服務(wù)器、CA數(shù)字證書應(yīng)用圖解(全).docx

Windows Server 2008上使用IIS搭建WEB服務(wù)器、客戶端的數(shù)字證書應(yīng)用（一）一、什么是數(shù)字證書及作用？數(shù)字證書就是互聯(lián)網(wǎng)通訊中標(biāo)志（證明）通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗(yàn)證您身份的方式，其作用類似于司機(jī)的駕駛執(zhí)照或日常生活中的身份證。它是由一個(gè)由權(quán)威機(jī)構(gòu)-CA機(jī)構(gòu)，又稱為證書授權(quán)（Certificate Authority）中心發(fā)行的，人們可以在網(wǎng)上用它來(lái)識(shí)別對(duì)方的身份。數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件。最簡(jiǎn)單的證書包含一個(gè)公開(kāi)密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。常用的密鑰包括一個(gè)公開(kāi)的密鑰和一個(gè)私有的密鑰即一組密鑰對(duì)，當(dāng)信息使用公鑰加密并通過(guò)網(wǎng)絡(luò)傳輸?shù)侥繕?biāo)主機(jī)后，目標(biāo)主機(jī)必需使用對(duì)應(yīng)的私鑰才能解密使用。使用它主要是為了提高IT系統(tǒng)在敏感數(shù)據(jù)應(yīng)用領(lǐng)域的安全性，為用戶業(yè)務(wù)提供更高安全保障；注：數(shù)字證書，下面均簡(jiǎn)稱證書；二、如何搭建證書服務(wù)器？搭建證書服務(wù)器步驟如下：1、登陸Windows Server 2008服務(wù)器；2、打開(kāi)【服務(wù)器管理器】；（圖2）3、點(diǎn)擊【添加角色】，之后點(diǎn)擊【下一步】；（圖3）4、找到【Active Directory證書服務(wù)】勾選此選項(xiàng)，之后點(diǎn)擊【下一步】；（圖4）5、進(jìn)入證書服務(wù)簡(jiǎn)介界面，點(diǎn)擊【下一步】；（圖5）6、將證書頒發(fā)機(jī)構(gòu)、證書頒發(fā)機(jī)構(gòu)WEB注冊(cè)勾選上，然后點(diǎn)擊【下一步】；（圖6）7、勾選【獨(dú)立】選項(xiàng)，點(diǎn)擊【下一步】；（由于不在域管理中創(chuàng)建，直接默認(rèn)為：“獨(dú)立”）(圖7)8、首次創(chuàng)建，勾選【根CA】，之后點(diǎn)擊【下一步】；（圖8）9、首次創(chuàng)建勾選【新建私鑰】，之后點(diǎn)擊【下一步】；（圖9）10、默認(rèn)，繼續(xù)點(diǎn)擊【下一步】；（圖10）11、默認(rèn)，繼續(xù)點(diǎn)擊【下一步】；（圖11）12、默認(rèn)，繼續(xù)點(diǎn)擊【下一步】；（圖12）13、默認(rèn)，繼續(xù)點(diǎn)擊【下一步】；（圖13）14、點(diǎn)擊【安裝】；（圖14）15、點(diǎn)擊【關(guān)閉】，證書服務(wù)器安裝完成；（圖15）Windows Server 2008上使用IIS如何配置WEB服務(wù)器上證書應(yīng)用（SSL應(yīng)用）？此應(yīng)用用于提高WEB站點(diǎn)的安全訪問(wèn)級(jí)別；配置后應(yīng)用站點(diǎn)可實(shí)現(xiàn)安全的服務(wù)器至客戶端的信道訪問(wèn)；此信道將擁有基于SSL證書加密的HTTP安全通道，保證雙方通信數(shù)據(jù)的完整性，使客戶端至服務(wù)器端的訪問(wèn)更加安全； 注：以證書服務(wù)器創(chuàng)建的WEB站點(diǎn)為示例，搭建WEB服務(wù)器端SSL證書應(yīng)用步驟如下：1、 打開(kāi)IIS，WEB服務(wù)器，找到【服務(wù)器證書】并選中；（圖1）2、點(diǎn)擊【服務(wù)器證書】，找到【創(chuàng)建證書申請(qǐng)】項(xiàng)；（圖2）3、 單擊【創(chuàng)建證書申請(qǐng)】，打開(kāi)【創(chuàng)建證書申請(qǐng)】后，填寫相關(guān)文本框，填寫中需要注意的是：“通用名稱”必需填寫本機(jī)IP或域名，其它項(xiàng)則可以自行填寫； 注：下面的03為示例機(jī)IP地址，實(shí)際IP地址需根據(jù)每人主機(jī)IP自行填寫；填寫完后，單擊【下一步】；（圖3）4、 默認(rèn)，點(diǎn)擊【下一步】；（圖4）5、 選擇并填寫需要生成文件的保存路徑與文件名, 此文件后期將會(huì)被使用；（保存位置、文件名可以自行設(shè)定），之后點(diǎn)擊【完成】，此配置完成，子界面會(huì)關(guān)閉；（圖5）6、 接下來(lái)，點(diǎn)擊IE（瀏覽器），訪問(wèn)：03/certsrv/；注：此處的03為示例機(jī)IP地址，實(shí)際IP地址需根據(jù)每人主機(jī)IP自行填寫；（圖6-1）此時(shí)會(huì)出現(xiàn)證書服務(wù)頁(yè)面；此網(wǎng)站如果點(diǎn)擊【申請(qǐng)證書】，進(jìn)入下一界面點(diǎn)擊【高級(jí)證書申請(qǐng)】，進(jìn)入下一界面點(diǎn)擊【創(chuàng)建并向此CA提交一個(gè)申請(qǐng)】，進(jìn)入下一界面，此時(shí)會(huì)彈出一個(gè)提示窗口：“為了完成證書注冊(cè)，必須將該CA的網(wǎng)站配置為使用HTTPS身份驗(yàn)證”；也就是必須將HTTP網(wǎng)站配置為HTTPS的網(wǎng)站，才能正常訪問(wèn)當(dāng)前網(wǎng)頁(yè)及功能；（圖6-2）在進(jìn)行后繼內(nèi)容前，相關(guān)術(shù)語(yǔ)名詞解釋：HTTPS（全稱：Hypertext Transfer Protocol over Secure Socket Layer），是以安全為目標(biāo)的HTTP通道，簡(jiǎn)單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。 它是一個(gè)URI scheme（抽象標(biāo)識(shí)符體系），句法類同http:體系。用于安全的HTTP數(shù)據(jù)傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認(rèn)端口及一個(gè)加密/身份驗(yàn)證層（在HTTP與TCP之間）。這個(gè)系統(tǒng)的最初研發(fā)由網(wǎng)景公司進(jìn)行，提供了身份驗(yàn)證與加密通訊方法，現(xiàn)在它被廣泛用于萬(wàn)維網(wǎng)上安全敏感的通訊，例如交易支付方面。SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全（Transport Layer Security，TLS）是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密。至此，我們需要搭建一個(gè)HTTPS網(wǎng)站，即搭建WEB服務(wù)器的SSL應(yīng)用；7、 如何搭建HTTPS的網(wǎng)站呢？前期回顧：證書服務(wù)已搭建，用于創(chuàng)建SSL的加密服務(wù)；使用證書服務(wù)器的WEB網(wǎng)站時(shí)，提示需要將證書WEB站點(diǎn)配置為HTTPS網(wǎng)站才能正常使用；我們繼續(xù)以證書服務(wù)器的搭建為示例，完成WEB服務(wù)器的SSL應(yīng)用搭建；8、 接下來(lái)，由于搭建HTTPS需要先申請(qǐng)證書，但現(xiàn)在證書服務(wù)網(wǎng)站也需要配置為HTTPS才能正常使用，那么在證書網(wǎng)站還未配置為HTTPS服務(wù)前我們?nèi)绾紊暾?qǐng)證書？方法如下：方法：打開(kāi)IE(瀏覽器)，找到工具欄，點(diǎn)擊【工具欄】，找到它下面的【Internet選項(xiàng)】；（圖8）9、 點(diǎn)擊【Internet選項(xiàng)】-點(diǎn)擊【安全】-點(diǎn)擊【可信站點(diǎn)】；（圖9）10、 點(diǎn)擊【可信站點(diǎn)】，并輸入之前的證書網(wǎng)站地址：03/certsrv，并將其【添加】到信任站點(diǎn)中；添加完后，點(diǎn)擊【關(guān)閉】，關(guān)閉子界面；（圖10）11、 接下來(lái)，繼續(xù)在【可信站點(diǎn)】位置點(diǎn)擊【自定義級(jí)別】，此時(shí)會(huì)彈出一個(gè)【安全設(shè)置】子界面，在安全設(shè)置界面中拖動(dòng)右別的滾動(dòng)條，找到【對(duì)未標(biāo)記為可安全執(zhí)行腳本的ActiveX控件初始化并執(zhí)行腳本】選項(xiàng)，將選為【啟用】；之后點(diǎn)擊所有【確定】操作，直到【Internet選項(xiàng)】子界面關(guān)閉為止；（圖11）12、 完成上面操作后，先將IE關(guān)閉，然后重新打開(kāi)，輸入：03/certsrv；頁(yè)面出來(lái)后點(diǎn)擊【申請(qǐng)證書】；（圖12）13、 點(diǎn)擊【高級(jí)證書申請(qǐng)】（圖13）14、 點(diǎn)擊【使用base64編碼的CMC或PKCS#10文件提交一個(gè)證書申請(qǐng)，或使用Base64編碼的PKCS#7文件續(xù)訂證書申請(qǐng)】 (圖14）15、 將之前保存的密鑰文檔文件找到并打開(kāi)，將里面的文本信息復(fù)制并粘貼到“Base-64編碼的證書申請(qǐng)”文本框中；確定文本內(nèi)容無(wú)誤后，點(diǎn)擊【提交】；（圖15-1）（圖15-2）16、 此時(shí)可以看到提交信息，申請(qǐng)已經(jīng)提交給證書服務(wù)器，關(guān)閉當(dāng)前IE；（圖16）17、 打開(kāi)證書服務(wù)器處理用戶剛才提交的證書申請(qǐng)；回到Windows【桌面】-點(diǎn)擊【開(kāi)始】-點(diǎn)擊【運(yùn)行】，在運(yùn)行位置輸入：certsrv.msc，然后回車就會(huì)打開(kāi)證書服務(wù)功能界面；打開(kāi)后，找到【掛起的申請(qǐng)】位置，可以看到之前提交的證書申請(qǐng)；（圖17）18、點(diǎn)擊鼠標(biāo)右鍵會(huì)出現(xiàn)【所有任務(wù)】，點(diǎn)擊【所有任務(wù)】-點(diǎn)擊【頒發(fā)】將掛起的證書申請(qǐng)審批通過(guò)，此時(shí)掛起的證書會(huì)從當(dāng)前界面消失，即代表已完成操作；（圖18）19、點(diǎn)擊【頒發(fā)的證書】，可以看到新老已審批通過(guò)的證書；其它操作（吊銷的證書、失敗的申請(qǐng)）在此略掉，大家有空可以自己試用；（圖19）20、重新打開(kāi)IE，輸入之前的網(wǎng)址：03/certsrv/；打開(kāi)頁(yè)面后，可點(diǎn)擊【查看掛起的證書申請(qǐng)的狀態(tài)】；之后會(huì)進(jìn)入“查看掛起的證書申請(qǐng)的狀態(tài)”頁(yè)面，點(diǎn)擊【保存的申請(qǐng)證書】；（圖20）21、進(jìn)入新頁(yè)面后，勾選Base 64編碼，然后點(diǎn)擊【下載證書】,將已申請(qǐng)成功的證書保存到指定位置，后續(xù)待用； （圖21）22、打開(kāi)IIS服務(wù)器，點(diǎn)擊【服務(wù)器證書】-【完成證書申請(qǐng)】-選擇剛保存的證書，然后在“好記名稱”文本框中輸入自定義的名稱，完后點(diǎn)擊【確定】；（圖22）23、上述操作完后，可在“服務(wù)器證書”界面下看到“JZT_TEST1”證書；（圖23）24、點(diǎn)擊左邊的【Default Web Site】菜單，然后找到【綁定】功能，點(diǎn)擊【綁定】功能，會(huì)彈出【網(wǎng)站綁定】界面，默認(rèn)會(huì)出現(xiàn)一個(gè)類型為http，端口為80的主機(jī)服務(wù)，然后點(diǎn)擊【添加】，會(huì)彈出【添加網(wǎng)站綁定】界面，在此界面中選擇“類型：https”、“SSL證書：JZT_TEST1”，然后點(diǎn)【確定】；點(diǎn)完確定后，會(huì)看到【網(wǎng)站綁定】子界面中有剛配的HTTPS服務(wù)，點(diǎn)擊【關(guān)閉】，子界面消失； (圖24)25、點(diǎn)擊左菜單上的【CertSrv】證書服務(wù)網(wǎng)站，然后點(diǎn)擊【SSL設(shè)置】;（圖25）26、進(jìn)入SSL設(shè)置頁(yè)面，勾選上“要求”即啟用SSL功能，然后點(diǎn)擊【應(yīng)用】，保存設(shè)置；（圖26）27、此時(shí)一個(gè)基于應(yīng)用的WEB服務(wù)器站點(diǎn)已配置完成；讓我們用試下SSL的應(yīng)用；首先，將我們之前為了申請(qǐng)證書而開(kāi)放的【可信站點(diǎn)】的設(shè)置還原；在IE的【可信站點(diǎn)】的【自定義級(jí)別】選項(xiàng)中【對(duì)未標(biāo)記為可安全執(zhí)行腳本的ActiveX控件初始化并執(zhí)行腳本】選項(xiàng)，由“