|
|
本文出自 “yangming.com” 博客,出处http://ming228.blog.iyunv.com/421298/104180
SSL(Security Socket Layer,安全套接层)是一种在两台主机之间提供安全通道的协议,其目的是通过加密保护传输的数据并对通信双方进行身份验证,保证两台主机之间的通信安全.SSL最早由网景公司开发的,在目前应用中,广泛采用标准SSLv3.
下面先来部署HTTPS
有关具体的部署可看之前的文章IIS.
http://img1.iyunv.com/attachment/200810/200810071223378705140.jpg
这里是针对部署的411网站,点其属性.
http://img1.iyunv.com/attachment/200810/200810071223378767171.jpg
点服务器证书,开始为网站申请证书.
http://img1.iyunv.com/attachment/200810/200810071223378822453.jpg
下一步
http://img1.iyunv.com/attachment/200810/200810071223378871218.jpg
点新建证书.
http://img1.iyunv.com/attachment/200810/200810071223378908578.jpg
下一步.
http://img1.iyunv.com/attachment/200810/200810071223378964828.jpg
输入证书名称.
http://img1.iyunv.com/attachment/200810/200810071223379010921.jpg
设置网站的公用名称
http://img1.iyunv.com/attachment/200810/200810071223379054734.jpg
设置网站所在的地理位置信息
http://img1.iyunv.com/attachment/200810/200810071223379085250.jpg
指定证书请求的文件名称
http://img1.iyunv.com/attachment/200810/200810071223379111375.jpg
点下一步
http://img1.iyunv.com/attachment/200810/200810071223379137171.jpg
证书请求文件创建完成
然后按照之前CA部署的文章进行使用生成证书请求文件向CA提供证书申请,然后在CA上颁发证书.
下面来看获取和安装网站证书
获取的步骤也参看CA部署文章
http://img1.iyunv.com/attachment/200810/200810071223379283265.jpg
这个是获得的网站证书.
然后打开网站属性对话框"目录安全性"选项卡,单击服务器证书.
http://img1.iyunv.com/attachment/200810/200810071223379469109.jpg
现在来处理挂起的请求并安装证书
http://img1.iyunv.com/attachment/200810/200810071223379504078.jpg
在此对话框中指定从CA获得的网站证书的文件名称.
http://img1.iyunv.com/attachment/200810/200810071223379550609.jpg
在此对话框中指定HTTPS的端口,标准端口为443
http://img1.iyunv.com/attachment/200810/200810071223379588468.jpg
显示了即将安装的网站证书的基本信息.
http://img1.iyunv.com/attachment/200810/200810071223379637250.jpg
点完成
这样早请的网站证书安装就完成了.
http://img1.iyunv.com/attachment/200810/200810071223379760484.jpg
点查看证书
http://img1.iyunv.com/attachment/200810/200810071223379784515.jpg
这里有关证书的详细信息
下面来看通过HTTPS访问网站
登录WEB客户端,并从CA获取CA证书
http://img1.iyunv.com/attachment/200810/200810071223379850171.jpg
并点击安装
http://img1.iyunv.com/attachment/200810/200810071223379882765.jpg
下一步
http://img1.iyunv.com/attachment/200810/200810071223379899984.jpg
这里默认便可以
http://img1.iyunv.com/attachment/200810/200810071223379916937.jpg
点完成
然后单击开始--运行
http://img1.iyunv.com/attachment/200810/200810071223379952359.jpg
确定
http://img1.iyunv.com/attachment/200810/200810071223379970625.jpg
在证书管理控制台能够看到安装的CA证书.
单击开始--控制面板--INTERNET选项,打开INTERNET属性对话框,单击内容标签.
http://img1.iyunv.com/attachment/200810/200810071223380077906.jpg
单击证书
http://img1.iyunv.com/attachment/200810/200810071223380100828.jpg
也能够看到安装的CA证书
下面来配置网站只接受HTTPS访问
http://img1.iyunv.com/attachment/200810/200810071223381297218.jpg
在WEB服务器上点安全通信中的编辑,选中"要求安全通道"并忽略客户端证书.
http://img1.iyunv.com/attachment/200810/200810071223381403187.jpg
然后在客户端打开浏览器访问WEB服务器.
http://img1.iyunv.com/attachment/200810/200810071223381445625.jpg
可以看到要用HTTPS为通信协议的URL才能成功访问.
配置HTTPS的加密强度
http://img1.iyunv.com/attachment/200810/200810071223381520921.jpg
并勾选要求128位加密
http://img1.iyunv.com/attachment/200810/200810071223381560093.jpg
访问成功
配置HTTPS执行双向认证
默认情况下,HTTPS单向认证的模式工作,即客户端通过网站证书来验证网站的身份,但网站并不验证客户端的身份,如果需要通过证书验证客户端身份,则可以要求试图访问网站的客户端必须提供证书才能进行访问,执行双向认证时,网站将只接受HTTPS访问
http://img1.iyunv.com/attachment/200810/200810071223381770375.jpg
选择要求客户端证书
http://img1.iyunv.com/attachment/200810/200810071223381819640.jpg
然后要向CA申请WEB浏览器证书.
http://img1.iyunv.com/attachment/200810/200810071223381920734.jpg
点WEB浏览器证书
中间的过程就省略了,之前文章已介绍过
http://img1.iyunv.com/attachment/200810/200810071223381972109.jpg
然后点安装此证书
http://img1.iyunv.com/attachment/200810/200810071223381995515.jpg
点是
http://img1.iyunv.com/attachment/200810/200810071223382032359.jpg
在HTTPS执行双向认证的过程中,默认情况下,网站收到客户端提供的证书后会检查CRL以验证该证书是否被吊销,如果未能联系到CA或未能检查到CRL,因而无法确认客户端证书的吊销状态,则将拒绝该证书,可以配置指定网站在收到客户端证书后不检查CRL.
http://img1.iyunv.com/attachment/200810/200810071223382213687.jpg
certchechmode的默认值为0,即网站需检查CRL,将其值设置为1,则网站不再检查CRL.
通过证书对访问网站的用户进行身份验证
通过将客户端证书映射到WEB服务器上的WINDOWS用户帐户,可以建立证书与用户账户关联,基于这种关系,网站通过验证证书即可验证该证书使用者的用户身份,当用户使用客户端证书登录时,WEB服务器就会自动将用户与相应的WINDOWS用户账户关联起来
http://img1.iyunv.com/attachment/200810/200810071223382847218.jpg
启用客户端证书映射
单击编辑
http://img1.iyunv.com/attachment/200810/200810071223382881640.jpg
点添加
http://img1.iyunv.com/attachment/200810/200810071223382956015.jpg
确定
配置HTTPS启用证书信任列表
http://img1.iyunv.com/attachment/200810/200810071223383077093.jpg
点新建
http://img1.iyunv.com/attachment/200810/200810071223383094609.jpg
下一步
http://img1.iyunv.com/attachment/200810/200810071223383122125.jpg
选择要添加的CA证书
http://img1.iyunv.com/attachment/200810/200810071223383155390.jpg
下一步
http://img1.iyunv.com/attachment/200810/200810071223383176687.jpg
输入名称
http://img1.iyunv.com/attachment/200810/200810071223383193500.jpg
点完成
http://img1.iyunv.com/attachment/200810/200810071223383210968.jpg
完成. |
|
|
QQ群⑧:
窥视卡
雷达卡
发表于 2015-5-6 11:49:15
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡