其实这都是好久前自己学习过程中,总结的东西。主要看着博客比较空。就写上来吧。
1 .证书服务
( 1 )安装证书服务
( 2 )发布证书服务的站点:一般,默认 Web 站点下有一个 certsrv 的虚拟目录;如果没有,则需要找到名为 certsrv 的物理目录,将其作为 80 端口的默认站点的虚拟目录 certsrv.
( 3 )客户端通过 Web 申请证书: http:// 服务器 IP 或域名 /certsrv
( 4 )服务器端颁发证书: CA 控制台 | 待定审请 | 右击目标→所有任务→颁发
( 5 )客户端安装证书:证书申请主页,检查挂起的证书。
( 6 )客户端利用证书控制台管理证书:导出证书的公钥。
( 7 )将公钥发送给通信伙伴:通信伙伴用此公钥加密数据,接收者用私钥解密。
2 . IIS 的 SSL 安全访问
( 1 ) 生成证书请求文件
①在 IIS 控制台中打开欲加密访问的站点的属性页 | 目录访问控制标签 | 点击“服务器证书”按钮,启动了“ IIS 证书向导”;
②选择“新建证书”选项,点击“下一步”,选中“现在准备证书请求,但稍后发送”,接着在“名称”栏中为该证书起个名字,在“位长”下拉列表中选择“密钥的位长”,这里要注意,位长不能设置的过大,否则会影响通信质量;接着设置证书的单位、部门、和地理信息,在站点“公用名称栏”中输入该网站的域名,然后指定证书请求文件的保存位置,这里将该证书请求文本文件保存在“”。这样就完成了证书请求文件的生成。
( 2 ) 申请 IIS 网站证书
在 IE 地址栏中输入“ http:// 服务器 IP 或域名 /certsrv ”。接着在“ Microsoft 证书服务”欢迎窗口中点击“申请一个证书”链接,然后在证书申请类型中点击“高级证书申请”链接,在高级证书申请窗口中点击“使用 BASE64 编码的 CMC 或 PKCS # 10 文件提交….”链接,接着将证书请求文件 d:/My_SSL.txt 的内容复制到“保存的申请”输入框中,最后点击“提交”按钮。
( 3 )颁发 IIS 网站证书
( 4 )客户端下载证书
证书申请主页,检查挂起的证书,点下载链接将证书下载到本地,名为: certnew.cer 。
( 5 )在 IIS 中导入证书
在 IIS 管理器的“目录安全性”标签页中,点击“服务器证书”按钮,这时弹出“挂起的证书请求”对话框,选择“处理挂起的请求并安装证书”选项,点击“下一步”后,指定好刚才导出 certnew.cer 的位置,接着指定 SSL 使用的端口,建议使用默认的“ 443 ”,最后点击“完成”按钮
( 6 )配置 IIS 服务器
完成了证书的导入后, IIS 网站这时还没有启用 SSL 安全加密功能,需要对 IIS 站点进行配置:
① 在“ Web 站点”标签页下找到“ SSL 端口”,你会发现原先不可使用的文本框现在可以录入了。将文本框内容设置为 443 后“确定”。
②在“目录安全性”标签页,点击安全通信栏的“编辑”按钮,选中“要求安全通道( SSL )”和“要求 128 位加密”选项,最后点击“确定”按钮即可。
② 接着点击“身份验证和访问控制”栏的“编辑”按钮,在对话框中取消“启用匿名访问”和“集成 Windows 身份验证”选项,这里要选中“基本身份验证”选项,最后点击“确定”按钮。
*********注意事项**********
1 .客户端访问加密通信的网站,使用 https 协议,如: https://10.76.133.1 : 443 ,因 443 是 SSL 默认的端口号,可以省略。
2 .如果您希望 http 与 https 共同存在,即该网站既可以加密通信也可以不加密通信,则第( 6 )步“ 配置 IIS 服务器” 中的第 2 )和第 3 )不要做,即不申请安全通道,也启用匿名访问。但用 http 访问使用的是 80 端口,而用 https 访问时使用的是 443 端口。