最新使用证书服务建立SSL保护的web站点
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
使用证书服务建立S S L保护的w e b站点
使用证书服务,建立SSL保护的web站点
一、实训说明
现在,国外电子商务网站都是这样做的,但国内绝大部分的网站却没有提供https加密传输。提供SSL加密链接绝对是互联网企业应该立即动手去做的事情。
通常来说,一个网站只需要一台服务器(就是说一个域名)拥有一个证书就足够了。
本实训模拟一个CA,并从该CA申请数字证书,来对我们的web站点提供SSL加密保护。
二、实训环境与准备工作
由两台计算机完成实训项目。可以让两个同学组成一个小组完成,也可以一个同学在本机和虚拟机组成的局域网环境下完成。
1、虚拟机(windows 2003 server)
IP地址:192.168.0.1,子网掩码:255.255.255.0,在虚拟机上配置证书服务器。
2、计算机(本机)
IP地址:192.168.0.2,子网掩码:255.255.255.0,作为一个站点服务器。
三、实训步骤
第一步,在计算机中安装虚拟机。
第二步,在虚拟机中安装windows 2003 server。
第三步,设置虚拟机的IP地址:192.168.0.1,子网掩码:255.255.255.0。
第四步,在虚拟机中安装IIS。(添加或删除程序>添加/删除windows组件>应用程序服务)
第五步,在虚拟机中安装与配置证书服务。
1、在“控制面板”窗口中双击“添加或删除程序”选项,打开“添加或删除程序”窗口。然后在左窗格中单击“添加/删除Windows组件”按钮,打开“Windows组件向导”对话框。
2、在“组件”列表中找到并选中“证书服务”选项,然后单击“详细信息”按钮,在打开的“证书服务”对话框中选中“证书服务Web注册支持”和“证书服务颁发机构(CA)”复选框。依次单击“确定”→“下一步”按钮,如图所示。
3、在打开的“CA类型”对话框中选中“独立根(CA)”单选框,单击“下一步”按钮,如图所示。
4、打开“CA识别信息”对话框,输入CA名称等标识信息(如“qhw2012”<<可以自己随便命名>>)。在“有效期限”编辑框中设置CA识别信息的有效期限,单击“下一步”按钮,如图所示。
5、打开“证书数据库设置”对话框,建议保持默认路径,并依次单击“下一
步”→“完成”按钮。
小提示:在安装过程中系统会提示安装向导将停止IIS服务,单击“是”按钮停止继续安装。如果IIS当前没有启用ASP支持,想到将提示用户启用ASP。单击“是”按钮将继续安装。另外在复制文件的过程中会要求用户提供Windows 2003 Server安装光盘或指定安装源,并且在完成安装后证书服务会自动启动。
6、在开始菜单中依次单击“管理工具”→“证书颁发机构”菜单项,打开“证书颁发机构”窗口。在左窗中右键单击“qhw2012”(即证书服务标识)目录,依次选择“所有任务”→“启动服务”命令启动证书服务,(默认是已启动的)如图所示。
第六步,添加本机的IP地址:192.168.0.2,子网掩码:255.255.255.0。
第七步,在本机中访问证书服务器。http://192.168.0.1/certsrv,并选择“申请一个证书”。
选择“高级证书申请”。
选择“创建并向此CA提交一个申请”。
填写高级证书内容。注意:需要的证书类型中一定要选择“服务器身份验证证书”和密钥选项中一定要选择“将证书保存在本地计算机存储中”,其它默认值即可,最后提交。
选择“是”。
第八步,登录虚拟机,打开证书颁发机构,单击“挂起的申请”选项,可以看到刚才申请的证书。右击后选择“颁发”命令。
这时选择“颁发的证书”选项中可以看到已颁发的证书。
第九步,在本机中登录:http://192.168.0.1/certsrv,这次选中“查看挂起的证书申请的状态”单选按钮。
选择“服务器身份验证证书”。
单击“安装此证书”。
选择“是”。
第十步,打开本机的IIS,自已建立一个可以访问的网站,并进行相关设置,如:IP、主目录和文档等。
设置完,打开浏览器,http://192.168.0.2,确保这时网页是可以访问的。
第十一步,再次打开本机的IIS,右击站点的属性命令,打开“属性”对话框中的“目录安全性”选项卡,再单击“服务器证书”按钮,把数字证书导入到IIS中。
选择“指派现在证书”。
选择刚申请的证书,这里是“qiuhongwei”。
这时“目录安全性”选项卡里的“查看证书”和“编辑”按钮刚才是灰色的,在导入完证书后,都变成可用了。单击“编辑”按钮,就会弹出一个“安全通信”对话框,选中“申请安全通道(SSL)”和“申请128位加密”复选框,单击“确定”按钮即可。
第十二步,打开本机浏览器,登录网址为:http://192.168.0.2,发现不能登录。
这时登录网址改为:https://192.168.0.2。同时选择“安全警报”对话框中的“是”选项。