實驗之前,說說公鑰基礎結構(PKI),它是使用公鑰技術和數字證書來確保系統信息安全並負責驗證數字證書持有者的身份的一種體系
PKI由4部分構成,公鑰加密技術、數字證書、CA(證書頒發機構)、RA(註冊機構)
公鑰加密技術是PKI的基礎,這種技術需要2種密鑰:公鑰和私鑰,他們成對出現,並且不能根據其一推算出另一個。公鑰對外公開,私鑰只有持有人才知道。如果公鑰加密,私鑰解密,那麼這種方式就是數據加密,如果私鑰加密,公鑰解密,這種方式就是數字簽名(如網銀U盾在交易時做簽名)
數字證書用於用戶的身份驗證
CA是一個可信任的實體,負責發佈、更新、吊銷證書
RA接收用戶的請求,負責將用戶的有關申請信息存檔備案,並存儲在數據庫中,等待審覈,並將審覈通過的請求發送給證書頒發機構。RA分擔了CA的部分任務,是管理變的方便。 我個人把RA理解給CA的祕書。
實驗開始,不附拓撲圖了,
2臺電腦就可以,一臺計算機A構建SSL(secure sockets layer 安全套接字層)網站,一臺用戶客戶機B
A上搭建DNS,解析網站域名,搭建IIS
簡單附張圖,DNS搭建-----程序-----控制面板--------添加刪除程序-------網絡服務----DNS
添加主機記錄
啓用IIS----添加刪除程序-------
在管理工具裏打開IIS,首先搭建一個WEB網站,注意:很重要的的一點,搭建網站必須使用默認網站,因爲你要做的是SSL網站,所以要啓用證書服務,當證書服務啓用時,會在默認網站下生成一個certsrv虛擬目錄,客戶機就是要訪問這個虛擬目錄才能申請到證書,所以要用默認網站來建設
接着來,管理工具打開IIS,右擊默認網站-----屬性
網站選項卡里,設置IP地址
點開主目錄,修改主目錄
點開文檔,添加網站首頁
確定後,把這首頁上移到第一位(優先級高點吧)
由於DNS裏做了解析,我們來瀏覽一下
好了,開始啓用證書服務
添加刪除程序-----
,
由於不是域環境,前兩項不能選,我們選獨立根
默認就可以,下一步
是,確定
生成的虛擬目錄
我們用客戶機來申請數字證書(同一網段)
注意訪問格式,必須用IP 我們選擇 下載一個CA證書,證書鏈或CRL
安裝此CA證書鏈(注意客戶機會信任CA服務器),然後再選申請一個證書
WEB瀏覽器證書--------填寫一些資料
接着我們在WEB服務器上打開管理工具--------證書頒發機構
點頒發
接着在客戶機上再次打開
查看掛起的證書申請的狀態
點擊安裝,好了客戶機上證書安裝完成
可以在客戶機上看一下,運行裏輸入MMC,打開控制檯,點擊開始---添加刪除管理單元------找到證書-----選擇我的計算機用戶---確定
然後再服務器上安裝服務器證書
打開IIS----右擊默認網站----屬性-----目錄安全性-----單擊服務器證書-
下一步(填寫一些資料,沒什麼可說明的)直接看結尾,會產生一個TXT文檔,裏面包含base64編碼,申請證書用
在服務器上打開
申請一個證書
高級證書申請
使用base64編碼
然後打開剛纔生成的TXT文檔,複製裏面的內容
ctrl+V粘貼到
點擊提交,然後再打開管理工具---證書頒發機構--頒發
接着打開網站,選擇查看證書申請狀態------保存證書----
base64編碼 保存到一個指定位置(自己選擇位置,一會要用)
接着打開IIS----默認網站-----屬性----目錄安全性------服務器證書(此時是掛起狀態)
選擇你下載的證書
文件類型(選擇所有文件,不然證書文件不顯示)
下一步,直到完成
接着設置一下,目錄安全性----安全通信---編輯(在查看證書下面)
我們來訪問一下
默認的是否 選擇“是”
好了 實驗完成 看着很亂。