實驗3-應(yīng)用層安全技術(shù)-windows-server證書配置操作指南

WINDOWSSERVER2003證書配置目錄WINDOWSSERVER2003證書配置 1一、證書組件安裝 11.首先在服務(wù)器上安裝IIS組件,并配置WEB站點: 22.使用IE瀏覽器輸入IP地址訪問本地站點: 73.在服務(wù)器上安裝CA組件: 84.使用IIS查看默認(rèn)站點多出關(guān)于CA證書的列表: 185.證書頒發(fā)機構(gòu) 18二、客戶端安裝證書 201．申請數(shù)字證書 202.CA證書頒發(fā) 303.打開證書頒發(fā)機構(gòu)查看: 32三、在WEB服務(wù)器上設(shè)置SSL 321.生成證書申請: 322.提交證書申請: 433.頒發(fā)證書: 504.在使用WEB形式訪問證書申請頁面,并選擇下載證書: 545.在WEB服務(wù)器上安裝證書: 55四、練習(xí) 601.啟用安全通道(SSL): 602.使用HTTPS方式訪問站點 62一、證書組件安裝1.首先在服務(wù)器上安裝IIS組件,并配置WEB站點:并配置WEB服務(wù)器:2.使用IE瀏覽器輸入IP地址訪問本地站點:3.在服務(wù)器上安裝CA組件:因為沒有AD(活動目錄),所以只能創(chuàng)建獨立CA,又因為是第一個CA,所以選擇獨立根CA,并選擇自定義安裝:配置"公鑰/私鑰對",保持默認(rèn)即可:設(shè)置CA名字和使用年限:選擇證書數(shù)據(jù)庫及其日志信息的位置:安裝證書時需要停止INTERNET信息服務(wù):起用ASP支持:完成CA的安裝:4.使用IIS查看默認(rèn)站點多出關(guān)于CA證書的列表:5.證書頒發(fā)機構(gòu)開始》》》管理工具》》》證書頒發(fā)機構(gòu)，打開如下窗口：我們已經(jīng)為服務(wù)器成功配置完公用名為AAAAA的獨立根CA，Web服務(wù)器和客戶端可以通過訪問該服務(wù)器的IIS證書申請服務(wù)申請相關(guān)證書。此時該服務(wù)器（CA）的IIS下多出以下幾項：我們可以通過在瀏覽器中輸入以下網(wǎng)址進(jìn)行數(shù)字證書的申請：http://hostname/certsrv或http://hostip/certsrv申請界面如下：二、客戶端安裝證書1．申請數(shù)字證書在IE地址欄中輸入證書服務(wù)系統(tǒng)的地址，進(jìn)入服務(wù)主頁：點擊‘申請一個證書’進(jìn)入申請頁面：如果證書用作客戶端身份認(rèn)證，則可點擊‘Web瀏覽器證書’或‘高級證書申請’，一般用戶申請‘Web瀏覽器證書’即可，‘高級證書申請’里有更多選項，也就有很多專業(yè)術(shù)語，高級用戶也可點擊進(jìn)入進(jìn)行申請。這里我們以點擊申請‘Web瀏覽器證書’為例：申請‘Web瀏覽器證書’，‘姓名’是必填項，其他項目可不填，但由于CA服務(wù)器的管理員是根據(jù)申請人的詳細(xì)信息決定是否頒發(fā)的，所以請盡量多填，并且填寫真實信息，因為CA管理員會驗證申請人的真實信息，然后進(jìn)行頒發(fā)。需注意的一點是，‘國家（地區(qū)）’需用國際代碼填寫，CN代表中國。如果想查看更多選項，請點擊‘更多選項’：在‘更多選項’里，默認(rèn)的CSP為MicrosoftEnhancedCryptographicProviderv1.0，選擇其他CSP不會對認(rèn)證產(chǎn)生影響。默認(rèn)情況下‘啟用強私鑰保護(hù)’并沒有勾選上，建議將它勾選上，點擊提交后就會讓申請人設(shè)置證書的安全級別，如果不將安全級別設(shè)置為高級并用口令進(jìn)行保護(hù)，則只要機器上裝有該證書，任何人都可以用它作為認(rèn)證，所以建議將證書設(shè)置為高級安全級別，用口令進(jìn)行保護(hù)。以下將作相應(yīng)操作，點擊‘提交’：單擊‘是’：單擊‘設(shè)置安全級別’：將安全級別設(shè)置為‘高’，單擊‘下一步’后會彈出口令設(shè)置窗口：輸入口令，對證書進(jìn)行加密，并記住密碼，因為在以后調(diào)用該證書的時候，瀏覽器會彈出輸入密碼的窗口。單擊‘完成’：單擊‘確定’，瀏覽器頁面跳向如下：到這一步，申請人已經(jīng)向CA服務(wù)器發(fā)送證書信息，并等待CA管理員對其進(jìn)行核對，然后決定是否要頒發(fā)，如果CA管理員核對信息后決定頒發(fā)此證書，則申請人在其頒發(fā)之后再次訪問該系統(tǒng)：點擊‘查看掛起的證書申請狀態(tài)’：該頁面證明CA管理員已經(jīng)頒發(fā)了申請人的證書，點擊進(jìn)入證書安裝頁面：（說明：管理員需在“證書頒發(fā)機構(gòu)”中頒發(fā)該證書。具體參考下一步。）點擊‘安裝此證書’：您應(yīng)該已經(jīng)信任CA機構(gòu)，所以請單擊‘是’：您已經(jīng)成功安裝數(shù)字證書。如果要找回您剛才安裝的數(shù)字證書，請單擊瀏覽器上的：工具》》》Internet選項》》》內(nèi)容》》》證書，彈出如下窗口：此時您已經(jīng)發(fā)現(xiàn)，在證書個人存儲區(qū)內(nèi)已經(jīng)安裝了您剛剛申請并成功安裝的證書。單擊‘查看’：這就是您的數(shù)字證書了。2.CA證書頒發(fā)開始》》》管理工具》》》證書頒發(fā)機構(gòu)：在‘掛起的申請’里已經(jīng)存在申請掛起等待頒發(fā)的證書（如圖ID=2）。右鍵點擊掛起的證書》》》所有任務(wù)》》》頒發(fā)：剛才的掛起證書已經(jīng)存入‘頒發(fā)的證書’存儲區(qū)。此時，申請人若在登陸證書申請系統(tǒng)，并查看掛起，就會獲取相應(yīng)的證書。3.打開證書頒發(fā)機構(gòu)查看:三、在WEB服務(wù)器端配置1.生成證書申請:打開WEB服務(wù)器站點屬性:點擊"安全通信"中的"服務(wù)器證書"安裝證書:選擇"新建證書":2.提交證書申請:使用IE瀏覽器打開本地WEB站點進(jìn)入證書申請頁面,如下:選擇申請證書

選擇"高級證書申請":

在提交一個證書申請中選擇后者"BASE64編碼的證書申請":

此時彈出文本框讓輸入內(nèi)容:

找到之前保存的certreq.txt,打開并把其內(nèi)容全部復(fù)制到文本框中,然后提交:

完成以上步驟后證書被掛起:

3.頒發(fā)證書:打開證書頒發(fā)機構(gòu)工具,查看"掛器的申請",可以看到有剛才申請后被掛起的證書:

然后把掛起的證書選擇"頒發(fā)":

之后在"頒發(fā)的證書"中可以查看到該證書以被頒發(fā),表示證書此時已經(jīng)頒發(fā)了:

4.在使用WEB形式訪問證書申請頁面,并選擇下載證書:

選擇編碼類型為BASE64再下載證書,并保存在桌面上certnew.cer的文件:

5.在WEB服務(wù)器上安裝證書:再次打開IIS服務(wù)器找到站點屬性:,再次單擊"服務(wù)器證書",之后選擇處理被掛起的請求:

輸入包含CA響應(yīng)的文件的路徑和文件名(該文件剛才已經(jīng)下載到桌面上)

選擇SSL端口號:

四、練習(xí)1.