windows server2012之部署HTTPS安全站点

wqee2

                      现在的互联网越来越重视网络安全方面的内容，像我们日常生活中浏览的网上银行网站等涉及安全的你都会发现有https 的标志出现，在URL前加https://前缀表明是用SSL加密的。 你的电脑与服务器之间收发的信息传输将更加安全。它实际上是对网站进行了加密保护。Web服务器启用SSL需要获得一个服务器证书并将该证书与要使用SSL的服务器绑定。http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议要比http协议安全.
SSL（Security Socket Layer）全称是加密套接字协议层，它位于HTTP协议层和TCP协议层之间，用于建立用户与服务器之间的加密通信，确保所传递信息的安全性，同时SSL安全机制是依靠数字证书来实现的。
SSL基于公用密钥和私人密钥，用户使用公用密钥来加密数据，但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下：用户与IIS服务器建立连接后，服务器会把数字证书与公用密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了一条安全通道，只有SSL允许的用户才能与IIS服务器进行通信。
提示：SSL网站不同于一般的Web站点，它使用的是“HTTPS”协议，而不是普通的“HTTP”协议。因此它的URL（统一资源定位器）格式为“https：//网站域名”。
下面就让我们通过部署CA来实现安全的WEB站点，我们就拿https://www.baidu.com 来进行演示测试：
首先，我们依然准备三台服务器，server01 CA服务器、server02WEB服务器、server03 为工作组计算机。
我们首先在server01上不熟我们的CA服务器，服务器管理器-——添加角色和功能，如图：

下一步，将Active Directory证书服务勾选，添加功能，如图所示：

下一步，将证书颁发机构Web注册勾选上，添加功能，如图所示：

如下图，点击“下一步”：

以下所有都是默认安装的，直接点击“下一步”，如图：

下一步，点击“安装”，完成CA服务器的安装：

安装完成证书服务后，我们开始要部署CA，配置目标服务器上的证书服务，如下图：

出现配置向导，点击“下一步”如图：

下一步，将前两项勾选上，如图，点击下一步：

由于我们是在域环境下配置的，客户端自动信任，我们选择企业CA，如下图：

下一步，CA类型我们选择“根”如图所示：

下一步，我们选择“创建新的私钥”，点击下一步，如下图所示：

以下步骤，我们选择默认安装，如下图：

点击下一步，如下图：

时间自由配置，这里我们保持默认，点击下一步，如图：

数据库默认安装位置，如下图：

下一步，点击“配置”，如下图：


配置成功后，点击关闭：

部署CA后，验证其功能，通过浏览器访问，http://192.168.1.101/certsrv ，并输入与管理员凭证，如下图：

输入凭据后会出现如下图所示，此证明证书服务已经在本台server01机器上安装成功了：

下面，我们来到server02 （WEB服务器）这台机器上面，打开IIS管理器，点击服务器——服务器证书，双击打开，如下图：

点击窗口右侧的“创建证书申请”，如下图：

以下填写信息，注意：通用名称填写客户端访问时的模式，如：我们要访问www.baidu.com，如下图：

下面的位长默认以下数值，点击“下一步”，如图：

下一步，为证书申请制定一个文件名，我在这里起名为certsrv,并指定位置如下图：

下面就是申请证书后所给的编码，用来接下来申请证书用：

下一步，打开这个文本文档，并复制里面的内容，如下图：

复制完内容后，我们通过浏览器访问http://192.168.1.101 如下图：

下一步，我们选择申请证书，如下图：

选择“高级证书申请”，如下图：

选择使用base64编码提交证书申请，如下图：

将之前文档中复制的所有的内容粘贴到文本框中，证书模版选择“WEB服务器”，提交申请，如下图：

提交申请过后，会出现以下界面，我们选择“下载CA证书”，如下图：

将下载证书另存到本地磁盘，如下图：

下一步，我们继续打开IIS管理器，点击“完成证书申请”，如下图：

注意：证书颁发机构相应的文件名指的是下载证书存放的位置，如下图：

证书申请完成后，我们就可以看到服务器证书中多了一个我们添加的站点，如下图：

下一步，我们选择我们要访问的网站，——绑定——添加网站绑定，将类型改为https，端口443，SSL证书选择我们申请的证书，如下图

如下图所示，就出现了https://www.baidu.com :

以上的步骤基本上就可以实现安全站点，https://www.baidu.com
接下来，我们需要通过客户端（server03工作组计算机）来访问该网站，我们需要访问http://192.168.1.101/certsrv 来下载证书，如下图：

选择下载CA证书;将下载的证书另存到本地磁盘：

下一步，我们运行mmc打开控制台窗口，如下图：

选择文件——添加或删除管理单元，如下图：

找到证书，选择“证书”添加，如下图：

添加后，我们选择计算机账户，如下图：

选择本地计算机，如下图，点击完成：

进入证书导入向导，点击下一步：

文件名为下载证书存放的位置，如下图：

证书存储受信任的根证书颁发机构，点击下一步：

点击完成证书导入向导：

下一步，点击证书——受信任的根证书颁发机构——右键——所有任务——导入证书文件，如下图：

下面我们就可以通过server03 的机器访问https://www.baidu.com

我们还可以设置只允许https访问，不允许http访问，操作很简单如下：点击baidu站点，选择SSL设置双击打开，如下图：

下一步，将“要求SSL”勾选，并点击“应用”，如下图：

下面我们再次通过server03 访问http://www.baidu.com，就会出现以下的错误，如下图：

以上的所有内容就是基于CA证书部署https安全站点。配置https://www.baidu.com的访问过程，实验过程步骤比较详细，感谢大家的收看~~么么哒！！