WEB服務(wù)器SSL雙向認(rèn)證安裝使用指南

WEB效勞器SSL雙向認(rèn)證證書(shū)安裝使用指南上海數(shù)字證書(shū)認(rèn)證中心2003/04/08文檔說(shuō)明：本文檔是WEB效勞器SSL雙向認(rèn)證安裝使用指南，詳細(xì)描述了WEB效勞器證書(shū)的申請(qǐng)、安裝、備份、恢復(fù)以及SSL雙向認(rèn)證的配置。版本信息：當(dāng)前版本1.1 技術(shù)支持部版本更新記錄：1.1 聞劍峰 增加SSL根證書(shū)的安裝 修改相關(guān)的操做步驟1.0 聞劍峰 本使用指南創(chuàng)立版權(quán)信息：SHECA是上海市電子商務(wù)平安證書(shū)管理中心的注冊(cè)商標(biāo)和縮寫(xiě)。UCA是上海市電子商務(wù)平安證書(shū)管理中心研究開(kāi)發(fā)的通用證書(shū)系統(tǒng)的商標(biāo)和縮寫(xiě)。本文的版權(quán)屬于上海市電子商務(wù)平安證書(shū)管理中心，未經(jīng)許可，任何個(gè)人和團(tuán)體不得轉(zhuǎn)載、粘貼或發(fā)布本文，也不得局部的轉(zhuǎn)載、粘貼或發(fā)布本文，更不得更改本文的局部詞匯進(jìn)行轉(zhuǎn)貼。未經(jīng)許可不得拷貝，影印。Copyright@2000上海數(shù)字證書(shū)認(rèn)證中心

文檔發(fā)行說(shuō)明當(dāng)您閱讀完本文檔，您應(yīng)該能解決如下問(wèn)題：WEB效勞器證書(shū)的請(qǐng)求文件CSR的產(chǎn)生；WEB效勞器證書(shū)的在線申請(qǐng)；WEB效勞器證書(shū)的安裝；WEB效勞器SSL平安配置；WEB效勞器證書(shū)的導(dǎo)出〔備份〕和導(dǎo)入〔恢復(fù)〕；SSL雙向認(rèn)證的配置；使您的系統(tǒng)信任SHECA根證書(shū)；將證書(shū)從證書(shū)管理器導(dǎo)入IE瀏覽器證書(shū)容器本文檔不能使您到達(dá)如下目的：SHECA其他證書(shū)的具體申請(qǐng)方法請(qǐng)咨詢SHECA客戶效勞部證書(shū)管理器的具體使用方法請(qǐng)咨詢SHECA客戶效勞部證書(shū)編碼的說(shuō)明請(qǐng)咨詢SHECA技術(shù)支持部SHECACSP的相關(guān)說(shuō)明請(qǐng)咨詢SHECA技術(shù)支持部IIS的相關(guān)技術(shù)細(xì)節(jié)請(qǐng)咨詢微軟客戶效勞中心IE瀏覽器的相關(guān)技術(shù)細(xì)節(jié)請(qǐng)咨詢微軟客戶效勞中心文檔書(shū)寫(xiě)環(huán)境說(shuō)明：為了測(cè)試基于微軟架構(gòu)下強(qiáng)大的SSL雙向認(rèn)證，本文檔采用了最新的微軟效勞器操作系統(tǒng)：Windows2003EnterpriseServer；另外，為了使整個(gè)操作環(huán)境保持兼容性、一致性，本文檔從效勞器端到客戶端都采用英文操作系統(tǒng)。當(dāng)然這并不等于說(shuō)我們SHECA的證書(shū)不能在中文操作環(huán)境中使用，相反，經(jīng)過(guò)實(shí)踐證明，我們SHECA的證書(shū)在中文平臺(tái)上表現(xiàn)的格外出色。以下是本文檔的具體試驗(yàn)環(huán)境：客戶端：WindowsXPProfessionalEnglishVersion+ServicePack1

一、WEB效勞器證書(shū)申請(qǐng)請(qǐng)求文件〔CSR〕產(chǎn)生產(chǎn)生證書(shū)請(qǐng)求〔CSR〕文件開(kāi)始程序管理工具InternetInformationServices管理

鼠標(biāo)右鍵單擊默認(rèn)WEB站點(diǎn)，并在彈出菜單中選擇屬性

在默認(rèn)WEB站點(diǎn)屬性窗口選擇目錄平安性

在平安通訊欄目中用鼠標(biāo)點(diǎn)擊效勞器證書(shū)，出現(xiàn)WEB效勞器證書(shū)向?qū)髽?biāo)單擊下一步，選擇創(chuàng)立一個(gè)新證書(shū)，開(kāi)始證書(shū)請(qǐng)求向?qū)?/p>

選擇產(chǎn)生請(qǐng)求文件，不直接發(fā)送以下根據(jù)提示按照您的WEB效勞器的實(shí)際信息輸入注意：選擇1024位密鑰長(zhǎng)度注意：通用名一定是您WEB效勞器的域名〔FQDN〕，如果在這一步你輸入不正確，那會(huì)對(duì)您以后正確使用WEB效勞器證書(shū)有影響，我會(huì)在本文檔的第八章節(jié)做進(jìn)一步闡述。注意：請(qǐng)確認(rèn)證書(shū)請(qǐng)求文件〔CSR〕保存位置注意：確認(rèn)剛剛您輸入的信息的正確性注意：完成證書(shū)申請(qǐng)請(qǐng)求，請(qǐng)求文件為，具體格式類似如下形式：

二、WEB效勞器證書(shū)在線申請(qǐng)拿WEB效勞器證書(shū)申請(qǐng)請(qǐng)求文件到SHECA網(wǎng)站開(kāi)始進(jìn)行證書(shū)申請(qǐng)第一步：登陸HYPERLINK，點(diǎn)擊申請(qǐng)數(shù)字證書(shū)我是證書(shū)用戶在線證書(shū)申請(qǐng)WEBServer證書(shū)申請(qǐng)

在方框里輸入從SHECA證書(shū)受理點(diǎn)獲取的密碼信封序列號(hào)和信封密碼。鼠標(biāo)點(diǎn)擊現(xiàn)在登錄，出現(xiàn)UniTrustWebServer證書(shū)申請(qǐng)頁(yè)面

閱讀完考前須知之后點(diǎn)擊馬上申請(qǐng)，進(jìn)入下一個(gè)頁(yè)面

把效勞器生成的CSR請(qǐng)求文件中的-----BEGINNEWCERTIFICATEREQUEST-----到-----ENDNEWCERTIFICATEREQUEST-----之間的內(nèi)容貼在網(wǎng)頁(yè)的大方框里面，確認(rèn)無(wú)誤后，單擊發(fā)送申請(qǐng)?zhí)崾網(wǎng)EB效勞器請(qǐng)求發(fā)送成功，單擊OK確認(rèn)

開(kāi)始下載證書(shū)，這里您可以下載DER或者是PEM編碼的證書(shū)，根據(jù)您的需要做選擇。如果是IISWEB效勞器，請(qǐng)選擇下載PEM編碼證書(shū)

7-1選擇下載DER編碼證書(shū)進(jìn)入證書(shū)下載頁(yè)面，此時(shí)頁(yè)面上出現(xiàn)您的WEB效勞器證書(shū)相關(guān)信息，請(qǐng)用鼠標(biāo)單擊保存證書(shū)

7-2選擇下載PEM編碼證書(shū)屏幕上出現(xiàn)UCA根證書(shū)，第一級(jí)子CA證書(shū)以及您所申請(qǐng)的WEB效勞器證書(shū)

證書(shū)保存成功，WEB效勞器證書(shū)在線申請(qǐng)完成如果選擇下載PEM編碼，那么不會(huì)出現(xiàn)這個(gè)頁(yè)面

三、WEB效勞器證書(shū)的安裝進(jìn)入InternetInformationServices管理開(kāi)始程序管理工具InternetInformationServices管理

鼠標(biāo)右鍵單擊默認(rèn)WEB站點(diǎn)，并在彈出菜單中選擇屬性

在默認(rèn)WEB站點(diǎn)屬性窗口選擇目錄平安性

在平安通訊欄目中用鼠標(biāo)點(diǎn)擊效勞器證書(shū)，出現(xiàn)WEB效勞器證書(shū)向?qū)髽?biāo)單擊下一步，開(kāi)始進(jìn)行WEB效勞器正書(shū)安裝向?qū)?，然后按照提示操作注意：這個(gè)文件是你從SHECA網(wǎng)站申請(qǐng)成功下載的證書(shū)比方說(shuō)PEM編碼的證書(shū)，就是在端口默認(rèn)的是443，您也可以根據(jù)實(shí)際情況更改注意：以上是您的WEB效勞器證書(shū)的具體信息注意：完成WEB效勞器證書(shū)的安裝注意：此時(shí)，您可以通過(guò)單擊平安通訊欄中的查看證書(shū)查看證書(shū)的詳細(xì)信息重啟IIS效勞，SSL效勞已經(jīng)啟動(dòng)了，現(xiàn)在您可以通過(guò)瀏覽器以HTTPS方式訪問(wèn)您的WEB站點(diǎn)了。雙擊瀏覽器右下腳鎖標(biāo)志，您可以查看WEB效勞器證書(shū)的相關(guān)信息

四、WEB效勞器SSL平安配置進(jìn)入InternetInformationServices管理開(kāi)始程序管理工具InternetInformationServices管理

鼠標(biāo)右鍵單擊默認(rèn)WEB站點(diǎn)，并在彈出菜單中選擇屬性

在默認(rèn)WEB站點(diǎn)屬性窗口選擇目錄平安性

在平安通訊欄目中用鼠標(biāo)點(diǎn)擊編輯，出現(xiàn)平安通訊界面注意：如果您在需要平安通道〔SSL〕前打上勾，那么以后客戶端瀏覽器僅可以通過(guò)HTTPS訪問(wèn)您的WEB效勞器；如果您在需要128位加密前打上勾，那么以后客戶端瀏覽器只有具備128位加密強(qiáng)度之后才可以訪問(wèn)您的WEB效勞器；有關(guān)瀏覽器的加密強(qiáng)度請(qǐng)咨詢相關(guān)軟件開(kāi)發(fā)商；客戶端證書(shū)選項(xiàng)分三種：忽略客戶端證書(shū)：客戶端訪問(wèn)WEB效勞器的時(shí)候不需要提供客戶端自己證書(shū)接收客戶端證書(shū)：客戶端訪問(wèn)WEB效勞器的時(shí)候彈出客戶端驗(yàn)證窗口，允許客戶端選擇自己的證書(shū)，進(jìn)行身份驗(yàn)證，然后訪問(wèn)WEB效勞器，這時(shí)，如果客戶端沒(méi)有自己的證書(shū)，訪問(wèn)仍舊可以照常進(jìn)行需要客戶端證書(shū)：這里僅當(dāng)客戶端擁有自己的證書(shū)，并通過(guò)驗(yàn)證之后，訪問(wèn)才可以進(jìn)行下去允許客戶端證書(shū)映射，這項(xiàng)功能是將您的WEB效勞器上的資源和WINDOWS帳號(hào)下的用戶通過(guò)證書(shū)捆綁，有關(guān)詳細(xì)操作，請(qǐng)參考?活動(dòng)目錄中的證書(shū)使用?。允許證書(shū)信任列表：翻開(kāi)這項(xiàng)功能之后，只有由列表中您添加的信任的根證書(shū)簽發(fā)的客戶端證書(shū)，才可以授權(quán)訪問(wèn)您的WEB效勞器。具體操作如下：

鼠標(biāo)單擊新建下一步沉著器中添加，是指從您的IE瀏覽器證書(shū)庫(kù)中添加相應(yīng)的根證書(shū)；從文件添加，是指可以直接選定根證書(shū)文件添加。有關(guān)如何將我們SHECA的根證書(shū)添加到您的IE瀏覽器，請(qǐng)看本文檔的附錄。這里，我們選擇沉著器添加在列表中選擇您想信任的根證書(shū)比方用戶通過(guò)選擇UCA和SHECA把SHECA的根證書(shū)添加到您的信任列表中來(lái)，單擊下一步您可以給信任列表取一個(gè)名字，便于以后靈活配置您的訪問(wèn)控制單擊下一步完成證書(shū)信任列表設(shè)置如果您已經(jīng)根據(jù)自己的實(shí)際需要完成了平安通訊的設(shè)置，請(qǐng)單擊確定按鈕

重啟您的IIS效勞器，通過(guò)客戶端瀏覽器訪問(wèn)您的WEB效勞器，假設(shè)在先前的設(shè)置中需要您設(shè)置了需要客戶端證書(shū)的話，這時(shí)候會(huì)彈出客戶端認(rèn)證窗口選擇您相應(yīng)的個(gè)人證書(shū)確認(rèn)密鑰交換，請(qǐng)單擊OK按鈕。好了，根本的WEB效勞器平安配置〔SSL〕已經(jīng)完成了。

五、WEB效勞器證書(shū)的導(dǎo)出〔備份〕進(jìn)入InternetInformationServices管理開(kāi)始程序管理工具InternetInformationServices管理

鼠標(biāo)右鍵單擊默認(rèn)WEB站點(diǎn)，并在彈出菜單中選擇屬性

在默認(rèn)WEB站點(diǎn)屬性窗口選擇目錄平安性

在平安通訊欄目中用鼠標(biāo)點(diǎn)擊效勞器證書(shū)，出現(xiàn)WEB效勞器證書(shū)向?qū)Ы缑鎲螕粝乱徊?，出現(xiàn)IIS證書(shū)向?qū)Ы缑?，這時(shí)候您有假設(shè)干種選擇來(lái)處理您已安裝的WEB效勞器證書(shū)。

我們選擇導(dǎo)出當(dāng)前證書(shū)到.pfx文件，這樣，我們以后就可以通過(guò)這個(gè)文件恢復(fù)這個(gè)WEB效勞器證書(shū)。選擇一個(gè)保存路徑，單擊下一步輸入.pfx文件的保護(hù)口令

出現(xiàn)導(dǎo)出證書(shū)的簡(jiǎn)要說(shuō)明，確認(rèn)之后，單擊下一步完成您的WEB效勞器證書(shū)的備份工作注意：請(qǐng)將導(dǎo)出的WEB效勞器證書(shū)妥善保管，以備不時(shí)之需。

六、WEB效勞器證書(shū)的導(dǎo)入〔恢復(fù)〕假設(shè)由于系統(tǒng)出了問(wèn)題，導(dǎo)致IIS崩潰或其他不可測(cè)原因迫使你重新安裝了IIS或操作系統(tǒng)，那么您可以通過(guò)以下方式來(lái)恢復(fù)您的IISWEB效勞器證書(shū)。進(jìn)入InternetInformationServices管理開(kāi)始程序管理工具InternetInformationServices管理

鼠標(biāo)右鍵單擊默認(rèn)WEB站點(diǎn)，并在彈出菜單中選擇屬性

在默認(rèn)WEB站點(diǎn)屬性窗口選擇目錄平安性

在平安通訊欄目中用鼠標(biāo)點(diǎn)擊效勞器證書(shū)，出現(xiàn)WEB效勞器證書(shū)向?qū)Ы缑鎲螕粝乱徊?，出現(xiàn)IIS證書(shū)向?qū)?。這里分兩種情況：僅僅是重新安裝了IIS，或者喪失了WEB效勞器證書(shū)：這時(shí)候我們可以選擇指派一個(gè)已經(jīng)存在本地容器里的證書(shū)然后出現(xiàn)本地容器中存在的證書(shū)列表確認(rèn)端口，默認(rèn)是443請(qǐng)確認(rèn)證書(shū)簡(jiǎn)要說(shuō)明完成證書(shū)導(dǎo)入〔恢復(fù)〕假設(shè)說(shuō)您重新安裝了您的WINDOWS操作系統(tǒng)，那還可以通過(guò)導(dǎo)入先前我們備份的WEB效勞器證書(shū)為了便于以后導(dǎo)出〔備份〕，請(qǐng)?jiān)跇?biāo)記證書(shū)可導(dǎo)出前打勾。確認(rèn)端口，默認(rèn)是443請(qǐng)確認(rèn)證書(shū)簡(jiǎn)要說(shuō)明完成證書(shū)導(dǎo)入〔恢復(fù)〕

七、SSL雙向認(rèn)證的配置要實(shí)現(xiàn)SSL雙向認(rèn)證，您必須同時(shí)配置WEB效勞器證書(shū)和客戶端證書(shū)，并且需要在效勞器和客戶端正確安裝根證書(shū)。我們已經(jīng)在前文中有過(guò)較為詳細(xì)的描述了如何配置WEB效勞器證書(shū)，下面就來(lái)談?wù)凷SL客戶端證書(shū)的配置和根證書(shū)的安裝。1、SSL客戶端證書(shū)的配置首先您需要清楚這個(gè)概念，所謂的SSL客戶端證書(shū)就是意味著這張證書(shū)存在于IE瀏覽器的證書(shū)容器中。您可以通過(guò)翻開(kāi)IE瀏覽器工具Internet選項(xiàng)內(nèi)容證書(shū)個(gè)人至于如何使證書(shū)導(dǎo)入進(jìn)IE瀏覽器的證書(shū)容器，方法有多種。假設(shè)說(shuō)您通過(guò)您的瀏覽器在線申請(qǐng)了我們SHECA的平安電子郵件證書(shū)，那么這張證書(shū)已經(jīng)自動(dòng)安裝到您的瀏覽器的證書(shū)容器中去了，也就是說(shuō)不需要您手工做任何操作，已經(jīng)具備了SSL雙向認(rèn)證的客戶端操作要求。如果您申請(qǐng)了我們SHECA的個(gè)人證書(shū)和其他類型的非直接在線安裝的證書(shū)，那您還需要以下操作：首先將您的個(gè)人證書(shū)包括私鑰導(dǎo)入我們SHECA的證書(shū)管理器〔證書(shū)管理器版本要求2.26以上可以通過(guò)網(wǎng)絡(luò)下載〕。有關(guān)證書(shū)管理器的操作說(shuō)明請(qǐng)參考我們SHECA發(fā)布的相關(guān)手冊(cè)，或向我們SHECA客戶效勞部咨詢相關(guān)問(wèn)題。選中你希望導(dǎo)入IE瀏覽器證書(shū)容器的證書(shū)，然后點(diǎn)擊證書(shū)管理器快捷菜單欄中的outlook圖標(biāo)，這時(shí)候會(huì)讓你輸入密碼，請(qǐng)輸入您證書(shū)的是要保護(hù)口令，然后確定。然后您可以通過(guò)翻開(kāi)IE瀏覽器工具Internet選項(xiàng)內(nèi)容證書(shū)個(gè)人查看您導(dǎo)入的證書(shū)。由于通過(guò)證書(shū)管理器導(dǎo)入證書(shū)到IE瀏覽器的證書(shū)容器的時(shí)候，經(jīng)過(guò)了我們的CSP，所以在您以后進(jìn)行SSL客戶端認(rèn)證的時(shí)候，會(huì)跳出我們SHECA密碼設(shè)備選擇窗口，在這里您只要輸入相應(yīng)的私鑰保護(hù)口令就可以實(shí)現(xiàn)SSL雙向認(rèn)證了。2、根證書(shū)的安裝 要實(shí)現(xiàn)SSL雙向認(rèn)證，您必須分別在WEB效勞器和客戶端上正確部署上海CA中心的根證書(shū)。我們提供以下多種方式安裝根證書(shū)：安裝證書(shū)管理器訪問(wèn)我們上海CA中心的主頁(yè)：HYPERLINK，會(huì)自動(dòng)安裝根證書(shū)在我們上海CA中心的主頁(yè)的中進(jìn)入根證書(shū)下載頁(yè)面，然后選擇下載SSL雙向認(rèn)證根證書(shū)

八、常見(jiàn)問(wèn)題如果您訪問(wèn)的WEB效勞器時(shí)出現(xiàn)平安警報(bào)窗口，如下：那說(shuō)明您在產(chǎn)生CSR時(shí)通用名〔CommonName〕與您實(shí)際站點(diǎn)的域名不符合，請(qǐng)重新生成CSR，然后再提交SHECA簽發(fā)新的證書(shū)。當(dāng)然，還有可能如下窗口：這說(shuō)明在您的電腦上沒(méi)有安裝我們CA的根證書(shū)。有兩種方法可以將我們SHECA的根證書(shū)導(dǎo)入到您本地瀏覽器的證書(shū)容器：請(qǐng)?jiān)L問(wèn)我們公司的主頁(yè)HYPERLINK，它會(huì)出現(xiàn)