单的证书包含一个公布密钥、名称以及证书授权中心的数字签名。
常用的密钥包括一个公布的密钥和一个私有的密钥即一组密钥对,当信息使用公钥加密并通过网络传输到目标主机后,目标主机必需使用对应的私钥才能解密使用。
使用它要紧是为了提高IT系统在敏锐数据应用领域的安全性,为用户业务提供更高安全保证;
注:
数字证书,下面均简称证书;
二、如何搭建证书服务器?
搭建证书服务器步骤如下:
1、登陆WindowsServer2020服务器;
2、打开【服务器治理器】;
〔图2〕
3、点击【添加角色】,之后点击【下一步】;
〔图3〕
4、找到【ActiveDirectory证书服务】勾选此选项,之后点击【下一步】;
〔图4〕
5、进入证书服务简介界面,点击【下一步】;
〔图5〕
6、将证书颁发机构、证书颁发机构WEB注册勾选上,然后点击【下一步】;
〔图6〕
7、勾选【独立】选项,点击【下一步】;〔由于不在域治理中创建,直截了当默认为:
〝独立〞〕
(图7)
8、首次创建,勾选【根CA】,之后点击【下一步】;
〔图8〕
9、首次创建勾选【新建私钥】,之后点击【下一步】;
〔图9〕
10、默认,连续点击【下一步】;
〔图10〕
11、默认,连续点击【下一步】;
〔图11〕
12、默认,连续点击【下一步】;
〔图12〕
13、默认,连续点击【下一步】;
〔图13〕
14、点击【安装】;
〔图14〕
15、点击【关闭】,证书服务器安装完成;
〔图15〕
WindowsServer2020上使用IIS如何配置WEB服务器上证书应用〔SSL应用〕?
此应用用于提高WEB站点的安全访问级别;配置后应用站点可实现安全的服务器至客户端的信道访问;此信道将拥有基于SSL证书加密的安全通道,保证双方通信数据的完整性,使客户端至服务器端的访问更加安全;
注:
以证书服务器创建的WEB站点为例如,搭建WEB服务器端SSL证书应用步骤如下:
1、打开IIS,WEB服务器,找到【服务器证书】并选中;
〔图1〕
2、点击【服务器证书】,找到【创建证书申请】项;
〔图2〕
3、单击【创建证书申请】,打开【创建证书申请】后,填写相关文本框,填写中需要注意的是:
〝通用名称〞必需填写本机IP或域名,其它项那么能够自行填写;注:
下面的192.168.1.203为例如机IP地址,实际IP地址需依照每人主机IP自行填写;填写完后,单击【下一步】;
〔图3〕
4、默认,点击【下一步】
;
〔图4〕
5、选择并填写需要生成文件的储存路径与文件名,此文件后期将会被使用;〔储存位置、文件名能够自行设定〕,之后点击【完成】,此配置完成,子界面会关闭;
〔图5〕
6、接下来,点击IE〔扫瞄器〕,访问:
:
//192.168.1.203/certsrv/;注:
此处的192.168.1.203为例如机IP地址,实际IP地址需依照每人主机IP自行填写;
〔图6-1〕
现在会显现证书服务页面;此网站假如点击【申请证书】,进入下一界面点击【高级证书申请】,进入下一界面点击【创建并向此CA提交一个申请】,进入下一界面,现在会弹出一个提示窗口:
〝为了完成证书注册,必须将该CA的网站配置为使用S身份验证〞;也确实是必须将网站配置为S的网站,才能正常访问当前网页及功能;
〔图6-2〕
在进行后继内容前,相关术语名词说明:
S〔全称:
HypertextTransferProtocoloverSecureSocketLayer〕,是以安全为目标的通道,简单讲是的安全版。
即下加入SSL层,S的安全基础是SSL,因此加密的详细内容就需要SSL。
它是一个URIscheme〔抽象标识符体系〕,句法类同:
体系。
用于安全的数据传输。
s:
URL说明它使用了,但S存在不同于的默认端口及一个加密/身份验证层〔在与TCP之间〕。
那个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏锐的通讯,例如交易支付方面。
SSL(SecureSocketsLayer安全套接层),及其继任者传输层安全〔TransportLayerSecurity,TLS〕是为网络通信提供安全及数据完整性的一种安全协议。
TLS与SSL在传输层对网络连接进行加密。
至此,我们需要搭建一个S网站,即搭建WEB服务器的SSL应用;
7、如何搭建S的网站呢?
前期回忆:
证书服务已搭建,用于创建SSL的加密服务;使用证书服务器的WEB网站时,提示需要将证书WEB站点配置为S网站才能正常使用;
我们连续以证书服务器的搭建为例如,完成WEB服务器的SSL应用搭建;
8、接下来,由于搭建S需要先申请证书,但现在证书服务网站也需要配置为S才能正常使用,那
么在证书网站还未配置为S服务前我们如何申请证书?
方法如下:
方法:
打开IE(扫瞄器),找到工具栏,点击【工具栏】,找到它下面的【Internet选项】;
〔图8〕
9、点击【Internet选项】->点击【安全】->点击【可信站点】;
〔图9〕
10、点击【可信站点】,并输入之前的证书网站地址:
:
//192.168.1.203/certsrv,并将其【添加】到信任站点中;添加完后,点击【关闭】,关闭子界面;
〔图10〕
11、接下来,连续在【可信站点】位置点击【自定义级别】,现在会弹出一个【安全设置】子界面,在安全设置界面中拖动右别的滚动条,找到【对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本】选项,将选为【启用】;之后点击所有【确定】操作,直到【Internet选项】子界面关闭为止;
〔图11〕
12、完成上面操作后,先将IE关闭,然后重新打开,输入:
:
//192.168.1.203/certsrv;页面出来后点击【申请证书】;
〔图12〕
13、点击【高级证书申请】
〔图13〕
14、点击【使用base64编码的CMC或PKCS#10文件提交一个证书申请,或使用Base64编码的PKCS#7文件续订证书申请】
(图14〕
15、将之前储存的密钥文档文件找到并打开,将里面的文本信息复制并粘贴到〝Base-64编码的证书申请〞文本框中;确定文本内容无误后,点击【提交】;
〔图15-1〕
〔图15-2〕
16、现在能够看到提交信息,申请差不多提交给证书服务器,关闭当前IE;
〔图16〕
17、打开证书服务器处理用户刚才提交的证书申请;
回到Windows【桌面】->点击【开始】->点击【运行】,在运行位置输入:
certsrv.msc,然后回车就会打开证书服务功能界面;
打开后,找到【挂起的申请】位置,能够看到之前提交的证书申请;
〔图17〕
18、点击鼠标右键会显现【所有任务】,点击【所有任务】->点击【颁发】将挂起的证书申请审批通过,现在挂起的证书会从当前界面消逝,即代表已完成操作;
〔图18〕
19、点击【颁发的证书】,能够看到新老已审批通过的证书;其它操作〔吊销的证书、失败的申请〕在此略掉,大伙儿有空能够自己试用;
〔图19〕
20、重新打开IE,输入之前的:
//192.168.1.203/certsrv/;
打开页面后,可点击【查看挂起的证书申请的状态】;之后会进入〝查看挂起的证书申请的状态〞页面,点击【储存的申请证书】;
〔图20〕
21、进入新页面后,勾选Base64编码,然后点击【下载证书】,将已申请成功的证书储存到指定位置,后续待用;
〔图21〕
22、打开IIS服务器,点击【服务器证书】->【完成证书申请】->选择刚储存的证书,然后在〝好记名称〞文本框中输入自定义的名称,完后点击【确定】;
〔图22〕
23、上述操作完后,可在〝服务器证书〞界面下看到〝JZT_TEST1”证书;
〔图23〕
24、点击左边的【DefaultWebSite】菜单,然后找到【绑定】功能,点击【绑定】功能,会弹出【网站绑定】界面,默认会显现一个类型为,端口为80的主机服务,然后点击【添加】,会弹出【添加网站绑定】界面,在此界面中选择〝类型:
s〞、〝SSL证书:
JZT_TEST1”,然后点【确定】;点完确定后,会看到【网站绑定】子界面中有刚配的S服务,点击【关闭】,子界面消逝;
(图24)
25、点击左菜单上的【CertSrv】证书服务网站,然后点击【SSL设置】;
〔图25〕
26、进入SSL设置页面,勾选上〝要求SSL〞即启用SSL功能,然后点击【应用】,储存设置;
〔图26〕
27、现在一个基于SSL应用的WEB服务器站点已配置完成;让我们用IE试下SSL的应用;
第一,将我们之前为了申请证书而开放的【可信站点】的设置还原;
在IE的【可信站点】的【自定义级别】选项中【对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本】选项,由〝启用〞改为【禁用】即可;
然后关闭IE,再重新打开并输入:
s:
//192.168.1.203;
现在会显现:
〝IIS7〞字样的页面,假如显现此页面,恭喜你SSL配置已成功!
反之那么有问题,从上到下把操作说明和自己的操作过程比对检查看是否正确;〔有问题别看我,我的例如但是没问题的^_^,自己耐心再检查下!
〕
至此:
WEB服务器上配置基于SSL证书应用的安全站点〔S站点〕操作已全部完成;
〔图27〕
〔图28〕
升级会员 