首先做個廣告,一般搞技術的人追求的是技術,根本不在乎技能證書和學歷證書,但在現實工作中卻需要,我這爲技術男提供理真實網上可查的學歷證書,詳細諮詢Q 83992088
Windows Server 2008支持兩種證書服務器,分別是應用於企業內部的企業證書服務器和用於企業或Internet的獨立證書服務器。其中,企業證書服務器應用於域環境,需要AD的支持,用戶可以直接向證書服務器申請並安裝證書;而獨立根證書服務器應用於非域環境。
Win2008只有企業版和數據中心版支持web註冊功能,標準版和web版不支持。
本實驗用3臺win2008做一個獨立根CA實驗。如果電腦配置差,Client可以用xp代替。
實驗拓撲:
準備工作:
這裏域名爲abc.com,IP地址如上圖所示。此實驗在VM7中進行,三臺電腦網卡全部橋接;當然也可以全部建在一個分組內做實驗。
實驗心得:我做實驗的電腦內存是3G,系統自動給win2008分配的內存是1G,物理機我用的是XP,導致很卡,所以要手動給虛擬機分配內存900M,這樣3臺win2008消耗2.7G內存,留下300多M給XP。
下面對客戶機IE瀏覽器做設置:打開Internet選項,調整安全級別:
1 將對未標記爲可安全執行腳本的ActiveX控件初始化並執行腳本(不安全); 必須啓用
2允許運行以前未使用的ActiveX控件而不提示; 必須啓用
3下載未簽名的ActiveX控件(不安全); 啓用
4下載已簽名的ActiveX控件(不安全); 啓用
5 使用仿冒網站篩選; 禁用
6沒有證書或只有一個證書時不提示進行客戶端證書選擇;如果不想有證書選擇提示窗口,可以把它啓用。
實驗心得:平時做實驗,我們可以把安全性降到最低,以免干擾實驗。前2個必須啓用,否則在申請證書時會跳出如下對話框:
下面安裝配置CA服務器:
首先打開“服務器管理器”→添加角色,選中“Acitve Directory證書服務”。如下圖所示
單擊“下一步”,選中“證書頒發機構”和“證書頒發機構web註冊”。後者主要是通過web界面來進行證書的相關操作。如下圖所示。
單擊“下一步”,如下圖所示,由於不在AD中,我們選“獨立”。
單擊“下一步”,如下圖所示,由於是企業中第一個證書服務器,所以我們選“根CA”。
單擊“下一步”,如下圖所示,選擇“新建私鑰”;
單擊“下一步”,如下圖所示,這裏就用默認的。
單擊“下一步”,如下圖所示,這邊修改CA的公用名稱爲CA01,該名稱無實際意義,隨便取。
上圖中的可分辨後綴名可不填寫。下面的操作全部默認,過程這裏省略了。
安裝IIS服務過程略過,但注意一定要選擇"Asp.Net"組件!
下面配置web服務器
首先安裝好IIS和DNS組件,這裏省略。
打開IIS,這裏我們的加密網站就直接使用原來的默認網站了,當然新建網站也一樣做。首先修改C:\inetpub\wwwroot中的首頁,把原來的文件刪除,新建一個index.htm,內容任意。並且測試下這個網頁能被訪問到,如下圖所示:
注意:新建網頁的時候,我們一般是用記事本,然後另存爲index.htm,這裏注意和windows 2003不一樣,需要打開後綴名。否則另存爲後的文件是index.htm.txt。在這裏把DNS也配好,添加主機記錄,客戶機的的DNS地址也要設置好,測試通過域名能訪問該網站。
IIS服務器此時還不信任頒發證書的CA服務器。解決辦法是將CA服務器添加到IIS服務器計算機"受信任的根證書頒發機構",
在web服務器上打開http://1.1.1.1/certsrv/
選擇“下載CA證書、證書鏈或CRL”。爲了方便,下載保存到桌面上,然後雙擊安裝。安裝過程中把證書導入到“受信任的根證書頒發機構”中,如下圖:(這裏最好勾選“顯示物理存儲區”,導入到local computer)
接下來在網站中配置證書,打開IIS,選中“計算機名字”,在中間選中“服務器證書”如下圖所示,
在右邊選中“創建證書申請”,如下圖所示:
輸入證書請求信息,通用名稱請輸入完整的域名(包含主機名),企業名稱可以用中文,國家代碼一般用CN(請按照ISO 3166-1 A2):我們的證書是用於web服務的,所以這裏一定要填網站的訪問域名,比如www.abc.com,注意這裏如果填abc.com,用www.abc.com就無法訪問,會出現證書不是頒發給該網站之類的提示。
選擇加密服務程序和密鑰長度,加密服務程序選擇缺省的Microsoft RSA Schannel Cryptographic Provider,加密長度一般可以爲1024位,如果申請EV證書至少2048位。
單擊“下一步”,出現保存證書申請文件對話框,輸入任意文件名,保存到桌面,用記事本打開,如下圖:
接下來我們來完成證書申請,
在第二臺win2008客戶機上打開瀏覽器,輸入:http://1.1.1.1/certsrv;如下圖:這裏選申請證書。
這裏選“高級證書申請”
這裏選“使用base64……”
此圖中的編碼從之前的abc中用記事本打開復制過來,注意包含-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----。
接下來去CA服務器上頒發證書。在“管理工具”中打開“Certification Authority”,進入“掛起的證書”中頒發,如下圖所示:
打開http://1.1.1.1/certsrv,選“查看掛起的證書申請的狀態”,如下圖所示:
![clip_image040[1]](http://suntong258.blog.51cto.com/attachment/201102/12/201995_1297529282XJEV.jpg "clip_image040[1]")
這裏下載證書到桌面,保存爲“webca“。
接下來在IIS中完成證書申請,如下圖:
主要這裏不要放一開始申請的導入“受信任的根證書頒發機構”的certnew證書,而是後來申請的certnew2證書。當弄錯了,是不會繼續的,所以這步一般不會錯。
注:證書申請除了通過網頁方式申請外,還可以打開MMC,添加證書模塊來做。
接下來對網站進行設置,配置HTTPS執行雙向認證
默認情況下,HTTPS單向認證的模式工作,即客戶端通過網站證書來驗證網站的身份,但網站並不驗證客戶端的身份,如果需要通過證書驗證客戶端身份,則可以要求試圖訪問網站的客戶端必須提供證書才能進行訪問,執行雙向認證時,網站將只接受HTTPS訪問。在IIS右側打開“網站綁定“,如下圖:
在上圖中點擊右邊的“添加“後,如下圖:這裏SSL證書選擇abc。
在IIS中打開SSL設置,如下圖:如圖設置,最後不要忘記右邊的“應用“。
“要求SSL”選項,如果沒有選中,則用戶可以通過HTTPs,也可以通過HTTP來訪問,如果“要求SSL”被選中,則用戶必須通過HTTPS訪問
“客戶證書”有3個選項:忽略、接受、必需。如果“要求SSL”選項沒有選中,則不能選擇客戶證書“必需”項。如果選擇“忽略”,則服務器不會去檢查是否有客戶證書,即使客戶端有客戶證書,也不會被服務器接收。如果選擇“接受”,如果客戶有證書,會自動跳出,讓客戶選擇如下圖,如果沒有,則正常轉入原來的頁面。建議客戶不要選中“要求SSL”,如果需要使用客戶端證書,也可以選擇“接受”客戶證書。如果有些頁面要求客戶必須通過HTTPS訪問,可以使用代碼自動跳轉的方式。
當我們把設置改成必須通過SSL才能訪問網站時,經常發現原來不加密的還是能訪問,主要是網頁緩存的問題,在Internet選項中清空緩存即可,最好再重啓IIS,重新打開IE。
配置客戶端正常訪問SSL網站。
IIS服務器上配置好安全訪問後,客戶端要能正確訪問該網站,此時客戶端也必須向CA服務器申請證書!具體步驟如下:
1: 配置客戶端信任頒發證書的CA服務器:訪問獨立證書頒發機構的證書申請站點,選擇“下載一個 CA 證書、證書鏈或CRL”。將獲得的CA證書導入到客戶端計算機的“受信任的根證書頒發機構”容器中,以使得客戶端計算機信任您的獨立證書頒發機構。
2:在客戶端上,爲需要訪問此IIS站點的用戶申請證書,這裏千萬不要點擊“WEB瀏覽器證書”,否則會後面會跳出一個沒有證書的對話框(XP下可以,2008下不行),如下圖所示,而是應該點“高級證書申請”。
3:然後點擊“創建並向此 CA 提交一個申請”。如下圖,創建一個“客戶端身份驗證證書”。
4.在證書頒發機構頒發該證書,再到客戶機上獲得此證書並安裝。
實驗總結和注意點:
1. 可在運行中輸入:certmgr.msc 可直接打開證書管理器來管理證書。
2. 實驗過程中不要修改系統時間。否則出現下圖:
3. 在工作組模式下證書頒發需要手工頒發,但在加入域環境下證書是自動頒發的(如果CA是域控,則頒發證書時一定要有域管理員權限的用戶纔可以申請證書)。
4. 實驗中當客戶機是windows 2003時訪問https://IP沒問題,但是一旦使用2008作爲客戶機做測試就會出現證書錯誤,是因爲2008中嚴格規定證書是頒發給網站域名的,必須配置域名,用域名訪問網站。
5. 實驗中用以前的老虛擬機配置IIS時,發現地址無法綁定,如圖,是因爲在網絡設置中一塊網絡配置了多個地址。
6.關閉IE的增強的安全配置,可以在“服務器管理裏”→“配置IE ESC”,管理員和用戶都禁用。
.7.有學生做該實驗的時候虛擬機都是克隆的,計算機名都一樣,會導致實驗失敗,如下圖:
