如何使网站基于CA认证访问

如何使网站基于CA认证访问

Andy Luo

2005-11-22

概要

随着互联网技术的发展，网站的安全性问题已经越来越重要，本文介绍如何通过windows 的“证书颁发机构”功能，使您的网站基于CA认证后才能访问。

【SSL】：Security Socket Layer , 加密套接字协议层；

【HTTP】：WWW服务程序所用的协议；

【HTTPS】：是一个安全通信通道，它基于HTTP开发，用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换，简单来说它是HTTP的安全版。

【操作环境】：Windows 2000 Server企业版

【组件】：IIS5.0, 证书颁发机构（安装windows组件）

【虚拟目录】：http://localhost/kosoft/index.aspx

【说明】：设置网站的SSL是基于站点的，而不是针对某个虚拟目录。

一、申请文本形式的证书

1．浏览“证书颁发机构”组件（一般安装以后会出现在开始---程序---管理工具），如图1

(图1)

2．创建新的证书申请

打开IIS，在默认Web站点上右键选择“属性”，点击“目录安全性”选项卡，在“安全通信”中点击按钮“服务器证书(S)…”，系统打开了向导。如图2

（图2）

3．选择“创建一个新证书(C)”，点击“下一步”，“下一步”，输入名称“KoSoft”，选择位长“1024”位，点击“下一步”。

4．系统出现“组织”、“组织部门”，随便填写几个相关数据。点击“下一步”，出现“站点的公用名称”，保持默认，点击“下一步”，选择“国家”、“省”、“市”。点击“下一步”。

5．系统出现“证书请求文件名”页面，选择您想要的文件名和存放位置。这里保持默认。

6．点击“下一步”，点击“完成”就申请了一个证书。

二、生成crt文件证书

1．打开IE，访问http://localhost/certsrv/把刚才申请的证书提交证书颁发机构。出现如下的访问页面，如图3

（图3）

2．选择“申请证书”，点击“下一步”，选择“高级申请”，点击“下一步”，选择“使用base64 编码的PKCS #10 文件提交一个证书申请，或使用base64 编码的PKCS #7 文件更新证书申请”。点击“下一步”，出现如图4：

（图4）

3．点击“浏览”插入刚才生成的certreq.txt文件内容，或者打开certreq.txt把内容复制，粘贴到这里。然后点即“提交”。

4．您可以看到，您申请的证书已经收到，并且现在的状态是挂起。

5．回到“证书颁发机构”组件，点击“待定申请”页，可以看到您刚才的申请单，如图

5

（图5）

6．在证书上，右键选择“所有任务”——颁发，则证书就转移到了“颁发的证书”节点

下，如图6：

到此为止，证书已经申请，并且颁发成功。

下边看看如何启用这个证书

三、应用证书

1．打开IE，访问http://localhost/certsrv/把刚才申请的证书下载到本地

2．选择“检查挂起的证书”，“下一步”，注意选择“Base 64 编码”，把证书下载到本地，文件名：certnew.cer

3．打开IIS，在默认Web站点上右键选择“属性”，点击“目录安全性”选项卡，在“安全通信”中点击按钮“服务器证书(S)…”，系统打开了向导。点击“下一步”，出现如

下图7，注意与第一次不同了。

（图7）

4．选择“处理挂起的请求并安装证书”，点击“下一步”，出现“证书注册”警告，选择“是”，完成向导。

5．此时可以察看证书，编辑证书。

6．选择“编辑”，打开如下页面，注意一定要勾选“申请安全通道(SSL)(R)”,点击“确定”。如果客户端需要审核才能访问，在客户证书中选择“申请客户证书“，如下图8

访问http://localhost/kosoft/index.aspx , 发现，出现如下错误：

请尝试下列操作：

在您要访问的地址前面键入“https:”，然后重试。

HTTP 403.4 - 禁止访问：要求SSL

Internet 信息服务

试试看如下的地址：https://localhost/kosoft/index.aspx发现，出现如下错误

网页要求客户证书

您要查看的网页要求使用客户证书。

请尝试下列操作：

∙如果您已经安装了客户证书，请单击刷新按钮重试。

∙如果您确信应该能够查看该目录或网页，请与Web 站点管理员

联系，其电子邮件地址或电话号码请参阅grd-pec:89主页。

HTTP 403.7 - 禁止访问：要求客户证书

Internet 信息服务

7．回到IE，打开http://localhost/certsrv/，申请一个证书，选择“Request a certificate”，点击下一步，选择高级申请，选择“Submit a certificate request to this CA using a form.”，点击下一步，出现证书申请页面，填写姓名，电子邮件，等信息，点击提交。系统提示如下：证书挂起

您的证书申请已经收到。不过，您必须等待管理员发布您申请的证书。

请在一天或两天内回到此 web 站点以检索您的证书。

注意:您必须用此 web 浏览器在 10 天内返回以检索您的证书

8．在服务器端，打开证书颁发机构，打开待定申请列表，对申请的证书进行颁发。

9．在客户端打开IE，打开http://localhost/certsrv/，选择Check on a pending certificate，点击下一步，到证书已发布页面，点击证书安装。

10．关闭IE，然后重新打开IE，输入https://localhost/kosoft/index.aspx，便可以访问。

关于证书的有效日期

默认情况下，独立证书颁发机构CA 签发的证书的有效期是一年。一年之后证书即过期，其使用将不再受信任。但在某些情况下，您可能必须要覆盖由中介或发证CA 所签发的证书的默认终止日期。

注册表中定义的有效期限会影响所有由独立CA 和企业CA 签发的证书。对于企业CA，默认注册表设置为两年。对于独立的CA，默认注册表设置为一年。对于由独立CA 签发的证书，其有效期限由本文稍后介绍的注册表项确定。该值适用于所有CA 签发的证书。

对于企业CA 签发的证书，其有效期限硬编码在用来创建证书的模板中。Windows 2000 和Windows Server 2003 不支持对这些模板的修改。模板有效期限适用于所有由企业CA 签发的证书。对于从属CA 证书模板不存在例外。由CA 签发的证书的有效期为下列时间段中的最短者：•本文前面提到的注册表中定义的有效期。

•模板定义的有效期。这只适用于企业CA。