證書服務(wù)相關(guān)

1、證書教程：Server 2003 : 使用SSL協(xié)議有什么好處呢？SSL安全協(xié)議工作在網(wǎng)絡(luò)傳輸層，適用于HTTP，telnet,FTP和NNTP等服務(wù)，不過SSL最廣泛的應(yīng)用還是WEB安全訪問，如網(wǎng)上交易，政府辦公等。本文將由筆者為各位讀者介紹使用SSL加密協(xié)議建立WWW站點(diǎn)的全過程，為了保證技術(shù)的先進(jìn)性我們介紹在windows2003的IIS6上建立SSL加密的方法，當(dāng)然在windows2000的IIS5上建立SSL加密步驟基本相同。一、先決條件：要想成功架設(shè)SSL安全站點(diǎn)關(guān)鍵要具備以下幾個(gè)條件。1、需要從可信的證書辦法機(jī)構(gòu)CA獲取服務(wù)器證書。2、必須在WEB服務(wù)器上安裝服務(wù)器證書。3、必須

2、在WEB服務(wù)器上啟用SSL功能。4、客戶端（瀏覽器端）必須同WEB服務(wù)器信任同一個(gè)證書認(rèn)證機(jī)構(gòu)，即需要安裝CA證書。二、準(zhǔn)備工作：在實(shí)施SSL安全站點(diǎn)之前需要我們做一些準(zhǔn)備工作。第一步：默認(rèn)情況下IIS6組件是安裝在windows2003中的，如果沒有該組件請自行安裝。第二步：我們建立的IIS站點(diǎn)默認(rèn)是使用HTTP協(xié)議的，打開瀏覽器在地址處輸入“http:/本機(jī)IP”（不含引號(hào)）就可以訪問。（如圖1）圖1第三步：安裝證書服務(wù)，通過控制面板中的添加/刪除程序，選擇添加/刪除windows組件。在windows組件向?qū)е姓业健白C書服務(wù)”，前面打勾后點(diǎn)“下一步”。（如圖2）圖2小提示：證書服務(wù)有兩個(gè)

3、子選項(xiàng)“證書服務(wù)Web注冊支持”和“證書服務(wù)頒發(fā)機(jī)構(gòu)(CA)”。為了方便這兩個(gè)功能都需要安裝。第四步：系統(tǒng)會(huì)彈出“安裝證書服務(wù)后計(jì)算機(jī)名和區(qū)域成員身份會(huì)出現(xiàn)改變，是否繼續(xù)”的提示，我們選“是”即可。（如圖3）圖3第五步：在windows組件向?qū)A類型設(shè)置窗口中選擇獨(dú)立根CA。（如圖4）圖4第六步：CA識(shí)別信息處的CA公用名稱輸入本地計(jì)算機(jī)的IP地址，如5，其他設(shè)置保留默認(rèn)信息即可。（如圖5）圖5第七步：輸入證書數(shù)據(jù)庫等信息的保存路徑，仍然選擇默認(rèn)位置系統(tǒng)目錄的system32下的certlog即可。（如圖6）圖6第八步：下一步后出現(xiàn)“要完成安裝，證書服務(wù)必須暫時(shí)停止IIS

4、服務(wù)”的提示。選擇“是”后繼續(xù)。（如圖7）圖7第九步：開始復(fù)制組件文件到本地硬盤。（如圖8）圖8第十步：安裝過程中會(huì)出現(xiàn)缺少文件的提示，我們需要將windows2003系統(tǒng)光盤插入光驅(qū)中才能繼續(xù)。（如圖9）圖9第十一步：繼續(xù)復(fù)制文件完成windows組件的安裝工作。（如圖10）圖10 三、配置證書：下面就要為各位讀者介紹如何通過IIS證書向?qū)渲梦覀冃枰淖C書文件。第一步：通過“管理工具”中的IIS管理器啟動(dòng)IIS編輯器。第二步：在默認(rèn)網(wǎng)站上點(diǎn)鼠標(biāo)右鍵選擇“屬性”。（如圖11）圖11第三步：在默認(rèn)網(wǎng)站屬性窗口中點(diǎn)“目錄安全性”標(biāo)簽，然后在安全通信處點(diǎn)“服務(wù)器證書”按鈕。（如圖12）圖

5、12第四步：系統(tǒng)將自動(dòng)打開WEB服務(wù)器證書向?qū)А＃ㄈ鐖D13）圖13第五步：服務(wù)器證書處選擇“新建證書”，然后下一步繼續(xù)。（如圖14）圖14第六步：延遲或立即請求處選擇“現(xiàn)在準(zhǔn)備證書請求，但稍后發(fā)送”。（如圖15）圖15第七步：設(shè)置證書的名稱和特定位長，名稱保持默認(rèn)網(wǎng)站即可，在位長處我們通過下拉菜單選擇512。（如圖16）圖16小提示：位長主要用于安全加密，位長越來則越安全，不過傳輸效率會(huì)受到一定的影響，網(wǎng)站性能也受影響。一般來說選擇512已經(jīng)足夠了。第八步：輸入單位信息，包括單位和部門。（如圖17）圖17第九步：在站點(diǎn)公用名稱窗口輸入localhost。（如圖18）圖18第十步：地理信息隨便填

6、寫即可。（如圖19）圖19第十一步：設(shè)置證書請求的文件名，我們可以將其保存到桌面以便下面步驟調(diào)用方便，保存的文件名為certreq.txt。（如圖20）圖20第十二步：完成了IIS證書向?qū)渲霉ぷ鳎凑找髮⑾鄳?yīng)的證書文件保存到桌面。（如圖21）圖21 四、申請證書：配置好IIS所需的證書文件后就要根據(jù)該證書內(nèi)容進(jìn)行申請了。第一步：打開IE瀏覽器在地址欄中輸入5/certsrv/打開證書服務(wù)界面。（服務(wù)器IP地址為5）（如圖22）圖22第二步：點(diǎn)“申請一個(gè)證書”后繼續(xù)。第三步：在申請證書界面選擇“高級(jí)證書申請”。（如圖23）圖23

7、第四步：在高級(jí)證書申請界面選擇“使用base64編碼的CMC或PKCS #10文件提交一個(gè)證書申請，或繼訂證書申請”。（如圖24）圖24第五步：用記事本打開上面保存在桌面上的那個(gè)certreq.txt文件，將里面的內(nèi)容全部復(fù)制。（如圖25）圖25第六步：將復(fù)制的全部內(nèi)容粘貼到“提交一個(gè)證書申請或續(xù)訂申請”界面，然后點(diǎn)“提交”按鈕。（如圖26）圖26第七步：成功申請后出現(xiàn)證書掛起提示，說明證書申請已經(jīng)收到，等待管理員通過申請認(rèn)證。（如圖27）圖27至此我們就完成了證書的申請工作，下面要通過剛剛申請的證書認(rèn)證。 五、驗(yàn)證證書：證書申請后還需要服務(wù)器的管理員手動(dòng)頒發(fā)該證書才能使之生效。第一

8、步：我們選擇任務(wù)欄的“開始->程序->管理工具->證書頒發(fā)機(jī)構(gòu)”。（如圖28）圖28第二步：在左邊選項(xiàng)中找到“掛起的申請”。（如圖29）圖29第三步：查看右邊的列表，剛才提交的證書申請赫然在目，在待申請的證書上單擊鼠標(biāo)右鍵，彈出菜單中有“所有任務(wù)”一項(xiàng)，接著選擇子項(xiàng)“頒發(fā)”。這時(shí)這個(gè)“待定申請”就會(huì)轉(zhuǎn)移到“頒發(fā)的證書”下面。第四步：在“頒發(fā)的證書”下找到剛才那個(gè)證書，雙擊打開。并在“證書屬性窗口”的詳細(xì)信息標(biāo)簽中選擇“復(fù)制到文件”。（如圖30）圖30第五步：在“證書導(dǎo)出向?qū)А敝校我膺x擇一種CER格式導(dǎo)出，比如“DER 編碼二進(jìn)制”并保存成文件。通過以上五步操作我們的IIS證

9、書就通過了系統(tǒng)管理員的審核，下面就可以通過審核過的證書建立SSL加密站點(diǎn)了。六、配置IIS的SSL安全加密功能我們再次來到IIS設(shè)置窗口中啟用SSL安全加密功能。第一步：在默認(rèn)網(wǎng)站屬性窗口中點(diǎn)“目錄安全性”標(biāo)簽，然后在安全通信處點(diǎn)“服務(wù)器證書”按鈕。第二步：掛起的證書請求窗口中選擇“處理掛起的請求并安裝證書”選項(xiàng)。（如圖31）圖31第三步：通過瀏覽按鈕找到在驗(yàn)證證書第五步中通過證書導(dǎo)出向?qū)倓偙４娴腄ER編碼格式的文件。（如圖32）圖32第四步：這時(shí)我們就可以設(shè)置SSL參數(shù)了，在安全通信屬性中將”要求安全通道SSL”前打上對(duì)勾，從而啟用了IIS站點(diǎn)的SSL加密功能。（如圖33）圖33第五步：再

10、次來到默認(rèn)網(wǎng)站屬性中的網(wǎng)站標(biāo)簽，可以看到SSL端口已經(jīng)配置了端口信息443。（如圖34）圖34至此我們就完成了SSL加密站點(diǎn)的配置工作，客戶端訪問服務(wù)器的IIS網(wǎng)站時(shí)所瀏覽的信息是通過加密的，是非常安全的。七、瀏覽SSL加密站點(diǎn)：服務(wù)器上設(shè)置完SSL加密站點(diǎn)功能后我們在客戶機(jī)上通過瀏覽器訪問該站點(diǎn)時(shí)就會(huì)彈出一個(gè)“安全警報(bào)”窗口。（如圖35）只有信任該證書后才能夠正常瀏覽網(wǎng)站信息。（如圖36）圖36小提示：在訪問通過SSL加密的站點(diǎn)時(shí)所輸入的地址應(yīng)該以https:/開頭，例如本文中應(yīng)該使用5。如果仍然那使用5則會(huì)出現(xiàn)“該網(wǎng)頁必須通

11、過安全頻道查看，您要查看的網(wǎng)頁要求在地址中使用"https"。禁止訪問：要求SSL”的提示。總結(jié)：本文介紹的步驟是建立在windows2003+iis6的基礎(chǔ)上的，對(duì)于windows2000 Server或者Windows 2000 Advance Server也是可以在IIS5基礎(chǔ)上建立SSL加密功能的，設(shè)置步驟基本類似。如果你使用的是Windows 2000 Professional版本就不用閱讀本文了，因?yàn)檫@個(gè)版本不支持IIS的SSL訪問。轉(zhuǎn)自： win7教程： 要想成功架設(shè)SSL安全站點(diǎn)關(guān)鍵要具備以下幾個(gè)條件。1、需要從可信的證書辦法機(jī)構(gòu)CA獲取服務(wù)器證書。

12、0;2、必須在WEB服務(wù)器上安裝服務(wù)器證書。 3、必須在WEB服務(wù)器上啟用SSL功能。 4、客戶端（瀏覽器端）必須同WEB服務(wù)器信任同一個(gè)證書認(rèn)證機(jī)構(gòu)，即需要安裝CA證書。下面，我們對(duì)照上面的四部，進(jìn)行一步一步的操作1：需要從可信的證書辦法機(jī)構(gòu)CA獲取服務(wù)器證書（由于我們是在本地做測試環(huán)境，而不是實(shí)際操作。所以這里我們自己創(chuàng)建一個(gè)證書。如果是實(shí)際的操作，需要通過域名商，來獲取一個(gè)證書，這是要花錢的。）2：必須在WEB服務(wù)器上安裝服務(wù)器證書。 打開IIS，找到服務(wù)器證書、點(diǎn)擊創(chuàng)建自簽名證書輸入你要?jiǎng)?chuàng)建的證書的名字，我這里取名 joeyssl 3、必須在WE

13、B服務(wù)器上啟用SSL功能。接下來，我們新建一個(gè)本地測試站點(diǎn)，并且綁定剛才我們創(chuàng)建的證書。打開 hosts 文件，用于創(chuàng)建一個(gè)站點(diǎn)的名稱（例如 http:/webjoeyssl    那么這個(gè) webjoeyssl 就是我們需要?jiǎng)?chuàng)建的站點(diǎn)名稱，我用hosts解析為本地）C:WindowsSystem32driversetc  在IIS里面綁定目錄，綁定http和 https 在添加的時(shí)候，綁定類型，先選擇 http 的類型，雖然這里有 https，但是還是首先要保證能通過 http能訪問網(wǎng)站，畢竟大部分的人都是通過http來打開站點(diǎn)的，

14、只是在某些特別需要加密的地方用到https，我們下一步會(huì)綁定 https的，這里先不急，除非你整個(gè)站點(diǎn)都是https運(yùn)用，那么這里才只選擇https。 上面的測試，已經(jīng)能保證 http:/webjoeyssl  以及  https:/webjoeyssl 都可以打開網(wǎng)站了。 當(dāng)然我們也可以強(qiáng)行設(shè)置必須要通過 ssl 才能訪問站點(diǎn)（此時(shí)，只有https才能訪問，而http 就無法訪問了）但是這樣會(huì)出現(xiàn)一點(diǎn)問題，你訪問http:/webjoeyssl  ，瀏覽器會(huì)報(bào)錯(cuò)4:客戶端（瀏覽器端）必須同WEB服務(wù)器信任同一個(gè)證

15、書認(rèn)證機(jī)構(gòu)，即需要安裝CA證書。我們打開 http:/webjoeyssl/  或者是 https:/webjoeyssl/    會(huì)提示不安全，點(diǎn)擊繼續(xù)瀏覽即可。在實(shí)際的環(huán)境中，你拿到的是一個(gè)實(shí)際的證書，所以不會(huì)產(chǎn)生類似的報(bào)告安全證書有問題、轉(zhuǎn)自 如果證書服務(wù)無法正常通過站點(diǎn)申請，可以選擇自定義導(dǎo)入pfx證書。如何制作.pfx數(shù)字證書：打開vs2012 自帶的vs toos菜單下的命令窗口， 輸入 makecert help 查看幫助說明makecert 命令詳解： 詳細(xì)操作步驟如下：1、創(chuàng)建一個(gè)自己簽署的X.509證書.cer和一

16、個(gè)私鑰文件.pvk，命令如下：makecert -r -n "CN=XYZ Company" -b 01/01/2012 -e 01/01/2018 -sv myselfName.pvk myselfName.cer注意：執(zhí)行命令后會(huì)彈出私鑰密碼對(duì)話框，按提示設(shè)置私鑰密碼（也可以不使用密碼），后面將會(huì)用到這個(gè)密碼。2、利用X.509證書.cer創(chuàng)建發(fā)行者證書.spc，用到.NET自帶的cert2spc工具，命令如下：cert2spc myselfName.cer myselfName.spc3、從.pvk和.spc格式轉(zhuǎn)換成.pfx格式，用到pvkimprt工具（需要安裝），命令如下：pvkimprt -pfx myselfName.spc myselfName.pvk然后按提示操作導(dǎo)出.pfx證書，