SSL是一个一pki为基础的安全协议,若要让网站拥有SSL安全连接功能的话,就必须为网站向证书颁发机构CA申请SSL证书(网页服务器证书),证书内包含了公钥、证书有效期限、发放此证书的CA、CA的数字签名等数据。在网站拥有SSL证书之后,客户端与网站之间就可以通过SSL安全连接来通信了。
一、 根CA的安装
无论是电子邮件保护或SSL网站安全连接,都必须申请证书,才可以使用公钥与私钥来执行数据加密与身份验证的操作。负责发放证书的机构就被称为证书颁发机构(Certification Authority,CA),下面我将演示如何安装CA证书颁发机构
| Windows server 2008 R2 | 192.168.47.1 |
|---|---|
| Windows XP | 192.168.47.3 |
前期准备测试客户机和服务器机器的连通性(我将CA WEB都装在同一台服务器上)
服务器上打开服务器管理器
选择角色>选择添加角色
选择我们要装的两个服务Active Directory 证书服务和WEB服务器
勾选上进行下一步
默认阅读后进行下一步
选择角色服务记得勾选上证书颁发机构WEB注册,不然就证书申请就不能发布在web上,后面申请证书操作一定要用到。
当前服务器不在域中是独立服务器所以只能选择安装独立CA,当然域成员也可以按照独立CA(企业CA等会讲)
选择根CA
选择新建私钥
没有其他要求就默认加密配置
这里随自己的要求自定义CA的名称
根据要求自己选择证书有效期,我默认五年
数据库存放位置,默认
配置WEB服务器(IIS)
默认选上
确认安装选择开始安装
等待安装完成
安装完成
运行中输入certsrv.msc 打开证书颁发机构
到这里就说明证书服务安装成功。
在浏览器中输入http://localhost/certsrv 证书颁发机构web申请页面
如果CA和WEB是分开的需要手动信任证书颁发机构
二、 SSL网站证书
我们必须为网站申请SSL证书,网站才会具备SSL安全连接的能力。若网站是要对外网(因特网)用户来提供服务的话,请向商业CA来申请证书。下面我将演示为我自己的网站申请证书完成SSL网站的设置。
首先我将web颁发机构改一下端口换成8080
之后的访问地址就改为了http://192.168.47.1:8080/certsrv
改掉端口后的地址
用记事本编辑一个我自己的网页然后在C盘下创建一个名为index的html文件,另存为保存在web文件夹下文件类型改为所有文件选择html网页文件。
回到IIS中选择添加网站,物理路径指向我刚才新建的web文件夹下。
之后立即启动网站
到xp客户机上用浏览器访问192.168.47.1,可以看到我的网页发布好了。
接下来开始为web服务器申请证书
先申请web服务器证书,选择服务器证书》创建证书申请》填上申请信息
选择下一步
位长是用来指定网站公钥的位长,越长安全越高但性能会降低一般默认1024位即可
下一步
这里我选择C:\Users\Administrator\Desktop\webzs.txt 来保存证书申请文件的文件名和村粗位置,可以自定。但位置一定要记清楚后步骤用来申请服务器证书会用到
编码文件
输入http://192.168.47.1:8080/certsrv 开始申请证书
这里选择高级证书申请
把刚才保存在桌面上的证书申请文件中的base64编码内容全部复制进去,提交申请
申请证书被挂起了,独立CA不会自动颁发需要我们手动颁发
运行中输入certsrv.msc 打开证书颁发机构,点击挂起的申请就可以看到刚才的申请被挂起了,这里直接选择颁发就行。
因为独立CA不会自动颁发证书需要我们自己手动颁发证书,而企业CA会自动颁发
颁发后回到主页后选择 查看挂起的证书申请的状态
查看保存的申请证书就可以看到证书已经颁发了
把它下载到本地自定位置
到IIS继续回到服务器证书中选择完成证书申请,把刚才下载的证书选择好即可
完成后就可以看到我们颁发的这本证书了。
回到自己的网站管理选择编辑绑定,完成最后的证书绑定
进入后选择添加把http类型改为https端口443,证书选择我们刚才申请的那本证书即可
后我们把http的那条绑定删除只留下https的那条
选择SSL设置
勾选上要求SSL然后客户证书选择忽略。本次不要要求证书
选好后右上角应用操作
重启一下服务器
回到xp客户机上再去访问https://192.168.47.1 说明已经是SSL加密了。
选择是后就可以看到我们的网页了,可以看到右下角带锁的图片显示SSL可靠。接下来我将演示需要提供证书访问web。
回到IIS服务器上设置网站SSL为必需提供客户证书。
再去访问时已经强制要求提供数字证书来验证身份了
http://192.168.47.1:8080/certsrv
xp客户机上访问我们的证书申请网页选择申请证书
选择web浏览器证书把要求的信息填完后提交
证书申请挂起了,到服务器证书颁发机构上去颁发即可
certsrv.msc打开,看到挂起的申请选择颁发证书
颁发好后,回到主页查看挂起的证书申请的状态。
证书已颁发
点击安装此证书即可
再去访问时刚才安装好的证书就可以被选择了,确定点击开始访问。
提供数字证书后就能正常访问啦!现在就是要求证书访问的结果了
到此安装步骤结束
