2008上使用IIS搭建WEB服務(wù)器、CA數(shù)字證書應(yīng)用圖解(.docx

Windows Server 2008上使用IIS搭建WEB服務(wù)器、客戶端的數(shù)字證書應(yīng)用（一）一、什么是數(shù)字證書及作用？數(shù)字證書就是互聯(lián)網(wǎng)通訊中標(biāo)志（證明）通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗證您身份的方式，其作用類似于司機的駕駛執(zhí)照或日常生活中的身份證。它是由一個由權(quán)威機構(gòu)-CA機構(gòu)，又稱為證書授權(quán)（Certificate Authority）中心發(fā)行的，人們可以在網(wǎng)上用它來識別對方的身份。數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。常用的密鑰包括一個公開的密鑰和一個私有的密鑰即一組密鑰對，當(dāng)信息使用公鑰加密并通過網(wǎng)絡(luò)傳輸?shù)侥繕?biāo)主機后，目標(biāo)主機必需使用對應(yīng)的私鑰才能解密使用。使用它主要是為了提高IT系統(tǒng)在敏感數(shù)據(jù)應(yīng)用領(lǐng)域的安全性，為用戶業(yè)務(wù)提供更高安全保障；注：數(shù)字證書，下面均簡稱證書；二、如何搭建證書服務(wù)器？搭建證書服務(wù)器步驟如下：1、登陸Windows Server 2008服務(wù)器；2、打開【服務(wù)器管理器】；（圖2）3、點擊【添加角色】，之后點擊【下一步】；（圖3）4、找到【Active Directory證書服務(wù)】勾選此選項，之后點擊【下一步】；（圖4）5、進入證書服務(wù)簡介界面，點擊【下一步】；（圖5）6、將證書頒發(fā)機構(gòu)、證書頒發(fā)機構(gòu)WEB注冊勾選上，然后點擊【下一步】；（圖6）7、勾選【獨立】選項，點擊【下一步】；（由于不在域管理中創(chuàng)建，直接默認(rèn)為：“獨立”）(圖7)8、首次創(chuàng)建，勾選【根CA】，之后點擊【下一步】；（圖8）9、首次創(chuàng)建勾選【新建私鑰】，之后點擊【下一步】；（圖9）10、默認(rèn)，繼續(xù)點擊【下一步】；（圖10）11、默認(rèn)，繼續(xù)點擊【下一步】；（圖11）12、默認(rèn)，繼續(xù)點擊【下一步】；（圖12）13、默認(rèn)，繼續(xù)點擊【下一步】；（圖13）14、點擊【安裝】；（圖14）15、點擊【關(guān)閉】，證書服務(wù)器安裝完成；（圖15）Windows Server 2008上使用IIS如何配置WEB服務(wù)器上證書應(yīng)用（SSL應(yīng)用）？此應(yīng)用用于提高WEB站點的安全訪問級別；配置后應(yīng)用站點可實現(xiàn)安全的服務(wù)器至客戶端的信道訪問；此信道將擁有基于SSL證書加密的HTTP安全通道，保證雙方通信數(shù)據(jù)的完整性，使客戶端至服務(wù)器端的訪問更加安全； 注：以證書服務(wù)器創(chuàng)建的WEB站點為示例，搭建WEB服務(wù)器端SSL證書應(yīng)用步驟如下：1、 打開IIS，WEB服務(wù)器，找到【服務(wù)器證書】并選中；（圖1）2、點擊【服務(wù)器證書】，找到【創(chuàng)建證書申請】項；（圖2）3、 單擊【創(chuàng)建證書申請】，打開【創(chuàng)建證書申請】后，填寫相關(guān)文本框，填寫中需要注意的是：“通用名稱”必需填寫本機IP或域名，其它項則可以自行填寫； 注：下面的03為示例機IP地址，實際IP地址需根據(jù)每人主機IP自行填寫；填寫完后，單擊【下一步】；（圖3）4、 默認(rèn)，點擊【下一步】；（圖4）5、 選擇并填寫需要生成文件的保存路徑與文件名, 此文件后期將會被使用；（保存位置、文件名可以自行設(shè)定），之后點擊【完成】，此配置完成，子界面會關(guān)閉；（圖5）6、 接下來，點擊IE（瀏覽器），訪問：03/certsrv/；注：此處的03為示例機IP地址，實際IP地址需根據(jù)每人主機IP自行填寫；（圖6-1）此時會出現(xiàn)證書服務(wù)頁面；此網(wǎng)站如果點擊【申請證書】，進入下一界面點擊【高級證書申請】，進入下一界面點擊【創(chuàng)建并向此CA提交一個申請】，進入下一界面，此時會彈出一個提示窗口：“為了完成證書注冊，必須將該CA的網(wǎng)站配置為使用HTTPS身份驗證”；也就是必須將HTTP網(wǎng)站配置為HTTPS的網(wǎng)站，才能正常訪問當(dāng)前網(wǎng)頁及功能；（圖6-2）在進行后繼內(nèi)容前，相關(guān)術(shù)語名詞解釋：HTTPS（全稱：Hypertext Transfer Protocol over Secure Socket Layer），是以安全為目標(biāo)的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細內(nèi)容就需要SSL。 它是一個URI scheme（抽象標(biāo)識符體系），句法類同http:體系。用于安全的HTTP數(shù)據(jù)傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認(rèn)端口及一個加密/身份驗證層（在HTTP與TCP之間）。這個系統(tǒng)的最初研發(fā)由網(wǎng)景公司進行，提供了身份驗證與加密通訊方法，現(xiàn)在它被廣泛用于萬維網(wǎng)上安全敏感的通訊，例如交易支付方面。SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全（Transport Layer Security，TLS）是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層對網(wǎng)絡(luò)連接進行加密。至此，我們需要搭建一個HTTPS網(wǎng)站，即搭建WEB服務(wù)器的SSL應(yīng)用；7、 如何搭建HTTPS的網(wǎng)站呢？前期回顧：證書服務(wù)已搭建，用于創(chuàng)建SSL的加密服務(wù)；使用證書服務(wù)器的WEB網(wǎng)站時，提示需要將證書WEB站點配置為HTTPS網(wǎng)站才能正常使用；我們繼續(xù)以證書服務(wù)器的搭建為示例，完成WEB服務(wù)器的SSL應(yīng)用搭建；8、 接下來，由于搭建HTTPS需要先申請證書，但現(xiàn)在證書服務(wù)網(wǎng)站也需要配置為HTTPS才能正常使用，那么在證書網(wǎng)站還未配置為HTTPS服務(wù)前我們?nèi)绾紊暾堊C書？方法如下：方法：打開IE(瀏覽器)，找到工具欄，點擊【工具欄】，找到它下面的【Internet選項】；（圖8）9、 點擊【Internet選項】-點擊【安全】-點擊【可信站點】；（圖9）10、 點擊【可信站點】，并輸入之前的證書網(wǎng)站地址：03/certsrv，并將其【添加】到信任站點中；添加完后，點擊【關(guān)閉】，關(guān)閉子界面；（圖10）11、 接下來，繼續(xù)在【可信站點】位置點擊【自定義級別】，此時會彈出一個【安全設(shè)置】子界面，在安全設(shè)置界面中拖動右別的滾動條，找到【對未標(biāo)記為可安全執(zhí)行腳本的ActiveX控件初始化并執(zhí)行腳本】選項，將選為【啟用】；之后點擊所有【確定】操作，直到【Internet選項】子界面關(guān)閉為止；（圖11）12、 完成上面操作后，先將IE關(guān)閉，然后重新打開，輸入：03/certsrv；頁面出來后點擊【申請證書】；（圖12）13、 點擊【高級證書申請】（圖13）14、 點擊【使用base64編碼的CMC或PKCS#10文件提交一個證書申請，或使用Base64編碼的PKCS#7文件續(xù)訂證書申請】 (圖14）15、 將之前保存的密鑰文檔文件找到并打開，將里面的文本信息復(fù)制并粘貼到“Base-64編碼的證書申請”文本框中；確定文本內(nèi)容無誤后，點擊【提交】；（圖15-1）（圖15-2）16、 此時可以看到提交信息，申請已經(jīng)提交給證書服務(wù)器，關(guān)閉當(dāng)前IE；（圖16）17、 打開證書服務(wù)器處理用戶剛才提交的證書申請；回到Windows【桌面】-點擊【開始】-點擊【運行】，在運行位置輸入：certsrv.msc，然后回車就會打開證書服務(wù)功能界面；打開后，找到【掛起的申請】位置，可以看到之前提交的證書申請；（圖17）18、點擊鼠標(biāo)右鍵會出現(xiàn)【所有任務(wù)】，點擊【所有任務(wù)】-點擊【頒發(fā)】將掛起的證書申請審批通過，此時掛起的證書會從當(dāng)前界面消失，即代表已完成操作；（圖18）19、點擊【頒發(fā)的證書】，可以看到新老已審批通過的證書；其它操作（吊銷的證書、失敗的申請）在此略掉，大家有空可以自己試用；（圖19）20、重新打開IE，輸入之前的網(wǎng)址：03/certsrv/；打開頁面后，可點擊【查看掛起的證書申請的狀態(tài)】；之后會進入“查看掛起的證書申請的狀態(tài)”頁面，點擊【保存的申請證書】；（圖20）21、進入新頁面后，勾選Base 64編碼，然后點擊【下載證書】,將已申請成功的證書保存到指定位置，后續(xù)待用； （圖21）22、打開IIS服務(wù)器，點擊【服務(wù)器證書】-【完成證書申請】-選擇剛保存的證書，然后在“好記名稱”文本框中輸入自定義的名稱，完后點擊【確定】；（圖22）23、上述操作完后，可在“服務(wù)器證書”界面下看到“JZT_TEST1”證書；（圖23）24、點擊左邊的【Default Web Site】菜單，然后找到【綁定】功能，點擊【綁定】功能，會彈出【網(wǎng)站綁定】界面，默認(rèn)會出現(xiàn)一個類型為http，端口為80的主機服務(wù)，然后點擊【添加】，會彈出【添加網(wǎng)站綁定】界面，在此界面中選擇“類型：https”、“SSL證書：JZT_TEST1”，然后點【確定】；點完確定后，會看到【網(wǎng)站綁定】子界面中有剛配的HTTPS服務(wù)，點擊【關(guān)閉】，子界面消失； (圖24)25、點擊左菜單上的【CertSrv】證書服務(wù)網(wǎng)站，然后點擊【SSL設(shè)置】;（圖25）26、進入SSL設(shè)置頁面，勾選上“要求”即啟用SSL功能，然后點擊【應(yīng)用】，保存設(shè)置；（圖26）27、此時一個基于應(yīng)用的WEB服務(wù)器站點已配置完成；讓我們用試下SSL的應(yīng)用；首先，將我們之前為了申請證書而開放的【可信站點】的設(shè)置還原；在IE的【可信站點】的【自定義級別】選項中【對未標(biāo)記為可安全執(zhí)行腳本的ActiveX控件初始化并執(zhí)行腳本】選項，由“