概述:
隨着網絡安全的概念日益深入人心,公鑰架構(PKI)在網絡得到越來越廣泛的應用。PKI使用證書進行身份驗證,數據加密和數據簽名,是目前信息安全保障的一種重要方法。
證書是PKI的基礎,是實現網絡安全,進行身份驗證以及保證網絡信息安全的一種管理手段,有關PKI與證書更多更深入的知識請參考相關KB,或參考後繼文章!
本文不涉及太多理論知識,以一個完整的例子來闡述如何建立標準CA服務器,並使用標準CA申請證書並使用證書部署SSL網站,詳細步驟如下:
一:建立獨立CA服務器
win2003支持兩種證書服務器,分別是用於企業內部的企業CA服務器和用於Internet上的標準證書服務器,企業證書服務器需要AD支持,而標準CA服務器則可以安裝在任何Win2003服務器上。因爲證書服務器需要Web服務器支持,以提供Web界面申請頁面證書,所以建立CA服務器時,需要安裝IIS服務和ASP組件。安裝標準證書服務器很簡單,這裏只做概括性描述:
1:安裝IIS服務,以提供WEB界面的證書申請頁面.
1:安裝IIS服務,以提供WEB界面的證書申請頁面.
安裝IIS服務過程略過,但注意一定要選擇"Asp.Net"組件!
在安裝證書組件時,在"CA類型"中,選擇"獨立根CA(S)",
在"CA識別信息"對話框,輸入這臺證書服務器相關信息,其它信息可以根據實際情況輸入,也可以選擇默認值!
安裝完成證書服務後,不需要重啓計算機即可使用證書服務。
二:建立IIS服務器,發佈網站,使用證書,配置網絡安全。
標準CA服務器證書可以用於多個類型,如客戶端身份驗證,電子郵件,代碼簽名,IPSec等,本文只討論第一種類型證書!
具體步驟
1: 配置網站安全性,使用證書
1):安裝IIS服務,過程略
2):建立要配置SSL訪問的網站,例如 CADemoSite,過程略過。
1: 配置網站安全性,使用證書
1):安裝IIS服務,過程略
2):建立要配置SSL訪問的網站,例如 CADemoSite,過程略過。
3):配置CADemoSite網站的目錄安全性,使用服務器證書嚮導向CA服務器申請證書。
在IIS證書嚮導過程中,在"站點公用名稱"界面,請注意站點公用名稱必需與您的客戶端訪問這個站點所使用的名稱一致。
如果此時輸入的是IP地址,那麼客戶端訪問該網站時,就只能使用IP地址訪問,如果此時輸入的是域名,那麼客戶端訪問該網站時,就只能以域名形式訪問。我這裏輸入的是域名形式。因爲我測試的這臺IIS服務器本身也是DNS服務器,已經建立了相應的區域文件,可以實現域名到IP地址的解析!
4):申請完成後,將證書請求保存成爲certreq.txt文件。
2:正式向CA服務器申請電子證書
1):在IIS服務器上,訪問獨立證書頒發機構的證書申請站點:
1):在IIS服務器上,訪問獨立證書頒發機構的證書申請站點:
[url]http://<CA[/url] server name
or IP address>/certsrv
2):依次選擇“申請一個證書",“高級證書申請”?
3):“使用 base64 編碼的 CMC 或 PKCS #10 文件提交 一個證書申請,或使用 base64 編碼的 PKCS #7 文件續訂證書申請”
4):打開第1步保存的certreq.txt文件,將其中的所有內容複製到“base64編碼”窗口中,如下圖:
2):依次選擇“申請一個證書",“高級證書申請”?
3):“使用 base64 編碼的 CMC 或 PKCS #10 文件提交 一個證書申請,或使用 base64 編碼的 PKCS #7 文件續訂證書申請”
4):打開第1步保存的certreq.txt文件,將其中的所有內容複製到“base64編碼”窗口中,如下圖:
5):點擊“提交”以提交證書申請請求,確認請求提交後關閉IE窗口。
3:CA服務器頒發IIS服務器申請的電子證書
在獨立證書頒發機構上批准這個證書請求,點"頒發",如下圖:
在獨立證書頒發機構上批准這個證書請求,點"頒發",如下圖:
4:IIS服務器下載CA服務器頒發的電子證書
1):在您的IIS服務器上,訪問獨立證書頒發機構的證書申請站點:
1):在您的IIS服務器上,訪問獨立證書頒發機構的證書申請站點:
[url]http://<CA[/url] server name
or IP address>/certsrv
2):選擇“查看掛起的證書申請的狀態”
3):獲得批准的證書?“下載證書”並保存爲.CER文件
4):安裝下載的證書。打開IIS服務器站點屬性,在目錄安全性中再次點擊“服務器證書”?“處理掛起的請求並安裝證書”?
5):指定在第3步中獲得的CER文件?完成嚮導。在目錄安全性中點擊“編輯”按鈕設置客戶端證書訪問配置,如下圖
2):選擇“查看掛起的證書申請的狀態”
3):獲得批准的證書?“下載證書”並保存爲.CER文件
4):安裝下載的證書。打開IIS服務器站點屬性,在目錄安全性中再次點擊“服務器證書”?“處理掛起的請求並安裝證書”?
5):指定在第3步中獲得的CER文件?完成嚮導。在目錄安全性中點擊“編輯”按鈕設置客戶端證書訪問配置,如下圖
5:配置IIS服務器信任頒發證書的CA服務器
如果上述過程都正確操作,在IIS上安裝好頒發的電子證書後,仍然會看到如下圖所示的錯誤信息,
主要原因是IIS服務器此時不信任頒發證書的CA服務器。解決 辦法是將CA服務器添加到IIS服務器計算機"受信任的根證書頒發機構",
具體步驟如下:
1):訪問獨立證書頒發機構的證書申請站點,選擇“下載一個 CA 證書,證書鏈或 CRL”?“下載CA證書”。
2):將獲得的CA證書導入到IIS服務器的計算機“受信任的根證書頒發機構”容器中,以使得IIS服務器信任你的獨立證書頒發機構,如下圖:
2):將獲得的CA證書導入到IIS服務器的計算機“受信任的根證書頒發機構”容器中,以使得IIS服務器信任你的獨立證書頒發機構,如下圖:
3):導入CA證書到"受信任的根證書頒發機構"後,上述證書不再顯示錯誤信息。
三:配置客戶端正常訪問SSL網站。
IIS服務器上配置好安全訪問後,客戶端要能正確訪問該網站,此時客戶端也必須向CA服務器申請證書!具體步驟如下:
1:在客戶端上,爲需要訪問此IIS站點的用戶申請一張用戶使用的“客戶端身份驗證證書”。方法同上
2:在獨立證書頒發機構上批准此請求並再次到客戶端上獲得此證書並安裝。方法同上
1:在客戶端上,爲需要訪問此IIS站點的用戶申請一張用戶使用的“客戶端身份驗證證書”。方法同上
2:在獨立證書頒發機構上批准此請求並再次到客戶端上獲得此證書並安裝。方法同上
3:配置客戶端信任頒發證書的CA服務器
1):訪問獨立證書頒發機構的證書申請站點,選擇“下載一個 CA 證書,證書鏈或 CRL”?“下載CA證書”。
2):將獲得的CA證書導入到客戶端計算機的“受信任的根證書頒發機構”容器中,以使得客戶端計算機信任您的獨立證書頒發機構。
1):訪問獨立證書頒發機構的證書申請站點,選擇“下載一個 CA 證書,證書鏈或 CRL”?“下載CA證書”。
2):將獲得的CA證書導入到客戶端計算機的“受信任的根證書頒發機構”容器中,以使得客戶端計算機信任您的獨立證書頒發機構。
4:訪問網站,經測試,可以正常訪問
至此,一個完整的使用標準CA服務器實現安全的SSL網站案例已經實現,完全滿足實際的商業應用需求!
注:在客戶端訪問SSL網站所使用的站點名稱一定要與IIS服務器在申請證書過程中的站點公共名稱保持一致,纔可能避免出現彈出”安全警報“窗口,提示”安全證書的名稱無效或與站點名稱不匹配“的信息。
本文出自 “我兒子真帥!” 博客,轉載請與作者聯繫!