windows 2003 環(huán)境中 搭建 https 申請ca 證書下面看操作！這些服務都必須的安裝！下面我們來看下iis 和dns 都配置下！切記這個默認網(wǎng)站一定不可以刪下面我們來建個 web頁面！i

windows 2003 環(huán)境中 搭建 https 申請ca 證書

下面看操作！

這些服務都必須的安裝！

下面我們來看下iis 和dns 都配置下！

切記這個默認網(wǎng)站一定不可以刪

下面我們來建個 web頁面！

ip訪問沒有問題下面我們來配置dns 跟申請證書！

正向解析這里需要添加主機記錄 為自己的dns 地址

申請證書！這里的公用名稱一定要為自己的域名！

最后證書下載出來后將證書導入 ok 下面我們來用 https進行訪問

在默認情況下，IIS 使用HTTP 協(xié)議以明文形式傳輸數(shù)據(jù)，沒有采取任何加密措施，用戶的重要數(shù)據(jù)很容易被竊取，如何才能保護局域網(wǎng)中的這些重要數(shù)據(jù)呢? 我們可以使用SSL 增強IIS 服務器的通信安全。

SSL 網(wǎng)站不同于一般的Web 站點，它使用的是“HTTPS ”協(xié)議，而不是普通的“HTTP ”協(xié)議。因此它的URL （統(tǒng)一資源定位器）格式為“https://www.etsec.com.cn”。

一、安裝證書條件

要想使用SSL 安全機制功能，首先必須為Windows Server 2003或者 windows 2008 server系統(tǒng)安裝證書服務。

1、首先請確認您的服務器已經(jīng)安裝配置了Active Directory服務，這樣您就可以給域中的用戶頒發(fā)數(shù)字證書。當然AD 服務不是安裝CA 服務的必要條件，如果僅僅做測試使用，您可以不安裝AD 服務；

2、確保在您的Windows2003 server/.NET中開啟IIS 服務，并且支持ASP ，這樣您的CA 服務可以通過WEB 在INTERNET/INTRANET發(fā)布； 當然 一般實際情況是WEB 服務器和CA 服務器分別是獨立的服務器。

二、安裝證書服務

要想使用SSL 安全機制功能，首先必須為Windows Server 2003系統(tǒng)安裝證書服務。

進入“控制面板”，運行“添加或刪除程序”，接著進入“Windows 組件向?qū)А睂υ捒?，勾選“證書服務”選項

點擊“下一步”按鈕，接著選擇CA 類型。這里選擇“獨立根CA”

點擊“下一步”按鈕，為自己的CA 服務器取個名字，設置證書的有效期限，

最后指定證書數(shù)據(jù)庫和證書數(shù)據(jù)庫日志的位置，就可完成證書服務的安裝。

三、配置SSL 網(wǎng)站

1. 創(chuàng)建請求證書文件

完成了證書服務的安裝后，就可以為要使用SSL 安全機制的網(wǎng)站創(chuàng)建請求證書文件。點擊“控制面板→管理工具”，運行“Internet 信息服務-IIS 管理器”，在管理器窗口中展開“網(wǎng)站”目錄，右鍵點擊要使用SSL 的網(wǎng)站，選擇“屬性”選項，在網(wǎng)站屬性對話框中切換到“目錄安全性”標簽頁（圖1），然后點擊“服務器證書”按鈕。

在“IIS 證書向?qū)А睂υ捒蛑羞x擇“新建證書”

點擊“下一步”按鈕，選擇“現(xiàn)在準備證書請求，但稍后發(fā)送”。在“名稱”輸入框中為該證書取名，然后在“位長”下拉列表中選擇密鑰的位長。接著設置證書的單位、部門、站點公用名稱和地理信息，最后指定請求證書文件的保存位置。這樣就完成了請求證書文件的創(chuàng)建。

2. 申請服務器證書

完成上述設置后，還要把創(chuàng)建的請求證書文件提交給證書服務器。在服務器端的IE 瀏覽器地址欄中輸入“/CertSrv/default.asp”。在“Microsoft 證書服務”歡迎窗口中點擊“申請一個證書”鏈接， http://www.etsec.com.cn/CertSrv/default.asp

接下來在證書申請類型中點擊“高級證書申請”鏈接，

然后在高級證書申請窗口中點擊“使用BASE64編碼的CMC 或PKCS#10....”鏈接，

再打開剛剛生成的“certreq.txt”(默認c:/cetreq.txt)文件(IIS服務器加密注冊時候產(chǎn)生的密鑰) ，

將其中的內(nèi)容復制到“保存的申請”輸入框后點擊“提交

”

3. 頒發(fā)服務器證書 (這部分操作是在實際中由ca 證書服務商處實現(xiàn)的, 我們的ca 服務器其實并不是合法的, 在這里僅僅是為了實驗目的中頒發(fā)證書而建立的)

點擊“控制面板→管理工具”，運行“證書頒發(fā)機構(gòu)”。在主窗口中展開樹狀目錄，點擊“掛起的申請”項（圖2），找到剛才申請的證書，然后右鍵點擊該項，選擇“所有任務→頒發(fā)”。

頒發(fā)成功后，點擊樹狀目錄中的“頒發(fā)的證書”項，雙擊剛才頒發(fā)的證書，在彈出的“證書”對話框的“詳細信息”標簽頁中，點擊“復制到文件”按鈕，彈出證書導出向?qū)?，連續(xù)點擊“下一步”按鈕，并在“要導出的文件”對話框中指定文件名，最后點擊“完成”。

4. 安裝服務器證書

重新進入IIS 管理器的“目錄安全性”標簽頁，點擊“服務器證書”按鈕，彈出“掛起的證書請求”對話框，選擇“處理掛起的請求并安裝證書”選項，

點擊“下一步”按鈕，指定剛才導出的服務器證書文件的位置，接著設置SSL 端口，使用默認的“443”即可，最后點擊“完成”按鈕。

查看證書不再是灰色的證明已經(jīng)完成了倒入證書的操作

配置IIS 服務器

完成了證書的導入后，IIS 網(wǎng)站這時還沒有啟用SSL 安全加密功能，需要對IIS 服務器進行配置。

選擇需要加密訪問的站點目錄（如果希望全站加密，可以選擇整個站點），右鍵單擊打開屬性頁，在“目錄安全性”標簽頁，點擊安全通信欄的“編輯”按鈕，選中“要求安全通道(SSL)”和“要求128位加密”選項，最后點擊“確定”按鈕即可。如果需要用戶證書認證等高級功能，也可以選擇要示客戶證書選擇，還可以把特定證書映射為windows 用戶帳戶。

設置目錄的加密屬性

關于SSL 安全加密機制

SSL(Security Socket Layer)的中文全稱是“加密套接字協(xié)議層”，是由Netscape 公司推出的一種安全通信協(xié)議，它位于HTTP 協(xié)議層和TCP 協(xié)議層之間，能夠?qū)π庞每ê蛡€人信息提供較強的保護。SSL 在客戶和服務器之間建立一條加密通道，確保所傳輸?shù)臄?shù)據(jù)不被非法竊取，SSL 安全加密機制功能是依靠使用數(shù)字證書來實現(xiàn)的。

應用了SSL 加密機制后，IIS 服務器的數(shù)據(jù)通信過程如下:首先客戶端與IIS 服務器建立通信連接，接著IIS 把數(shù)字證書與公用密鑰發(fā)給客戶端。然后使用這個公共密鑰對客戶端的會話密鑰進行加密后，傳遞給IIS 服務器，服務器端接收后用私人密鑰進行解密，這時就在客戶端和 IIS服務器間創(chuàng)建了一條安全數(shù)據(jù)通道，只有被IIS 服務器允許的客戶才能與它進行通信。