Windows 下 IIS 的 SSL 配置说明
一 服务器上安装证书服务1.先在服务器上安装CA
Win2000中带有CA的安装程序。单击开始菜单,控制面板 添加/删除程序并单击添加/删除Windows组件,当Windows 组件向导出现时,选择证书服务。
2.下一步中,安装需要指出服务器授权的类型,一般作为一个独立的Web服务器,选择独立根CA。
3.然后,需要指定共享文件夹,这作为证书服务的配置数据存储位置,单击Next,安装完毕。
注意:自己建立CA 机构时,所给CA机构起的名是自己定义的,在客户端的IE中,在一开始并不属于客户端信任的根证书颁发机构,如果,客户端没有把该CA机构加为自己所信任的根证书颁发机构,那么在客户端访问该服务器上的网站时,会出现安全警告信息。
二 建立并安装一个站点证书
步骤如下:
1.打开IIS,选定要安装证书的站点,单击右键,选择弹出菜单中的属性
2.在弹出的对话框中,单击目录安全性属性页,单击证书服务器按钮,出现IIS 证书 Wizard对话框
下一步
按提示输入信息后
3.这一步的操作,所完成的功能是生成一个向CA申请数字证书的密钥文件,文件以.txt的格式存于本机目录下。
4.在安装了证书服务的机器上,可以从位于http://localhost/certsrv 的Web页面可以访问该注册控件。
选择申请证书选项,在下一页面中选择高级申请,这里需要注意的是,如果是给网站申请数字证书时必须选择该项,因为赋予网站的数字证书需要使用特定的密钥文件,这样才能生成属于该网站的唯一的数字证书。而一般用户证书申请是针对需要访问该网站的客户设计的,分别有web浏览器证书和E-Mail保护证书 两种方式。客户采用web浏览器证书方式申请对有SSL保护的网站的访问,而E-Mail保护证书是保护客户收发email时的信息传送。
5.接下去页面的高级证书申请 中我们选择“使用base64编码的….文件更新证书申请”
6. 然后,可以通过浏览器把存在本机上的.txt密钥文件上载至网页上,递出申请:
在最后的界面中,会被告知请求已经被接到并正在等待证书授权机构的批准。
7. 微软的证书服务可以使用MMC来管理:
服务器提出的要求数字验证的请求传递到CA机构中,打开开始/程序/管理工具/证书颁发机构
可以看到“待定申请”文件夹,这个文件夹包含了所有等待授权机构批准的证书请求。
如果CA认证机构觉得该网站的申请可行,则单击右键选择颁发,这样,该文件就被移到了颁发的证书,表示申请成功,这个节点包含了所有被证书服务的管理员批准并被发布的证书。
8. 提交数字验证的网站在等待一定时间后,依然可以通过http://localhost/certsrv来查看自己所申请的数字验证的进行情况。
9. 选择“检查刮起的证书”选项并单击Next 按钮继续。从选项框中选择候选的请求,单击Next按钮继续。为下载该文件选择Base64 编码并单击“下载CA证书”接以开始下载过程。这样就从证书授权机构接到了服务器证书文件。
打开IIS,选定已经得到数字验证的网站,单击右键后选择属性,在属性页“目录安全性”中,单击“服务器证书” 按钮以启动Web服务证书向导
10. 选择“处理挂起的请求并安装证书”选项。
11.选择第8步骤中下载的数字证书(即.cer文件)的存放路径,开始安装。安装成功后,“目录安全性”属性页中的查看证书和编辑按钮由disable变为enable。整个网站的数字验证过程完毕。
三 关于证书的属性设置
1.点击目录安全性属性页的编辑按钮,可以进行网站数字验证属性的设置。
2. 如果选择了申请安全通道(SSL)复选框,则http的形式将无法访问该站点,只有采用https的方式进行访问。如果不选择该项的话,则http和https两种方式并存,都可以进行对此网站的访问。
如果选择了该项,则又有三种方式可供选择,分别是ignore client certificate,accept client certificate 以及require client certificate。Ignore client certificate表示不接受客户证书(默认):如果客户浏览器安装了客户证书,会返回一个Access Denied消息。Accept client certificate表示接受证书:不管客户是否安装了客户证书对服务器没有区别,访问在两种情况下都是允许的。Ignore client certificate表示需要客户证书:除非客户有一个被root CA(这里是证书服务器)授予的合法证书,否则访问被拒绝。客户要访问网站,必须得先从服务器得到数字验证,也即,客户端必须首先向要访问的网站提出要求数字验证的申请,在得到服务器端发回的用于两者间信息交互的数字证书后,才可以对该网站进行访问,否则,网站将拒绝该客户的访问。
不同的网站可以针对这三个属性进行不同的设置。
四 客户端SSL的验证
1. 客户通过俄访问https://localhost来验证
页:
[1]