服务器、CA数字证书应用图解(全).docx

Windows Server 2008上使用IIS搭建WEB服务器、客户端的数字证书应用（一） 一、什么是数字证书及作用？ 数字证书就是互联网通讯中标志（证明）通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。常用的密钥包括一个公开的密钥和一个私有的密钥即一组密钥对，当信息使用公钥加密并通过网络传输到目标主机后，目标主机必需使用对应的私钥才能解密使用。使用它主要是为了提高IT系统在敏感数据应用领域的安全性，为用户业务提供更高安全保障； 注：数字证书，下面均简称证书； 二、如何搭建证书服务器？ 搭建证书服务器步骤如下： 1、登陆Windows Server 2008服务器； 2、打开【服务器管理器】； （图2） 3、点击【添加角色】，之后点击【下一步】； （图3） 4、找到【Active Directory证书服务】勾选此选项，之后点击【下一步】； （图4） 5、进入证书服务简介界面，点击【下一步】； （图5） 6、将证书颁发机构、证书颁发机构WEB注册勾选上，然后点击【下一步】； （图6） 7、勾选【独立】选项，点击【下一步】；（由于不在域管理中创建，直接默认为：“独立”） (图7) 8、首次创建，勾选【根CA】，之后点击【下一步】； （图8） 9、首次创建勾选【新建私钥】，之后点击【下一步】； （图9） 10、默认，继续点击【下一步】； （图10） 11、默认，继续点击【下一步】； （图11） 12、默认，继续点击【下一步】； （图12） 13、默认，继续点击【下一步】； （图13） 14、点击【安装】； （图14） 15、点击【关闭】，证书服务器安装完成； （图15） Windows Server 2008上使用IIS如何配置WEB服务器上证书应用（SSL应用）？ 此应用用于提高WEB站点的安全访问级别；配置后应用站点可实现安全的服务器至客户端的信道访问；此信道将拥有基于SSL证书加密的HTTP安全通道，保证双方通信数据的完整性，使客户端至服务器端的访问更加安全； 注：以证书服务器创建的WEB站点为示例，搭建WEB服务器端SSL证书应用步骤如下： 1、 打开IIS，WEB服务器，找到【服务器证书】并选中； （图1） 2、点击【服务器证书】，找到【创建证书申请】项； （图2） 3、 单击【创建证书申请】，打开【创建证书申请】后，填写相关文本框，填写中需要注意的是：“通用名称”必需填写本机IP或域名，其它项则可以自行填写； 注：下面的192.168.1.203为示例机IP地址，实际IP地址需根据每人主机IP自行填写；填写完后，单击【下一步】； （图3） 4、 默认，点击【下一步】 ； （图4） 5、 选择并填写需要生成文件的保存路径与文件名, 此文件后期将会被使用；（保存位置、文件名可以自行设定），之后点击【完成】，此配置完成，子界面会关闭； （图5） 6、 接下来，点击IE（浏览器），访问：http://192.168.1.203/certsrv/；注：此处的192.168.1.203为示例机IP地址，实际IP地址需根据每人主机IP自行填写； （图6-1） 此时会出现证书服务页面；此网站如果点击【申请证书】，进入下一界面点击【高级证书申请】，进入下一界面点击【创建并向此CA提交一个申请】，进入下一界面，此时会弹出一个提示窗口：“为了完成证书注册，必须将该CA的网站配置为使用HTTPS身份验证”；也就是必须将HTTP网站配置为HTTPS的网站，才能正常访问当前网页及功能； （图6-2） 在进行后继内容前，相关术语名词解释： HTTPS（全称：Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。 它是一个URI scheme（抽象标识符体系），句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。 SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。 至此，我们需要搭建一个HTTPS网站，即搭建WEB服务器的SSL应用； 7、 如何搭建HTTPS的网站呢？ 前期回顾： 证书服务已搭建，用于创建SSL的加密服务；使用证书服务器的WEB网站时，提示需要将证书WEB站点配置为HTTPS网站才能正常使用； 我们继续以证书服务器的搭建为示例，完成WEB服务器的SSL应用搭建； 8、 接下来，由于搭建HTTPS需要先申请证书，但现在证书服务网站也需要配置为HTTPS才能正常使用，那 么在证书网站还未配置为HTTPS服务前我们如何申请证书？方法如下： 方法：打开IE(浏览器)，找到工具栏，点击【工具栏】，找到它下面的【Internet选项】； （图8） 9、 点击【Internet选项】->点击【安全】->点击【可信站点】； （图9） 10、 点击【可信站点】，并输入之前的证书网站地址：http://192.168.1.203/certsrv，并将其【添加】到信任站点中；添加完后，点击【关闭】，关闭子界面； （图10） 11、 接下来，继续在【可信站点】位置点击【自定义级别】，此时会弹出一个【安全设置】子界面，在安全设置界面中拖动右别的滚动条，找到【对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本】选项，将选为【启用】；之后点击所有【确定】操作，直到【Internet选项】子界面关闭为止； （图11） 12、 完成上面操作后，先将IE关闭，然后重新打开，输入：http://192.168.1.203/certsrv；页面出来后点击【申请证书】； （图12） 13、 点击【高级证书申请】 （图13） 14、 点击【使用base64编码的CMC或PKCS#10文件提交一个证书申请，或使用Base64编码的PKCS#7文件续订证书申请】 (图14） 15、 将之前保存的密钥文档文件找到并打开，将里面的文本信息复制并粘贴到“Base-64编码的证书申请”文本框中；确定文本内容无误后，点击【提交】； （图15-1） （图15-2） 16、 此时可以看到提交信息，申请已经提交给证书服务器，关闭当前IE； （图16） 17、 打开证书服务器处理用户刚才提交的证书申请； 回到Windows【桌面】->点击【开始】->点击【运行】，在运行位置输入：certsrv.msc，然后回车就会打开证书服务功能界面； 打开后，找到【挂起的申请】位置，可以看到之前提交的证书申请； （图17） 18、点击鼠标右键会出现【所有任务】，点击【所有任务】->点击【颁发】将挂起的证书申请审批通过，此时挂起的证书会从当前界面消失，即代表已完成操作； （图18） 19、点击【颁发的证书】，可以看到新老已审批通过的证书；其它操作（吊销的证书、失败的申请）在此略掉，大家有空可以自己试用； （图19） 20、重新打开IE，输入之前的网址：http://192.168.1.203/certsrv/； 打开页面后，可点击【查看挂起的证书申请的状态】；之后会进入“查看挂起的证书申请的状态”页面，点击【保存的申请证书】； （图20） 21、进入新页面后，勾选Base 64编码，然后点击【下载证书】,将已申请成功的证书保存到指定位置，后续待用； （图21） 22、打开IIS服务器，点击【服务器证书】->【完成证书申请】->选择刚保存的证书，然后在“好记名称”文本框中输入自定义的名称，完后点击【确定】； （图22） 23、上述操作完后，可在“服务器证书”界面下看到“JZT_TEST1”证书； （图23） 24、点击左边的【Default Web Site】菜单，然后找到【绑定】功能，点击【绑定】功能，会弹出【网站绑定】界面，默认会出现一个类型为http，端口为80的主机服务，然后点击【添加】，会弹出【添加网站绑定】界面，在此界面中选择“类型：https”、“SSL证书：JZT_TEST1”，然后点【确定】；点完确定后，会看到【网站绑定】子界面中有刚配的HTTPS服务，点击【关闭】，子界面消失； (图24) 25、点击左菜单上的【CertSrv】证书服务网站，然后点击【SSL设置】; （图25） 26、进入SSL设置页面，勾选上“要求ＳＳＬ”即启用SSL功能，然后点击【应用】，保存设置； （图26） 27、此时一个基于ＳＳＬ应用的WEB服务器站点已配置完成；让我们用ＩＥ试下SSL的应用； 首先，将我们之前为了申请证书而开放的【可信站点】的设置还原； 在IE的【可信站点】的【自定义级别】选项中【对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本】选项，由“启用”改为【禁用】即可； 然后关闭IE，再重新打开并输入：https://192.168.1.203； 此时会出现：“IIS7”字样的页面，如果出现此页面，恭喜你SSL配置已成功！反之则有问题，从上到下把操作说明和自己的操作过程比对检查看是否正确；（有问题别看我，我的示例可是没问题的^_^，自己耐心再检查下！） 至此：WEB服务器上配置基于SSL证书应用的安全站点（HTTPS站点）操作已全部完成； （图27） （图28）