IIS SSL客户端证书(忽略/接受/必须)之一——服务器证书申请
Technorati 标记: IIS,CA,证书,SSL,客户端证书,夏明亮[第一部分 环境介绍]
架构
1台CA(独立根CA)
1台IIS Server
1台客户端计算机
版本
所有的计算机OS均为Windows Server 2008 R2,所以IIS为7.0版本。
[第二部分 测试环境准备]
一 搭建一台CA Server
此部分内容相对简单,如果你是刚接触这方面的内容,可以我之前的文章,链接如下:
http://mlxia.blog.运维网.com/972988/1217914
注意:本次环境我再安装证书时选择的是独立根CA,与链接中的不同;其他均为默认设定,无特殊注意事项。
二 搭建一台IIS Server
此部分内容相对简单,如果你是刚接触这方面的内容,可以我之前的文章。
三 创建一个IIS的测试用站点
1. 打开IIS控制台,添加网站站。
http://s3.运维网.com/wyfs02/M01/5D/F8/wKioL1UoirfwNhxAAAEF38iMKDA956.jpg
2.输入站点名称和网页存放的物理路径。
http://s3.运维网.com/wyfs02/M02/5D/F8/wKioL1UoiriT02rUAAFx15Kt-A8417.jpg
3.上图中由于默认端口选的是80与默认站点冲突,因此站点无法启动(不要嫌我烦,做测试呢最重要是心平气和。)
http://s3.运维网.com/wyfs02/M00/5D/F8/wKioL1UoirnxQXIPAAEw699f6BI090.jpg
4.重新编辑绑定,选择一个未被占用的端口。
http://s3.运维网.com/wyfs02/M01/5D/F8/wKioL1Uoirri3NjhAADM_vkWN4w907.jpg
http://s3.运维网.com/wyfs02/M02/5D/F8/wKioL1UoirrwEN0aAADgaXUgkS8435.jpg
http://s3.运维网.com/wyfs02/M00/5D/F8/wKioL1UoiruSiqoLAADJ4xk84gc465.jpg
关闭后,启动该站点。
二 为该IIS服务器申请证书
在申请前先将CA Server的根证书导入“所信任的根证书颁发机构”区域。此部分比较基础,不懂的可以参考我之前的博客,或者谷歌一下,到处都有相关的文档。
1.我们为服务器申请一张服务器证书。
http://s3.运维网.com/wyfs02/M01/5D/F8/wKioL1UoirvTPlUIAAEkwxjsjEY983.jpg
2.创建证书申请。
http://s3.运维网.com/wyfs02/M01/5D/FC/wKiom1UoiXCj2XeRAAC8YEuJkzE280.jpg
这里我打算未来用IP地址访问站点,所以就这么写了,如果大家习惯用DNS Name也可以写成DNS name;另外也可以有办法申请多域名证书,实现无论我使用IP、NetBIOS或者DNS name都呢个正常访问网站。具体可以参考:http://mlxia.blog.运维网.com/972988/1217953
http://s3.运维网.com/wyfs02/M02/5D/FC/wKiom1UoiXGhnFYdAADv45U5GOA982.jpg
http://s3.运维网.com/wyfs02/M00/5D/FC/wKiom1UoiXGgxzUHAAFo2R7WL9k616.jpg
http://s3.运维网.com/wyfs02/M01/5D/FC/wKiom1UoiXKAnrpLAAEIisCXepU191.jpg
这事申请证书时需要提供的申请文件内容。
http://s3.运维网.com/wyfs02/M00/5D/F8/wKioL1Uoir_xrUeXAAMfykXKE7w695.jpg
3.访问证书服务器web注册站点(http://CAServer/certsrv),“Request a certificate”。
http://s3.运维网.com/wyfs02/M01/5D/F8/wKioL1UoisDQfxpiAAHr0PSFDw8671.jpg
4.advanced certificate request。
http://s3.运维网.com/wyfs02/M02/5D/F8/wKioL1UoisHgZXE8AAEfzvKfFak287.jpg
5.第二项,提交申请文件申请。
http://s3.运维网.com/wyfs02/M00/5D/F8/wKioL1UoisHCT8EaAAF2J76uNLI181.jpg
6.帮上面申请文件的内容Ctrl+A然后Ctrl+v到下图的第一个文本框中。
http://s3.运维网.com/wyfs02/M01/5D/F8/wKioL1UoisKCIBilAAGBQkp8EuU309.jpg
http://s3.运维网.com/wyfs02/M02/5D/F8/wKioL1UoisPjzy_2AAVkfA-MRB4269.jpg
http://s3.运维网.com/wyfs02/M00/5D/F8/wKioL1UoisSCbMyIAAGCOn3vqsg756.jpg
9.点击上图中的“Submit”。
http://s3.运维网.com/wyfs02/M01/5D/F8/wKioL1UoisXx93NVAAFJ8ZFKBLQ579.jpg
10.来到CA服务器,手动颁发刚才申请的证书。(如果你使用的是企业根CA且IIS服务器加入域,那么这个审批会自动执行,无需人工参与)
http://s3.运维网.com/wyfs02/M02/5D/F8/wKioL1UoisaTmRF6AAJK7MpO2X8077.jpg
11.看到被挂起的证书申请。
http://s3.运维网.com/wyfs02/M00/5D/F8/wKioL1UoisaTTXR_AABsvNq5jW0801.jpg
12.手动颁发申请。
http://s3.运维网.com/wyfs02/M01/5D/F8/wKioL1UoisfgnHN0AADdz6NzdFA878.jpg
13.查看已颁发的申请。
http://s3.运维网.com/wyfs02/M01/5D/FC/wKiom1UoiXvwcBDeAAEVO42hMoI193.jpg
14.再回到IIS Server,访问CA Server证书申请站点。选择“View the status of a pending certificate request”
http://s3.运维网.com/wyfs02/M01/5D/F8/wKioL1UoisiTH7m_AAHjBsVHoOA375.jpg
15.将证书下载下来。
http://s3.运维网.com/wyfs02/M02/5D/F8/wKioL1UoisnTVJIXAAEk8y42D28209.jpg
http://s3.运维网.com/wyfs02/M02/5D/FC/wKiom1UoiX6QIUxMAAFTztzBUsk954.jpg
http://s3.运维网.com/wyfs02/M00/5D/FC/wKiom1UoiX7BGD9cAAFAXOioAbk867.jpg
17.保存后找到该证书,并双击打开。
http://s3.运维网.com/wyfs02/M01/5D/FC/wKiom1UoiX-w4aZ_AAEfLFpS4Fw074.jpg
18.再次回到IIS服务器,完成证书申请。
http://s3.运维网.com/wyfs02/M00/5D/F8/wKioL1UoiszgZie8AAC7q354gbs197.jpg
好记的名字无所谓写什么,只要不冲突,管理员能知道这个证书时干嘛的就行。
http://s3.运维网.com/wyfs02/M00/5D/F8/wKioL1Uois2QXNbdAAENqFll2Ro968.jpg
完成之后我们可以在IIS服务器的本地计算机证书中看到刚申请的证书。这里就很有意思了,想想看我们是不是也可以在这里为IIS Server申请证书呢,答案是当然的,我之前的博客里也有相关的内容,这里就不给链接了,要么自己思考如何完成,要么就翻博客吧。
http://s3.运维网.com/wyfs02/M01/5D/F8/wKioL1Uois2ipLufAADxhUS88TQ683.jpg
http://s3.运维网.com/wyfs02/M00/5D/FC/wKiom1UoiYKS_jZzAADMsjRzsLk564.jpg
三 IIS站点证书绑定
1.证书申请好了,那么就需要把证书与Web 站点进行绑定。
http://s3.运维网.com/wyfs02/M02/5D/FC/wKiom1UoiYKTLNL8AAEg6MncfXc839.jpg
http://s3.运维网.com/wyfs02/M00/5D/FC/wKiom1UoiYOAk6iOAAC_zP2xgEk794.jpg
3.必须选择类型为https才可以选择证书。
http://s3.运维网.com/wyfs02/M01/5D/FC/wKiom1UoiYTC4fK9AAD3fIgmiVA773.jpg
http://s3.运维网.com/wyfs02/M02/5D/FC/wKiom1UoiYTAj-jgAADTPBn2zQ8037.jpg
5.哎,为什么访问不了呢;我也不清楚,但是我立即想到似乎这个网站还没有任何网页文件呢;可能是这个原因吧。
http://s3.运维网.com/wyfs02/M00/5D/FC/wKiom1UoiYXRIRYvAAGZDaQhhLI932.jpg
6.那么我们建立一个简单的html文件在d:\test01文件夹下。
http://s3.运维网.com/wyfs02/M01/5D/FC/wKiom1UoiYXSwYkVAADZ1CrTevY659.jpg
7.再次访问。
http://s3.运维网.com/wyfs02/M02/5D/FC/wKiom1UoiYajWir9AACAc2p79yI666.jpg
8.仔细看看访问的信息
http://s3.运维网.com/wyfs02/M00/5D/FC/wKiom1UoiYexxCGTAACk8OBajQ4130.jpg
9.我们再来看看网站的SSL设定。
http://s3.运维网.com/wyfs02/M01/5D/F8/wKioL1UoitTxgbLwAAE0TvJe_40641.jpg
10.这个是默认设定。
http://s3.运维网.com/wyfs02/M02/5D/F8/wKioL1UoitSBQVENAACMFHhFNq4975.jpg
默认情况下,IIS服务器不要求客户端证书。
11.那么我们看看勾选“要求SSL”的时候访问的情况。
http://s3.运维网.com/wyfs02/M00/5D/F8/wKioL1UoitXQydILAACQDtjDzgY041.jpg
http://s3.运维网.com/wyfs02/M01/5D/F8/wKioL1UoitaBdGYmAACNSTEj-n0556.jpg
http://s3.运维网.com/wyfs02/M01/5D/FD/wKiom1UoiYqyLWMfAAB-w6O39ls046.jpg
忽略的意思是站点不会检查客户端的证书有没有,直接忽略。
12.我们把SSL客户端的设定设置为“接受”;再看看访问情况。
http://s3.运维网.com/wyfs02/M02/5D/FD/wKiom1UoiYuixlqaAACQuTujruY512.jpg
http://s3.运维网.com/wyfs02/M02/5D/F8/wKioL1UoitfgHjcgAAB-r9ztHt4209.jpg
接受的意思是站点会检查客户端有没有证书,证书有没有效;如果客户端的检查结果为没有,那么站点就忽略客户端证书;如果检查为结果为有,那么站点服务器和客户端将使用这张客户端证书进行通讯。
13. 我们把SSL客户端的设定设置为“必需”;再看看访问情况。
http://s3.运维网.com/wyfs02/M02/5D/FD/wKiom1UoiYyiBt73AACRe6Ycf8M687.jpg
http://s3.运维网.com/wyfs02/M00/5D/FD/wKiom1UoiYzjjqw2AAGzR0fcZQc945.jpg
14.为了解决上面的问题,我们需要申请一张客户端证书。
未完,待续……
下一篇:IIS SSL客户端证书(忽略/接受/必须)之二——客户端证书申请
页:
[1]