《服务器、CA数字证书应用图解(全)2542.docx》由会员分享,可在线阅读,更多相关《服务器、CA数字证书应用图解(全)2542.docx(41页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Winddowss Seerveer 220088上使用用IISS搭建WWEB服服务器、客客户端的的数字证证书应用用(一)一、什么么是数字字证书及及作用?数字证书书就是互互联网通通讯中标标志(证证明)通通讯各方方身份信信息的一一系列数数据,提提供了一一种在IInteerneet上验验证您身身份的方方式,其其作用类类似于司司机的驾驾驶执照照或日常常生活中中的身份份证。它它是由一一个由权权威机构构-CCA机构构,又称称为证书书授权(CCerttifiicatte AAuthhoriity)中中心发行行的,人人们可以以在网上上用它来来识别对对方的身身份。数数字证书书是一个个经证书书授权中中心数字字签
2、名的的包含公公开密钥钥拥有者者信息以以及公开开密钥的的文件。最最简单的的证书包包含一个个公开密密钥、名名称以及及证书授授权中心心的数字字签名。常用的密钥包括一个公开的密钥和一个私有的密钥即一组密钥对,当信息使用公钥加密并通过网络传输到目标主机后,目标主机必需使用对应的私钥才能解密使用。使用它主要是为了提高IT系统在敏感数据应用领域的安全性,为用户业务提供更高安全保障;注:数字字证书,下下面均简简称证书书;二、如何何搭建证证书服务务器?搭建证书书服务器器步骤如如下:1、登陆陆Winndowws SServver 20008服务务器;2、打开开【服务务器管理理器】;(图2)3、点击击【添加加角色】
3、,之之后点击击【下一一步】;(图3)4、找到到【Acctivve DDireectoory证证书服务务】勾选选此选项项,之后后点击【下下一步】;(图4)5、进入入证书服服务简介介界面,点点击【下下一步】;(图5)6、将证证书颁发发机构、证证书颁发发机构WWEB注注册勾选上,然然后点击击【下一一步】;(图6)7、勾选选【独立立】选项项,点击击【下一一步】;(由于于不在域域管理中中创建,直直接默认认为:“独独立”)(图7)8、首次次创建,勾勾选【根根CA】,之之后点击击【下一一步】;(图8)9、首次次创建勾勾选【新新建私钥钥】,之之后点击击【下一一步】;(图9)10、默默认,继继续点击击【下一一步
4、】;(图100)11、默默认,继继续点击击【下一一步】;(图111)12、默默认,继继续点击击【下一一步】;(图122)13、默默认,继继续点击击【下一一步】;(图133)14、点点击【安安装】;(图144)15、点点击【关关闭】,证证书服务务器安装装完成;(图155)Winddowss Seerveer 220088上使用用IISS如何配配置WEEB服务务器上证证书应用用(SSSL应用用)?此应用用用于提高高WEBB站点的的安全访访问级别别;配置置后应用用站点可可实现安安全的服服务器至至客户端端的信道道访问;此信道道将拥有有基于SSSL证证书加密密的HTTTP安安全通道道,保证证双方通通信数
5、据据的完整整性,使使客户端端至服务务器端的的访问更更加安全全; 注:以证证书服务务器创建建的WEEB站点点为示例例,搭建建WEBB服务器器端SSSL证书书应用步步骤如下下:1、 打开IIIS,WWEB服服务器,找找到【服服务器证证书】并并选中;(图1)2、点击击【服务务器证书书】,找找到【创创建证书书申请】项项;(图2)3、 单击【创创建证书书申请】,打打开【创创建证书书申请】后后,填写写相关文文本框,填填写中需需要注意意的是:“通用用名称”必必需填写写本机IIP或域域名,其其它项则则可以自自行填写写; 注注:下面面的1992.1168.1.2203为为示例机机IP地地址,实实际IPP地址需需
6、根据每每人主机机IP自自行填写写;填写写完后,单单击【下下一步】;(图3)4、 默认,点点击【下下一步】;(图4)5、 选择并填填写需要要生成文文件的保保存路径径与文件件名, 此文件件后期将将会被使使用;(保保存位置置、文件件名可以以自行设设定),之之后点击击【完成成】,此此配置完完成,子子界面会会关闭;(图5)6、 接下来,点点击IEE(浏览览器),访访问:htttp:/1992.1168.1.2203/cerrtsrrv/;注:此此处的1192.1688.1.2033为示例机机IP地地址,实实际IPP地址需需根据每每人主机机IP自自行填写写;(图6-1)此时会出出现证书书服务页页面;此此网
7、站如如果点击击【申请请证书】,进进入下一一界面点点击【高高级证书书申请】,进进入下一一界面点点击【创创建并向向此CAA提交一一个申请请】,进进入下一一界面,此此时会弹弹出一个个提示窗窗口:“为为了完成成证书注注册,必必须将该该CA的的网站配配置为使使用HTTTPSS身份验验证”;也就是是必须将将HTTTP网站站配置为为HTTTPS的的网站,才才能正常常访问当当前网页页及功能能;(图6-2)在进行后后继内容容前,相相关术语语名词解解释:HTTPPS(全全称:HHypeerteext Traansffer Prootoccol oveer SSecuure Socckett Laayerr),是是
8、以安全全为目标标的HTTTP通通道,简简单讲是是HTTTP的安安全版。即即HTTTP下加加入SSSL层,HHTTPPS的安安全基础础是SSSL,因因此加密密的详细细内容就就需要SSSL。 它是一一个URRI sscheeme(抽抽象标识识符体系系),句句法类同同htttp:体体系。用用于安全全的HTTTP数数据传输输。htttpss:URRL表明明它使用用了HTTTP,但但HTTTPS存存在不同同于HTTTP的的默认端端口及一一个加密密/身份份验证层层(在HHTTPP与TCCP之间间)。这这个系统统的最初初研发由由网景公公司进行行,提供供了身份份验证与与加密通通讯方法法,现在在它被广广泛用于于
9、万维网网上安全全敏感的的通讯,例例如交易易支付方方面。SSL(Seccuree Soockeets Layyer 安全套套接层),及其其继任者者传输层层安全(TTrannspoort Layyer Seccuriity,TTLS)是是为网络络通信提提供安全全及数据据完整性性的一种种安全协协议。TTLS与与SSLL在传输输层对网网络连接接进行加加密。至此,我我们需要要搭建一一个HTTTPSS网站,即即搭建WWEB服服务器的的SSLL应用;7、 如何搭建建HTTTPS的的网站呢呢?前期回顾顾:证书服务务已搭建建,用于于创建SSSL的的加密服服务;使使用证书书服务器器的WEEB网站站时,提提示需要要
10、将证书书WEBB站点配置置为HTTTPSS网站才才能正常常使用;我们继续续以证书书服务器器的搭建建为示例,完完成WEEB服务务器的SSSL应应用搭建建;8、 接下来,由由于搭建建HTTTPS需需要先申申请证书书,但现现在证书书服务网网站也需需要配置置为HTTTPSS才能正正常使用用,那么在证书书网站还还未配置置为HTTTPSS服务前前我们如如何申请请证书?方法如如下:方法:打打开IEE(浏览览器),找找到工具具栏,点点击【工工具栏】,找找到它下下面的【IInteerneet选项项】;(图8)9、 点击【IInteerneet选项项】-点击【安安全】-点击击【可信信站点】;(图9)10、 点击【
11、可可信站点点】,并并输入之之前的证证书网站站地址:htttp:/1992.1168.1.2203/cerrtsrrv,并并将其【添添加】到到信任站站点中;添加完完后,点点击【关关闭】,关关闭子界界面;(图100)11、 接下来,继继续在【可可信站点点】位置置点击【自自定义级级别】,此此时会弹弹出一个个【安全全设置】子子界面,在在安全设设置界面面中拖动动右别的的滚动条条,找到到【对未未标记为为可安全全执行脚脚本的AActiiveXX控件初初始化并并执行脚脚本】选选项,将将选为【启启用】;之后点点击所有有【确定定】操作作,直到到【Innterrnett选项】子子界面关关闭为止止;(图111)12、
12、 完成上面面操作后后,先将将IE关关闭,然然后重新新打开,输输入:hhttpp:/1922.1668.11.2003/ccerttsrvv;页面面出来后后点击【申申请证书书】;(图122)13、 点击【高高级证书书申请】(图133)14、 点击【使使用baase664编码码的CMMC或PPKCSS#100文件提提交一个个证书申申请,或或使用BBasee64编编码的PPKCSS#7文文件续订订证书申申请】(图144)15、 将之前保保存的密密钥文档档文件找找到并打打开,将将里面的的文本信信息复制制并粘贴贴到“BBasee-644编码的的证书申申请”文文本框中中;确定定文本内内容无误误后,点点击【
13、提提交】;(图155-1)(图155-2)16、 此时可以以看到提提交信息息,申请请已经提提交给证证书服务务器,关关闭当前前IE;(图166)17、 打开证书书服务器器处理用用户刚才才提交的的证书申申请;回到Wiindoows【桌桌面】-点击击【开始始】-点击【运运行】,在在运行位位置输入入:ceertssrv.mscc,然后后回车就就会打开开证书服服务功能能界面;打开后,找找到【挂挂起的申申请】位位置,可可以看到到之前提提交的证证书申请请;(图177)18、点点击鼠标标右键会会出现【所所有任务务】,点点击【所所有任务务】-点击【颁颁发】将将挂起的的证书申申请审批批通过,此此时挂起起的证书书会
14、从当当前界面面消失,即即代表已已完成操操作;(图188)19、点点击【颁颁发的证证书】,可可以看到到新老已已审批通通过的证证书;其其它操作作(吊销销的证书书、失败败的申请请)在此此略掉,大大家有空空可以自自己试用用;(图199)20、重重新打开开IE,输输入之前前的网址址:htttp:/1192.1688.1.2033/ceertssrv/;打开页面面后,可可点击【查查看挂起起的证书书申请的的状态】;之后会会进入“查查看挂起起的证书书申请的的状态”页页面,点点击【保保存的申申请证书书】;(图200)21、进进入新页页面后,勾选Base 64编码,然后点击【下载证书】,将已申请成功的证书保存到指
15、定位置,后续待用; (图211)22、打打开IIIS服务务器,点点击【服服务器证证书】-【完完成证书书申请】-选择择刚保存存的证书书,然后后在“好好记名称称”文本本框中输输入自定定义的名名称,完完后点击击【确定定】;(图222)23、上上述操作作完后,可可在“服服务器证证书”界界面下看看到“JJZT_TESST1”证书书;(图233)24、点点击左边边的【DDefaaultt Weeb SSitee】菜单单,然后后找到【绑绑定】功功能,点点击【绑绑定】功功能,会会弹出【网网站绑定定】界面面,默认认会出现现一个类类型为hhttpp,端口口为800的主机机服务,然然后点击击【添加加】,会会弹出【添
16、添加网站站绑定】界界面,在在此界面面中选择择“类型型:htttpss”、“SSSL证证书:JJZT_TESST1”,然然后点【确确定】;点完确确定后,会会看到【网网站绑定定】子界界面中有有刚配的的HTTTPS服服务,点点击【关关闭】,子子界面消消失;(图244)25、点点击左菜菜单上的的【CeertSSrv】证证书服务务网站,然然后点击击【SSSL设置置】;(图255)26、进进入SSSL设置置页面,勾勾选上“要要求”即即启用SSSL功功能,然然后点击击【应用用】,保保存设置置;(图266)27、此此时一个个基于应应用的WWEB服服务器站站点已配配置完成成;让我我们用试下下SSLL的应用用;首
17、先,将将我们之之前为了了申请证证书而开开放的【可可信站点点】的设设置还原原;在IE的的【可信信站点】的的【自定定义级别别】选项项中【对对未标记记为可安安全执行行脚本的的ActtiveeX控件件初始化化并执行行脚本】选选项,由由“启用用”改为为【禁用用】即可可;然后关闭闭IE,再再重新打打开并输输入:hhttpps:/1992.1168.1.2203;此时会出出现:“IIIS77”字样样的页面面,如果果出现此此页面,恭恭喜你SSSL配配置已成功!反之则则有问题题,从上上到下把把操作说说明和自自己的操操作过程程比对检检查看是是否正确确;(有有问题别别看我,我我的示例例可是没没问题的的_,自己己耐心再再检查下下!)至此:WWEB服服务器上上配置基基于SSSL证书书应用的安安全站点点(HTTTPSS站点)操作已全部完成;(图277)(图288)