ssl
原创heartsaid001 ©著作权
©著作权归作者所有:来自51CTO博客作者heartsaid001的原创作品,请联系作者获取转载授权,否则将追究法律责任
为WEB站点启用SSL
1、实验环境
1.1 系统环境: CA、WEB服务器均为WINDOWS 2008。其中CA集成DNS服务器功能。
DNS区域名为: benet.com;为WEB服务器创建一条A记录。WEB服务
器的的完全合格域名为: www.benet.com
客户端为XP。
工作组环境
1.2 实验拓扑:
客户端: IP:192.168.100.200
DNS:192.168.100.15
CA机构:IP:192.168.100.15
WEB服务器: IP: 192.168.100.16
2. 实验内容:
2.1 服务器认证
2.2 客户端认证
3. 实验步骤:
3.1 服务器认证:
3.1.1 信任CA。 在web服务器上打开浏览器输入http://192.168.100.15/certsrv,选择“下载CA证书”到本地,通过MMC控制台导入到“受信任的根证书颁发机构”。截图如下:
A. 访问
B. 下载证书
C. 保存证书 (这是下载的CA证书,目的是为了信任CA)
D. 打开MMC控制台,导入证书:
D1: 运行当中输入MMC
D2: 添加证书组件:
至此,证书组件添加完毕,现在导入证书。
E:导入证书
接下来,选择你刚才下载的证书,将其导入“受信任的根证书颁发机构”就可以了!截图略。
3.1.2 创建证书申请。 在web服务器上完成。打开IIS,鼠标点击服务器名,在中间窗口选择“服务器证书”,再在右侧窗口选择“创建证书申请”。根据提示完成申请。
注意通用名称:客户端以后只能通过此处的命名来访问WEB服务器。所以命名要准确,不要失误。其他信息可以随便填写。
连续2此下一步,输一个文件名,这个文件是一个文本文件,它将保存我们申请证书时要用到的编码:
点击完成即可。
找到刚才的那个文本文件,将里面的内容全部复制,准备申请证书。
3.1.3 申请证书。在web服务器上打开浏览器输入http://192.168.100.15/certsrv,选择申请证书,
注意:因为是工作组环境,所以所申请的证书没有自动颁发,要有CA的管理员手动颁发,所以,现在我们以管理员身份登陆到CA服务器上,选择管理工具中的证书颁发机构来颁发证书。我们的证书ID为2。
点击颁发之后,我们可以到“颁发的证书”中查看到:
至此申请证书完毕,接下来,需要在WEB服务器上下载此证书,并完成证书申请。
3.1.4 下载证书。 在web服务器上打开浏览器输入http://192.168.100.15/certsrv 。操作如下:
下载证书,保存证书,同上面的操作一样。
3.1.5 完成证书申请。在web服务器上完成。打开IIS,鼠标点击服务器名,在中间窗口选择“服务器证书”,再在右侧窗口选择“完成证书申请”。根据提示完成申请。
点击确定
3.1.6 SSL绑定: 单击网站,选择绑定。
点击确定,再选择关闭,返回到了以下界面,选择SSL设置
设置完毕,客户端访问尝试一下。
现在使用https://www.benet.com访问:
访问成功。
3.2 客户端认证。 当web服务器上的SSL设置中的“客户证书”为“必须”时,需要提供客户端认证,如果客户端没有用户证书,即使输入了https://www.benet.com,也是访问失败的。如图:
客户端访问:
如何实现呢?
3.2.1 信任CA。操作过程参考3.1.1全步骤。
3.2.1 申请用户证书。在客户端浏览器中输入:http://192.168.100.15/certsrv。
然后,点击“是”
因为是工作组,此证书没有自动颁发,还需要CA的管理员手动颁发,具体参考上面的步骤,注意ID号。
颁发之后,客户端重新登录http://192.168.100.15/certsrv,
至此,客户端证书安装完毕。测试:
访问成功。
再次强调: 这个实验的环境实在工作组环境完成。某些操作或名称和域环境的不一样,注意区别。
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
免费的泛域名ssl
泛域名SSL证书是一种特殊的SSL证书类型,通常也被称为通配符SSL证书
SSL 子域名 DNS -
【SSL】SSL工作原理
SSL技术白皮书关键词:SSL,PKI,MAC摘 要:SSL利用数据加密、ESAdvanced Encryption
SSL SSL工作原理 服务器 客户端 数据