建立標(biāo)準(zhǔn)CA 部署安全的SSL 網(wǎng)站2008-09-06 01:42:30標(biāo)簽：證書CASSL 證書服務(wù)器版權(quán)聲明：原創(chuàng)作品，如需轉(zhuǎn)載，請與作者聯(lián)系。否則將追究法律責(zé)任。概述：隨著網(wǎng)絡(luò)安全的概念日益深

建立標(biāo)準(zhǔn)CA 部署安全的SSL 網(wǎng)站

2008-09-06 01:42:30

標(biāo)簽：證書CASSL 證書服務(wù)器

版權(quán)聲明：原創(chuàng)作品，如需轉(zhuǎn)載，請與作者聯(lián)系。否則將追究法律責(zé)任。

概述：

隨著網(wǎng)絡(luò)安全的概念日益深入人心，公鑰架構(gòu)(PKI)在網(wǎng)絡(luò)得到越來越廣泛的應(yīng)用。PKI 使用證書進(jìn)行身份驗(yàn)證，數(shù)據(jù)加密和數(shù)據(jù)簽名，是目前信息安全保障的一種重要方法。 證書是PKI 的基礎(chǔ)，是實(shí)現(xiàn)網(wǎng)絡(luò)安全，進(jìn)行身份驗(yàn)證以及保證網(wǎng)絡(luò)信息安全的一種管理手段，有關(guān)PKI 與證書更多更深入的知識請參考相關(guān)KB ，或參考后繼文章!

本文不涉及太多理論知識，以一個(gè)完整的例子來闡述如何建立標(biāo)準(zhǔn)CA 服務(wù)器，并使用標(biāo)準(zhǔn)CA 申請證書并使用證書部署SSL 網(wǎng)站，詳細(xì)步驟如下：

一：建立獨(dú)立CA 服務(wù)器

win2003支持兩種證書服務(wù)器，分別是用于企業(yè)內(nèi)部的企業(yè)CA 服務(wù)器和用于Internet 上的標(biāo)準(zhǔn)證書服務(wù)器，企業(yè)證書服務(wù)器需要AD 支持，而標(biāo)準(zhǔn)CA 服務(wù)器則可以安裝在任何Win2003服務(wù)器上。因?yàn)樽C書服務(wù)器需要Web 服務(wù)器支持，以提供Web 界面申請頁面證書，所以建立CA 服務(wù)器時(shí)，需要安裝IIS 服務(wù)和ASP 組件。安裝標(biāo)準(zhǔn)證書服務(wù)器很簡單，這里只做概括性描述： 1：安裝IIS 服務(wù)，以提供WEB 界面的證書申請頁面.

安裝IIS 服務(wù)過程略過，但注意一定要選擇"Asp.Net" 組件!

2：安裝證書服務(wù)組件，以提供證書的各種管理.

在安裝證書組件時(shí)，在"CA 類型" 中，選擇" 獨(dú)立根

CA(S)",

在"CA 識別信息" 對話框，輸入這臺證書服務(wù)器相關(guān)信息，其它信息可以根據(jù)實(shí)際情況輸入，也可以選擇默認(rèn)值!

安裝完成證書服務(wù)后，不需要重啟計(jì)算機(jī)即可使用證書服務(wù)。

二：建立IIS 服務(wù)器, 發(fā)布網(wǎng)站，使用證書，配置網(wǎng)絡(luò)安全。

標(biāo)準(zhǔn)CA 服務(wù)器證書可以用于多個(gè)類型，如客戶端身份驗(yàn)證，電子郵件，代碼簽名，IPSec 等，本文只討論第一種類型證書!

具體步驟

1： 配置網(wǎng)站安全性，使用證書

1) ：安裝IIS 服務(wù), 過程略

2) ：建立要配置SSL 訪問的網(wǎng)站，例如 CADemoSite,過程略過。

3) ：配置CADemoSite 網(wǎng)站的目錄安全性，使用服務(wù)器證書向?qū)駽A 服務(wù)器申請證書。

在" 目錄安全性" 選項(xiàng)頁，選擇" 服務(wù)器證書" 按鈕,

在IIS 證書向?qū)н^程中，在" 站點(diǎn)公用名稱" 界面，請注意站點(diǎn)公用名稱必需與您的客戶端訪問這個(gè)站點(diǎn)所使用的名稱一致。

如果此時(shí)輸入的是IP 地址，那么客戶端訪問該網(wǎng)站時(shí)，就只能使用IP 地址訪問，如果此時(shí)輸入的是域名，那么客戶端訪問該網(wǎng)站時(shí)，就只能以域名形式訪問。我這里輸入的是域名形式。因?yàn)槲覝y試的這臺IIS 服務(wù)器本身也是DNS 服務(wù)器，已經(jīng)建立了相應(yīng)的區(qū)域文件, 可以實(shí)現(xiàn)域名到IP 地址的解析!

4) ：申請完成后, 將證書請求保存成為certreq.txt 文件。

2：正式向CA 服務(wù)器申請電子證書

1) ：在IIS 服務(wù)器上，訪問獨(dú)立證書頒發(fā)機(jī)構(gòu)的證書申請站點(diǎn)：

[url]http:///certsrv

2) ：依次選擇“申請一個(gè)證書", “高級證書申請”?

3) ：“使用 base64 編碼的 CMC 或 PKCS #10 文件提交 一個(gè)證書申請，或使用 base64 編碼的 PKCS #7 文件續(xù)訂證書申請”

4) ：打開第1步保存的certreq.txt 文件，將其中的所有內(nèi)容復(fù)制到“base64編碼”窗口中，如下圖：

5) ：點(diǎn)擊“提交”以提交證書申請請求，確認(rèn)請求提交后關(guān)閉IE 窗口。 3：CA 服務(wù)器頒發(fā)IIS 服務(wù)器申請的電子證書

在獨(dú)立證書頒發(fā)機(jī)構(gòu)上批準(zhǔn)這個(gè)證書請求, 點(diǎn)" 頒發(fā)" ，如下圖：

4：IIS 服務(wù)器下載CA 服務(wù)器頒發(fā)的電子證書

1) ：在您的IIS 服務(wù)器上，訪問獨(dú)立證書頒發(fā)機(jī)構(gòu)的證書申請站點(diǎn):

[url]http:///certsrv

2) ：選擇“查看掛起的證書申請的狀態(tài)”

3) ：獲得批準(zhǔn)的證書? “下載證書”并保存為.CER 文件

4) ：安裝下載的證書。打開IIS 服務(wù)器站點(diǎn)屬性，在目錄安全性中再次點(diǎn)擊“服務(wù)器證書”? “處理掛起的請求并安裝證書”?

5) ：指定在第3步中獲得的CER 文件? 完成向?qū)?。在目錄安全性中點(diǎn)擊“編輯”按鈕設(shè)置客戶端證書訪問配置，如下圖

5：配置IIS 服務(wù)器信任頒發(fā)證書的CA 服務(wù)器

如果上述過程都正確操作，在IIS 上安裝好頒發(fā)的電子證書后，仍然會(huì)看到如下圖所示的錯(cuò)誤信息，

主要原因是IIS 服務(wù)器此時(shí)不信任頒發(fā)證書的CA 服務(wù)器。解決 辦法是將CA 服務(wù)器添加到IIS 服務(wù)器計(jì)算機(jī)" 受信任的根證書頒發(fā)機(jī)構(gòu)",

具體步驟如下：

1) ：訪問獨(dú)立證書頒發(fā)機(jī)構(gòu)的證書申請站點(diǎn)，選擇“下載一個(gè) CA 證書，證書鏈或 CRL”? “下載CA 證書”。

2) ：將獲得的CA 證書導(dǎo)入到IIS 服務(wù)器的計(jì)算機(jī)“受信任的根證書頒發(fā)機(jī)構(gòu)”容器中，以使得IIS 服務(wù)器信任你的獨(dú)立證書頒發(fā)機(jī)構(gòu), 如下圖：

3):導(dǎo)入CA 證書到" 受信任的根證書頒發(fā)機(jī)構(gòu)" 后，上述證書不再顯示錯(cuò)誤信息。

三：配置客戶端正常訪問SSL 網(wǎng)站。

IIS 服務(wù)器上配置好安全訪問后，客戶端要能正確訪問該網(wǎng)站，此時(shí)客戶端也必須向CA 服務(wù)器申請證書! 具體步驟如下：

1：在客戶端上，為需要訪問此IIS 站點(diǎn)的用戶申請一張用戶使用的“客戶端身份驗(yàn)證證書”。方法同上

2：在獨(dú)立證書頒發(fā)機(jī)構(gòu)上批準(zhǔn)此請求并再次到客戶端上獲得此證書并安裝。方法同上 3:配置客戶端信任頒發(fā)證書的CA 服務(wù)器

1) ：訪問獨(dú)立證書頒發(fā)機(jī)構(gòu)的證書申請站點(diǎn)，選擇“下載一個(gè) CA 證書，證書鏈或 CRL”? “下載CA 證書”。

2) ：將獲得的CA 證書導(dǎo)入到客戶端計(jì)算機(jī)的“受信任的根證書頒發(fā)機(jī)構(gòu)”容器中，以使得客戶端計(jì)算機(jī)信任您的獨(dú)立證書頒發(fā)機(jī)構(gòu)。

4:訪問網(wǎng)站，經(jīng)測試, 可以正常訪問