安全套接字层(SSL)是一套提供身份验证、保密性和数据完整性的加密技术,属于传输层的协议。应用SSL最广泛的是HTTPS(给予SSL的HTTP)协议,用来在Web浏览器和Web服务器之间建立安全通信通道。
实验要求:客户端在网页上用HTTP方式访问Web发布的网站。
准备工作:准备4台虚拟机,一台作为Web服务器,一台做CA证书服务器,一台搭建DNS服务器,最后一台作为客户端验证,网段我们采用192.168.100.X网段。客户端的IP是192.168.100.1,DNS是192.168.100.2,Web是192.168.100.3,CA服务器是192.168.100.4。
CA服务器:准备工作,先关闭防火墙并且配置好IP地址。
接下来进行CA服务器的搭建
1.点击左下方的服务器管理器
2.点击左栏的角色,点击添加角色这个选项
3.接下来是CA服务器安装步骤
点击添加所需的角色服务
必须要勾选前两个
然后点击完成,CA服务就此搭建好了,我们可以在IE浏览器中输入CA服务器ip地址+/certsrv :192.168.100.4/certsrv 去查看申请证书的页面
DNS的搭建:
先关闭防火墙并且设置好ip地址
接下来搭建DNS服务
1.点击左下方的服务器管理器
2.点击右栏的角色,点击添加角色
3.DNS服务安装步骤
4.点击安装即可
搭建好DNS服务器之后,我们只需要在这个服务器中新建区域,添加一条web服务器的主机A记录际可。
在com域下下建一个17w1.com的域
右击com文件夹会出现一个新建域然后添加即可
DNS上需要做的就已经做完了
WEB服务器:
先关闭防火墙并且配置IP地址
接下来是WEB服务器搭建过程
1.点击右下方的服务器管理器
2.点击右栏的角色,点击添加角色
然后点击安装就完成了。
安装完成后我们通过管理工具中IIS管理器来打开web服管理器
我们需要在web服务器上去申请证书,然后在CA服务器上颁发证书,颁发完证书后,在web服务器上完成证书的创建,创建完成后我们才能应用证书。
我们先在web服务器上申请证书
点击服务器证书
点击右侧的创建证书申请
通用名称填写的是域名这个需要注意
这个文件很重要,你在向证书服务器申请证书的时候会用到
接下来需要在web服务器的IE浏览器上地址栏输入192.168.100.4/certsrv去进行证书申请
我们点击申请证书
我们应该点击高级证书申请,那还有两个选项也来介绍一下,那两个申请都是给客户端申请的证书,一个应用于浏览器,一个用于电子邮件,这个高级证书申请是向服务器申请。
我们选择使用base64……那一项
还记得我们在web管理器上申请证书时,最后那个保存的文件吗?我们打开那个文件后把base64码复制到保存的申请那栏,然后点击提交。
这时需要我们在CA服务器端去进行证书的颁发。
颁发完成后返回web服务器,我们去完成证书的申请。我们先把证书下载到本地。
点击下载CA证书那一项
下载完成后需要在web服务器上完成证书的创建。
点击右栏的完成证书申请那一项
将下载的证书导入
这一步完成后,我们通过新建一个网站去应用这个证书。
点击右栏的添加网站
最后关于这个网站的SSL设置,是有说法的,如果你勾选要求SSL(Q)那么就必须使用https去访问,如果不勾选那么既可以使用http也可以使用https。
客户端认证
点击继续浏览即可
那么关于这个证书错误,是有解决错误的,还记得下载证书时有一个证书链下载吗?因为IE浏览器对这个证书不认可,因为IE浏览器内部受信任的根证书颁发机构是固定的那几个,而我们搭建的是私有CA肯定不被信任,我们可以把证书链导入IE浏览器就能解决这个问题。
首先将证书链下载,然后在IE浏览器导航栏中选择工具,点击Internet 选项,点击内容,点击证书,找到受信任的根证书颁发机构这一栏,点击导入即可。
