OpenSSL来制作证书,在IIS中配置HTTPS(SSL)笔记
利用OpenSSL实现IIS服务器安全通信
第11卷第1期沙洲职业工学院学报V ol. 11, No.1 2008年3月 Journal of Shazhou Professional Institute of Technology Mar. , 2008 利用OpenSSL实现IIS服务器安全通信汤建龙,陆国浩(沙洲职业工学院,江苏张家港 215600)摘要:简述了基于SSL的信息安全通道的原理及应用,介绍了利用OpenSSL软件包在windows 2000 server上IIS服务器搭建一条基于SSL的信息安全通道的过程,其中包括对CA服务的配置,WEB服务器端证书的申请、安装和配置,以及客户端和服务端SSL的通信过程。
关键词:OpenSSL;IIS;证书中图分类号:TP39 文献标识码:A 文章编号:1009-8429(2008)01-0012-05Realizing the Secure Communication on the IIS server with the OpenSSLTANG Jian-long,LU Guo-hao( Shazhou Professional Institute of Technology, Zhangjiagang 215600, China )Abstract: This paper summarizes the principle and the application of SSL-based information security channel, introduces the process for the SSL-based information security channel with the Open SSL software package on the Windows 2000 server and the IIS server, including the CA service configuration, the application for, the installation as well as the disposition of the WEB server certificate, and the SSL course of communications between the client end and the server end.Key words: OpenSSL; IIS; Certificate0 引言随着计算机网络技术的发展,互连网成为人们日常生活中获取信息的主要方式之一。
在IIS下部署SSL证书实现HTTPS
在IIS下部署SSL证书实现HTTPS【来源:小鸟云计算】Ps.小鸟云,国内专业的云计算服务商HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。
谷歌已经制定了一项长远的计划,它的最终目标是将所有通过HTTP协议呈现的网页标为“不安全”,对于站长来说,部署SSL证书来迁移到HTTPS是一个现实和重要的问题,那么,对于IIS系统来说,如何部署SSL证书实现HTTPS协议呢?下面就讲述一下具体的实现方法。
IIS6对于IIS6 来说,支持PFX格式证书,下载包中包含PFX格式证书和密码文件。
(1 )证书导入开始-〉运行-〉MMC;启动控制台程序,选择菜单“文件”中的“添加/删除管理单元”-> “添加”,从“可用的独立管理单元”列表中选择“证书”-> 选择“计算机帐户”;在控制台的左侧显示证书树形列表,选择“个人”->“证书”,右键单击,选择“所有任务”-〉“导入”,根据“证书导入向导”的提示,导入PFX文件(此过程当中有一步非常重要:“根据证书内容自动选择存储区”)。
安装过程当中需要输入密码为当时设置的密码。
导入成功后,可以看到证书信息。
(2 )分配服务器证书打开IIS管理器(或开始-运行-输入inetmgr-回车)。
选择网站,右键打开“属性”,选择“目录安全性”,点击“服务器证书”。
根据证书配置向导,点击“下一步”。
如果已经完成了“证书导入”,则选择“分配现有证书”,选择已经导入的证书即可。
否则,选择“从。
pfx文件导入证书”,点击下一步。
浏览选择。
pfx格式的证书文件,点击“下一步”。
输入证书的密码,并继续下一步。
确认SSL端口为:443,点击下一步,并完成IIS证书配置。
可通过“查看证书”,确认证书是否导入成功。
Chrome将在网站上显示不安全警告IIS7/8IIS 7/8 支持PFX格式证书,下载包中包含PFX格式证书和密码文件。
(1 )证书导入开始-〉运行-〉MMC;启动控制台程序,选择菜单“文件”中的“添加/删除管理单元”-> “添加”,从“可用的独立管理单元”列表中选择“证书”-> 选择“计算机帐户”;在控制台的左侧显示证书树形列表,选择“个人”->“证书”,右键单击,选择“所有任务”-〉“导入”,根据“证书导入向导”的提示,导入PFX文件(此过程当中有一步非常重要:“根据证书内容自动选择存储区”)。
ssl tools for iis 工具使用方法
ssl tools for iis 工具使用方法以下是一些用于IIS的SSL工具的使用方法:1. OpenSSL:这是一个开源的安全套接字层(SSL)工具包,可以在IIS上使用。
您可以使用以下命令来生成和管理SSL证书: - 生成证书请求:openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr- 生成自签名证书:openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt- 创建PFX文件:openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt2. IIS SSL/ TLS证书生成工具:这是微软提供的一个工具,可以帮助您在IIS上生成和管理SSL证书。
您可以按照以下步骤使用该工具:- 打开IIS管理器,选择服务器节点,双击“服务器证书”。
- 在右侧操作窗格中,选择“生成证书请求”或“导入证书”。
- 根据向导提供的信息,填写证书请求或导入现有证书。
3. Let's Encrypt:这是一个免费的证书颁发机构,提供了一个名为Certbot的工具,可以用于在IIS上自动安装和更新SSL证书。
您可以按照以下步骤使用Certbot:- 安装Certbot工具,并运行命令:certbot certonly --webroot -w [网站根目录] -d [您的域名]- Certbot将验证您的域名所有权,并为您生成和安装SSL证书。
4. IIS Crypto:这是一个图形化工具,用于配置IIS服务器上的SSL和TLS设置。
您可以按照以下步骤使用IIS Crypto:- 下载并运行IIS Crypto工具。
- 在“Best Practices”选项卡中,选择适当的安全套件,然后点击“Apply”应用更改。
在IIS上SSL的部署和启动SSL安全
在IIS上SSL的部署和启动SSL安全在这次的项⽬中遇见了这个问题,之前我并懂了不了多少,只对了SSL和HTTPS理论了解。
但并不知道在实际中如何运⾏。
经过⾃⼰在⽹上查阅⼀番,最后靠⾃⼰解决了这个问题,现在在这⾥和⼤家分享⼀下。
如果写的有不对或者是不恰当的,就请⼤家指正,多交流。
SSL(安全套接⼦层:Secure Socket Layer):SSL是Secure Socket Layer(安全套接⼦层):是由⽹景公司(Netscape)⾃主研发的⽤以保障在Internet上敏感数据传输之安全,利⽤数据加密技术,可确保数据在⽹络上之传输过程中不会被截取及窃听。
SSL协议位于TCP/IP协议与各种应⽤层协议之间,为数据通讯提供安全⽀持。
SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建⽴在可靠的传输协议(如TCP)之上,为⾼层协议提供数据封装、压缩、加密等基本功能的⽀持。
SSL握⼿协议(SSL Handshake Protocol):它建⽴在SSL记录协议之上,⽤于在实际的数据传输开始前,通讯双⽅进⾏⾝份认证、协商加密算法、交换加密密钥等。
SSL协议提供的服务主要有:1:认证⽤户和服务器,确保数据发送到正确的客户机和服务器;2:加密数据以防⽌数据中途被窃取;3:维护数据的完整性,确保数据在传输过程中不被改变。
HTTPS(安全超⽂本传输协议:Secure Hypertext Transfer Protocol):HTTPS(Secure Hypertext Transfer Protocol)安全超⽂本传输协议就是应⽤了⽹景公司的安全套接字层(SSL)作为HTTP应⽤层的⼦层。
(HTTPS默认端⼝为443)SSL使⽤40 位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。
HTTPS 和SSL⽀持使⽤X.509数字认证,如果需要的话⽤户可以确认发送者是谁.HTTPS是以安全为⽬标的HTTP通道,简单讲是HTTP的安全版。
Linux命令高级技巧使用openssl生成和管理SSL证书
Linux命令高级技巧使用openssl生成和管理SSL证书使用OpenSSL生成和管理SSL证书一、介绍SSL证书是用于保护网站和网络通信安全的重要工具。
OpenSSL是一个开源加密库,能够提供各种加密算法和SSL/TLS协议的实现。
本文将介绍如何使用OpenSSL生成和管理SSL证书的高级技巧。
二、安装OpenSSL首先,确保已经在Linux系统上安装了OpenSSL。
可以通过以下命令来检查OpenSSL是否已安装:$ openssl version如果没有安装,可以使用包管理工具,如apt、yum等进行安装。
三、生成自签名证书自签名证书用于测试环境或本地开发,不需要经过权威机构的认证。
使用OpenSSL可以轻松生成自签名证书。
以下是生成自签名证书的步骤:1. 生成私钥:$ openssl genrsa -out private.key 20482. 生成证书签发请求(CSR):$ openssl req -new -key private.key -out csr.csr在生成CSR的过程中,需要填写一些证书相关的信息,如国家、地区、组织、通用名等。
3. 生成自签名证书:$ openssl x509 -req -in csr.csr -signkey private.key -out certificate.crt生成的certificate.crt即为自签名证书,可以用于配置Web服务器等需要SSL证书的场景。
四、生成CA证书除了自签名证书,我们也可以生成CA(Certificate Authority)证书,以进行证书签发。
以下是生成CA证书的步骤:1. 生成私钥:$ openssl genrsa -out ca.key 20482. 生成证书签发请求(CSR):$ openssl req -new -key ca.key -out ca.csr在生成CSR的过程中,需要填写一些证书相关的信息,如国家、地区、组织、通用名等。
openssl创建ssl证书
openssl创建ssl证书openssl 创建ssl证书博客分类:•信道加密WebServiceTomcatWeblogic浏览器Scheme转自这里前段时间接触webservice,需要建立基于ssl的webservice以保证安全性,并要提供数字的支持。
关于这部分以前没有搞过,经过摸索总算有些收获。
现在把我的一些经验share一下。
一、数字证书的相关准备关于数字证书部分我是用openssl做的,也是个开源的软件,前不久刚刚发布了1.0版本(做了11年才正式发布,由衷的佩服,老外真是有股哏劲)。
网上很多文章介绍用java自带的keytool命令完成,我没有试过,不过看文章介绍好像keytool没有CA认证的功能。
下面开始数字证书相关操作。
1.下载、安装openssl(好像是废话)Openssl建议大家用1.0版本,毕竟是正式版本。
我用的时候正式版还没出来,当时用的是OpenSSL 0.9.8m,不要用OpenSSL 0.9.8h 这个版本(有个bug,会影响到后面的操作)。
安装后从命令行进入安装目录下的bin目录。
Ready! GO!。
2.创建CA的私钥执行以下命令openssl genrsa -des3 -out ../demo/ca/ca.key 1024demo是我的工作目录,接下来会提示你输入密码,后面用到的密码会很多,最好都认真记下来。
3.创建CA证书openssl req -new -x509 -key ../demo/ca/ca.key -out ../demo/ca/ca.crt -days 365x509是一种加密的标准,-out是指输出的文件路径,-key是指定私钥,也就是上一步生成的那个,-days是指证书有效期。
注:再输入common name时你可以指定你自己的名字,但是不能输入你的服务器名()4.创建server端的私钥因为咱们是要在server端提供SSL的webservice,所以在server 端需要使用私钥库和信任库。
openssl使用引擎 申请证书
一、概述在网络通信中,安全性是至关重要的。
为了确保数据的安全传输,使用SSL/TLS证书是一种十分常见的方法。
而openssl是一个开源的加密工具包,可以用来生成、管理和验证SSL/TLS证书。
在openssl 中,使用引擎来生成证书是一种高效的方法。
本文将介绍openssl如何使用引擎来申请证书。
二、openssl引擎概述1. 什么是openssl引擎openssl引擎是一种用于加密和解密操作的软件组件,它可以被openssl库动态加载。
引擎通常用于加速和优化SSL/TLS证书的生成和管理过程,能够提高证书生成的效率和安全性。
2. openssl引擎的种类openssl引擎有多种不同类型,包括软件引擎和硬件引擎。
软件引擎是在软件中实现的算法加速引擎,而硬件引擎则是通过专用的加密硬件实现的。
在openssl中,通过使用不同的引擎可以实现更高效的证书生成和管理过程。
三、使用引擎申请证书的步骤1. 下载和安装openssl在使用openssl引擎之前,首先需要下载和安装openssl工具包。
可以从openssl冠方全球信息站上下载最新版本的openssl工具包,并按照安装说明进行安装。
2. 配置openssl引擎在安装openssl工具包后,需要配置openssl引擎。
通过编辑openssl配置文件,可以指定要使用的引擎类型和参数。
3. 生成证书请求使用openssl工具包中的命令行工具,可以生成证书请求文件。
在生成证书请求时,可以选择指定要使用的openssl引擎,以加速证书生成的过程。
4. 提交证书请求将生成的证书请求文件提交给证书颁发机构(CA),等待CA签发的SSL/TLS证书。
5. 安装证书一旦CA签发了证书,将证书安装到服务器上,使得服务器可以使用生成的SSL/TLS证书进行安全通信。
四、openssl引擎的优势和应用场景1. 优势使用openssl引擎可以提高证书生成和管理的效率。
尤其在大型网络系统中,通过使用引擎可以显著缩短证书生成的时间,提高系统的安全性和可靠性。
openssl做证书的方法
openssl做证书的方法
使用 OpenSSL 工具生成证书的方法有多种,以下是其中一种常见的方法:
1. 生成私钥:首先使用 OpenSSL 生成一个私钥文件,可以使用以下命令生成一个 2048 位的 RSA 私钥文件:
openssl genrsa -out private.key 2048。
2. 生成证书签名请求(CSR):接下来使用私钥生成证书签名请求文件,可以使用以下命令生成 CSR 文件:
openssl req -new -key private.key -out csr.pem.
3. 自签名证书:如果您需要生成自签名的证书,可以使用以下命令生成一个有效期为一年的自签名证书:
openssl req -x509 -days 365 -key private.key -in csr.pem -out certificate.pem.
以上是使用 OpenSSL 工具生成证书的简单方法,您还可以根据具体需求使用 OpenSSL 工具进行更复杂的证书操作,如创建 CA 证书、签发证书等。
希望这些信息能够帮助到您。
使用openssl生成证书
使⽤openssl⽣成证书⼀、openssl 简介openssl 是⽬前最流⾏的 SSL 密码库⼯具,其提供了⼀个通⽤、健壮、功能完备的⼯具套件,⽤以⽀持SSL/TLS 协议的实现。
官⽹:构成部分1. 密码算法库2. 密钥和证书封装管理功能3. SSL通信API接⼝⽤途1. 建⽴ RSA、DH、DSA key 参数2. 建⽴ X.509 证书、证书签名请求(CSR)和CRLs(证书回收列表)3. 计算消息摘要4. 使⽤各种 Cipher加密/解密5. SSL/TLS 客户端以及服务器的测试6. 处理S/MIME 或者加密邮件⼆、RSA密钥操作默认情况下,openssl 输出格式为 PKCS#1-PEM⽣成RSA私钥(⽆加密)openssl genrsa -out rsa_private.key 2048⽣成RSA公钥openssl rsa -in rsa_private.key -pubout -out rsa_public.key⽣成RSA私钥(使⽤aes256加密)openssl genrsa -aes256 -passout pass:111111 -out rsa_aes_private.key 2048其中 passout 代替shell 进⾏密码输⼊,否则会提⽰输⼊密码;⽣成加密后的内容如:-----BEGIN RSA PRIVATE KEY-----Proc-Type: 4,ENCRYPTEDDEK-Info: AES-256-CBC,5584D000DDDD53DD5B12AE935F05A007Base64 Encoded Data-----END RSA PRIVATE KEY-----此时若⽣成公钥,需要提供密码openssl rsa -in rsa_aes_private.key -passin pass:111111 -pubout -out rsa_public.key其中 passout 代替shell 进⾏密码输⼊,否则会提⽰输⼊密码;转换命令私钥转⾮加密openssl rsa -in rsa_aes_private.key -passin pass:111111 -out rsa_private.key私钥转加密openssl rsa -in rsa_private.key -aes256 -passout pass:111111 -out rsa_aes_private.key私钥PEM转DERopenssl rsa -in rsa_private.key -outform der-out rsa_aes_private.der-inform和-outform 参数制定输⼊输出格式,由der转pem格式同理查看私钥明细openssl rsa -in rsa_private.key -noout -text使⽤-pubin参数可查看公钥明细私钥PKCS#1转PKCS#8openssl pkcs8 -topk8 -in rsa_private.key -passout pass:111111 -out pkcs8_private.key其中-passout指定了密码,输出的pkcs8格式密钥为加密形式,pkcs8默认采⽤des3 加密算法,内容如下:-----BEGIN ENCRYPTED PRIVATE KEY-----Base64 Encoded Data-----END ENCRYPTED PRIVATE KEY-----使⽤-nocrypt参数可以输出⽆加密的pkcs8密钥,如下:-----BEGIN PRIVATE KEY-----Base64 Encoded Data-----END PRIVATE KEY-----三、⽣成⾃签名证书⽣成 RSA 私钥和⾃签名证书openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crtreq是证书请求的⼦命令,-newkey rsa:2048 -keyout private_key.pem 表⽰⽣成私钥(PKCS8格式),-nodes 表⽰私钥不加密,若不带参数将提⽰输⼊密码;-x509表⽰输出证书,-days365 为有效期,此后根据提⽰输⼊证书拥有者信息;若执⾏⾃动输⼊,可使⽤-subj选项:openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crt -subj "/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN=/emailAddress=yy@"使⽤已有RSA 私钥⽣成⾃签名证书openssl req -new -x509 -days 365 -key rsa_private.key -out cert.crt-new 指⽣成证书请求,加上-x509 表⽰直接输出证书,-key 指定私钥⽂件,其余选项与上述命令相同四、⽣成签名请求及CA 签名使⽤ RSA私钥⽣成 CSR 签名请求openssl genrsa -aes256 -passout pass:111111 -out server.key 2048openssl req -new -key server.key -out server.csr此后输⼊密码、server证书信息完成,也可以命令⾏指定各类参数openssl req -new -key server.key -passin pass:111111 -out server.csr -subj "/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN=/emailAddress=yy@"*** 此时⽣成的 csr签名请求⽂件可提交⾄ CA进⾏签发 ***查看CSR 的细节cat server.csr-----BEGIN CERTIFICATE REQUEST-----Base64EncodedData-----END CERTIFICATE REQUEST-----openssl req -noout -text -in server.csr使⽤ CA 证书及CA密钥对请求签发证书进⾏签发,⽣成 x509证书openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -passin pass:111111 -CAcreateserial -out server.crt其中 CAxxx 选项⽤于指定CA 参数输⼊五、证书查看及转换查看证书细节openssl x509 -in cert.crt -noout -text转换证书编码格式openssl x509 -in cert.cer -inform DER -outform PEM -out cert.pem合成 pkcs#12 证书(含私钥)** 将 pem 证书和私钥转 pkcs#12 证书 **openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 -password pass:111111 -out server.p12其中-export指导出pkcs#12 证书,-inkey 指定了私钥⽂件,-passin 为私钥(⽂件)密码(nodes为⽆加密),-password 指定 p12⽂件的密码(导⼊导出)** 将 pem 证书和私钥/CA 证书合成pkcs#12 证书**openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 \-chain -CAfile ca.crt -password pass:111111 -out server-all.p12其中-chain指⽰同时添加证书链,-CAfile 指定了CA证书,导出的p12⽂件将包含多个证书。
在IIS中部署HTTPS服务器的详细方法
部署HTTPS服务器的方法Add by 排骨大仙2011年8月2日写一个在IIS中部署HTTPS服务的方法,以及使用心得,供参考。
本文档为IIS6和IIS7版本。
其他版本的IIS请无视。
本版本示例使用CFCA证书,其他证书可以参考。
IIS61.安装IIS环境(Windows2003+IIS6)按照图上所示安装即可。
安装完成后可以启动IIS服务,在系统盘下也会有X:\inetpub\AdminScripts文件夹。
请检查是否拥有以上功能。
2.申请证书(已有服务器证书可以跳过)右击一个网站,选择属性,弹出一个对话框(如图所示,然后选择服务器证书)下一步直到以上对话框,选择新建证书。
接着一直下一步,如果需要填写某些内容,请如实填写,直到选择文件名。
要求输入文件名时,我们指定一个文件名,如C:\certRequest.txt,点击完成,我们就能在C盘中找到此文件了。
文件的内容如上图所示。
我们需要的部分只是红框内部分,将其复制下来,然后我们打开CFCA的证书申请网站(/tongyi/),如图所示选择Web服务器证书下载,然后下一步,继续,直到弹出如图所示内容,在红圈内粘贴刚刚复制下来的内容,然后输入两码(用户参考号、用户授权码),注意选择下拉框为PKCS#7的证书,然后点击下一步,就会提示完成证书申请,同时得到一串字符串。
将字符串保存下来。
存成一个CER文件,如: C:\certResponse.cer,以便查找。
我们重新选择服务器证书,会弹出一个如上图所示对话框。
我们选择处理挂起的请求,点击下一步,找到刚刚保存的文件,点击完成,证书就被安装到服务器上了。
3.导出证书导出证书的目的是备份证书,防止服务器证书遗失。
点击开始——运行,在对话框中输入“MMC”,会弹出以下窗口。
选择文件——添加删除管理单元,如图所示在弹出对话框中,选择“添加”,弹出以下对话框。
选择“证书”,点击添加,然后选择“计算机账户”,然后一直下一步,确定,直到界面显示如下:展开“证书”——“个人”——“证书”,会在右边显示一个服务器证书,右击菜单,所有任务。
给HTTP服务添加SSL证书,防止中间人攻击——使用acme.sh申请证书并配置HTTPS访问
给HTTP服务添加SSL证书,防⽌中间⼈攻击——使⽤acme.sh申请证书并配置HTTPS访问基于⽹络的普及和⽹速的提升,我们普通⽤户也可以搭建⾃⼰的HTTP服务并开放到公⽹中⽅便我们随时随地访问,如开源的智能家居系统Home Assistant、⽀持WebDAV协议的⽹盘、⽹络摄像机等。
不过HTTP协议是使⽤明⽂传输⽅式来传输信息的,当你访问只⽀持HTTP协议的⽹站,在经过路由器、宽带接⼊商等中间环节时,搜索的关键字、账号密码等都是可见的,这些信息很容易被截获从⽽造成重要数据的泄露。
这样就产⽣了由SSL + HTTP协议构建的可进⾏加密传输、⾝份认证的⽹络协议:HTTPS协议。
在HTTPS协议下传输数据,客户端会将数据加密后发送到服务器,服务器解密后获得数据,反之亦然。
在此过程中,数据通过密钥进⾏加密,这样即使中间环节劫持到内容也会因没有密钥⽆法破解。
下⾯我们就为⾃⼰的HTTP服务配置SSL证书并使服务可以从公⽹访问。
⼀、申请域名并绑定⾃⼰的公⽹IP地址⽬前三⼤运营商基本都⽀持IPv6了,只要你有⼀个⽀持IPv6的路由器就可以为你的上⽹设备分配到公⽹IPv6地址,不过这个地址是会变动的,我们需要实时将变动后的IP地址绑定到域名上,接下来我以dynv6的使⽤为例,申请域名并配置DDNS。
1.申请域名到这个⽹站使⽤邮箱注册⼀下,在经过邮箱验证后就可以创建⾃⼰的域名了,如下图:在Name后的⽂本框中给域名起个名字,点击“Create Zone”按钮,记录下图红框中的域名和token2.绑定域名和IP地址下载脚本使⽤WinSCP或SecureCRT等⼯具将脚本上传到需要绑定的设备中(我这⾥使⽤Armbian的root⽤户做演⽰,将脚本上传⾄/usr/local/bin⽬录)赋予脚本执⾏权限cd /usr/local/binchmod u+x dynv6.sh编辑定时任务crontab -e添加以下内容* * * * * token=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx /usr/local/bin/dynv6.sh v6test.dns.army等待⼀分钟后,查看当前⽬录中是否⽣成.dynv6.addr6⽂件(使⽤ls -la命令查看隐藏⽂件)查看⽂件内容cat .dynv6.addr6使⽤以下命令解析域名v6test.dns.army的IP地址nslookup v6test.dns.army 8.8.8.8解析出来的IPv6地址与.dynv6.addr6中的⼀致则动态域名服务配置成功3.配置泛域名我们在⾃⼰创建的域名下切换到Records标签,添加⼀条CNAME记录,如下图:Name中填⼊“*”后点保存追加:最近发现在给dynv6域名添加CNAME记录时,Name中填写“*”保存后过⼀会⼉此条CNAME记录就会被删除,导致⼦域名解析失败。
简单几步让网站支持https,windowsiis下https配置方式
简单⼏步让⽹站⽀持https,windowsiis下https配置⽅式1.https证书的分类SSL证书没有所谓的"品质"和"等级"之分,只有三种不同的类型。
SSL证书需要向国际公认的证书证书认证机构(简称CA,Certificate Authority)申请。
CA机构颁发的证书有3种类型:域名型SSL证书(DV SSL):信任等级普通,只需验证⽹站的真实性便可颁发证书保护⽹站;企业型SSL证书(OV SSL):信任等级强,须要验证企业的⾝份,审核严格,安全性更⾼;增强型SSL证书(EV SSL):信任等级最⾼,⼀般⽤于银⾏证券等⾦融机构,审核严格,安全性最⾼,同时可以激活绿⾊⽹址栏。
我们只要使⽤DV证书就可以了,⼀般来说我们申请到的免费ssl证书都是dv证书。
2.申请免费的证书2.1 ⾃签名惹的祸Ca证书必须要可信任的机构颁发才可以信任,⾃签名证书就是⾃⼰给⾃⼰签名,没有通过第三⽅CA机构颁发。
浏览器默认添加了⼀些可信任的CA机构,都是通过国际Web Trust认证的。
如果你的CA证书不是这些浏览器⾥默认添加的可信任的CA机构签发的话,那么就会出现像12306这样的笑话。
2.2申请免费的DV证书Let's Encrypt是国外⼀个公共的免费SSL项⽬,由 Linux 基⾦会托管,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,靠谱!申请免费的证书可以参考这篇⽂章,⼯具和步骤都⾮常的完整,这⾥就不累述了最后申请完之后iis的配置就是新建⼀个⽹站,其他都不⽤配置,就可以了,⽼的⽹站不要删除,如果要强制https访问的话可以再搜索其他的⽂章,这⾥不再展开3.https⽹站安全验证https已经可以访问了,但是https就⼀定是安全的吗,我们可以通过下⾯这个⽹站进⼀步检查你的⽹站的安全性,主要是从https的安全性去测试可能⼀开始测试是个F,像我⼀开始测试就是个F,这是因为操作系统的默认设置⾥有很多不安全的设置,需要我们⼿动来配置修改。
在IIS中部署HTTPS服务
配置Web站点强制使用HTTPS服务
当Web站点绑定服务器身份验证证书之后,已经可以通过HTTPS服务访问Web站点了。只是此时还允许通过未加密的HTTP服务访问Web站点,如果需要强制Web站点使用HTTPS服务,则进行以下配置:
在网站属性的目录安全性标签中点击安全通讯框架中的编辑按钮;
在弹出的安全通信对话框上,勾选要求安全通道(SSL),此时将强制只能使用HTTPS服务访问此Web站点;默认加密强度只有40位,如果你需要更高的加密强度则勾选要求128位加密,不过这也要求客户端浏览器支持128位加密;
默认情况下忽略客户端证书,这允许用户不必提供用户证书就可以通过HTTPS连接到此Web站点,如果要让用户提供证书,请使用接受客户证书或要求客户端证书,其中后者要求客户必须具有用户证书才能通过HTTPS连接到此Web站点。
�
另外你还可以启用客户端证书映射功能,它可以将用户证书映射到活动目录中的用户,从而根据用户访问网站时提供的证书自动识别用户。
在此我仅强制用户只能使用HTTPS来访问此Web站点,因此只是勾选要求安全通道(SSL)和要求128位加密,然后点击两次确定回到Internet信息服务管理控制台。
申请Web服务器证书的步骤如下:
在Web服务器上运行管理工具下的Internet信息服务管理控制台,在左面板展开Web站点节点,然后右击需要部署HTTPS服务的网站,在此我右击默认网站,选择属性;
在默认网站属性对话框,点击目录安全性标签,然后点击服务器证书按钮;
欢迎使用Web服务器证书向导页,点击下一步;
HTTPS_SSL配置的步骤以及原理说明
HTTPS_SSL配置的步骤以及原理说明1. 说在前⾯1.单向认证,就是传输的数据加密过了,但是不会校验客户端的来源2.双向认证,如果客户端浏览器没有导⼊客户端证书,是访问不了web系统的,找不到地址,想要⽤系统的⼈没有证书就访问不了系统HTTPS概念2. HTTPS概念1)简介HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为⽬标的HTTP通道,简单讲是HTTP的安全版。
即HTTP下加⼊SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。
这个系统的最初研发由⽹景公司进⾏,提供了⾝份验证与加密通讯⽅法,现在它被⼴泛⽤于万维⽹上安全敏感的通讯,例如交易⽀付⽅⾯。
2)HTTPS和HTTP的区别 a. https协议需要到ca申请证书,⼀般免费证书很少,需要交费。
b. http是超⽂本传输协议,信息是明⽂传输;https 则是具有安全性的ssl加密传输协议。
c. http和https使⽤的是完全不同的连接⽅式,⽤的默认端⼝也不⼀样,前者是80,后者是443。
d. http的连接很简单,是⽆状态的;HTTPS协议是由SSL+HTTP协议构建的可进⾏加密传输、⾝份认证的⽹络协议,⽐http协议安全。
3)HTTPS的作⽤它的主要作⽤可以分为两种:⼀种是建⽴⼀个信息安全通道,来保证数据传输的安全;另⼀种就是确认⽹站的真实性。
a.⼀般意义上的https,就是服务器有⼀个证书。
主要⽬的是保证服务器就是他声称的服务器,这个跟第⼀点⼀样;服务端和客户端之间的所有通讯,都是加密的。
b. 具体讲,是客户端产⽣⼀个对称的密钥,通过服务器的证书来交换密钥,即⼀般意义上的握⼿过程。
c. 接下来所有的信息往来就都是加密的。
第三⽅即使截获,也没有任何意义,因为他没有密钥,当然篡改也就没有什么意义了。
d.少许对客户端有要求的情况下,会要求客户端也必须有⼀个证书。
IIS中配置SSl
实验7-2
IIS中配置SSL
简介: IIS是常用来做Web服务的,SSL加密方式是 一种工业标准非常成熟的方法。众多的电子 商务与电子支付站点都广泛使用了这种技术。 以Windows Server 2003为例,介绍如何在IIS 6 服务器中应用SSL安全加密机制功能
选择CA的类型,选择独立 根CA 输入CA名称,有效期。 单击“下一步”,生成密钥。 配置证书数据库的存放位置, 采用默认值就以了。
申请IIS网站证书
完成了证书服务的安装后,开始申请IIS网站证书, 打开IE浏览器,在地址栏里输入:http://localhost/CertSrv/default.asp。 显示如下,单击“申请一个证书”链接
2 配置IIS网站证书
完成证书请求文件的生成后,开始申请IIS网站证书。这个过程需 要证书服务的支持。Windows 2003 系统默认状态没安装此服务, 需要手动添加。 安装证书服务 依次打开“控制面板” -“添加/删除程序” -“Windows组件向导”, 选择“证书服务”。 系统会提示安装 “证书服务”不能再 更改计算 机名或域成员身份, 我们单击是。
接着单击“颁发的证书”目录。双击打开刚刚颁发成功的证书,在 “证书”对话框中切换到“详细信息”标签页。单击“复制到文 件”,弹出证书导出对话框,一直单击“下一步”,在“要导出 的文件”栏中指定文件名和路径。
导入IIS网站证书
在IIS管理器的“目录安全性”标签页中,单击“服务器证书”按 钮,弹出“挂起的证书请求”对话框,选择“处理挂起的请求并 安装证书”选项,单击“下一步”后,指定好刚才导出的IIS网站 证书文件的位置 **.ps://192.168.0.1 就会出现安全警报,单击“是” 就可以进行访问了,不过现在的访问信息通过了SSL加密的。
IIS下搭建HTTPS服务器
在IIS中使用SSL配置HTTPS网站SSL(加密套接字协议层)位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。
SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。
使用SSL安全机制时,首先客户端与服务器建立连接,服务器把它的数字证书与公共密钥一并发送给客户端,客户端随机生成会话密钥,用从服务器得到的公共密钥对会话密钥进行加密,并把会话密钥在网络上传递给服务器,而会话密钥只有在服务器端用私人密钥才能解密,这样,客户端和服务器端就建立了一个惟一的安全通道。
建立了SSL安全机制后,只有SSL允许的客户才能与SSL允许的Web站点进行通信,并且在使用URL资源定位器时,输入https:// ,而不是http://。
下面我们以WIN2000服务器版本的来做例子,介绍一下怎样利用SSL加密HTTP通道来加强IIS安全的。
操作办法我们首先需要在控制面板里的填加删除WINDOWS组件中去安装证书服务,这个服务在默认安装中是没有安装在系统里的,需要安装光盘来安装。
然后选择独立根CA的安装类型。
然后在下一步中给自己的CA起一个名字来完成安装就可以了。
安装完成后,我们就可以启动我们的IIS管理器来申请一个数字证书了,启动INTERNET管理器选择我们需要配置的WEB站点选择站点属性里的,目录安全性-安全通信-服务器证书由于我们是第一次配置,所以选择创建一个新的证书。
用默认的站点名称和加密位长设置就可以了。
选择一个地方把我们刚才生成的一个请求证书保存起来。
完成上面的设置后,我们就要把我们刚刚生成的服务器证书提交给我们刚刚在本地安装的证书服务器。
在默认情况下证书服务器完成安装后会在本地的IIS 里的WEB服务器里面生成几个虚拟的目录。
打开http://localhost/CertSrv/default.asp选择申请证书在选择申请类型的时候,选择高级申请。
关于IIS的SSL服务配置
关于IIS的SSL服务配置随着Windows Server 2003操作系统的推出,Windows平台的安全性和易用性大大增强,然而,在默认情况下,IIS使用HTTP协议以明文形式传输数据,没有采取任何加密措施,用户的重要数据很容易被窃取,如何才能保护局域网中的这些重要数据呢?下面笔者就介绍一下如何使用SSL增强IIS服务器的通信安全。
一、什么是SSLSSL(Security Socket Layer)全称是加密套接字协议层,它位于HTTP协议层和TCP协议层之间,用于建立用户与服务器之间的加密通信,确保所传递信息的安全性,同时SSL安全机制是依靠数字证书来实现的。
SSL基于公用密钥和私人密钥,用户使用公用密钥来加密数据,但解密数据必须使用相应的私人密钥。
使用SSL安全机制的通信过程如下:用户与IIS服务器建立连接后,服务器会把数字证书与公用密钥发送给用户,用户端生成会话密钥,并用公共密钥对会话密钥进行加密,然后传递给服务器,服务器端用私人密钥进行解密,这样,用户端和服务器端就建立了一条安全通道,只有SSL允许的用户才能与IIS服务器进行通信。
提示:SSL网站不同于一般的Web站点,它使用的是“HTTPS”协议,而不是普通的“HTTP”协议。
因此它的URL(统一资源定位器)格式为“https://网站域名”。
二、安装证书服务要想使用SSL安全机制功能,首先必须为Windows Server 2003系统安装证书服务。
进入“控制面板”,运行“添加或删除程序”,接着进入“Windows组件向导”对话框,勾选“证书服务”选项,点击“下一步”按钮,接着选择CA类型。
这里选择“独立根CA”,点击“下一步”按钮,为自己的CA服务器取个名字,设置证书的有效期限,最后指定证书数据库和证书数据库日志的位置,就可完成证书服务的安装。
三、配置SSL网站1.创建请求证书文件完成了证书服务的安装后,就可以为要使用SSL安全机制的网站创建请求证书文件。
如何在IIS中成功配置HTTPS服务
如何在IIS中成功配置HTTPS服务在IIS中部署HTTPS服务非常简单,所需要的就是在Web服务器上具有服务器身份验证证书,并将证书绑定在Web站点。
如果Web服务器属于活动目录并且活动目录中具有在线的企业证书颁发机构,则可以在配置过程中在线申请并自动安装Web服务器证书,否则你需要离线申请Web服务器证书。
申请Web服务器证书的步骤如下:在Web服务器上运行管理工具下的Internet信息服务管理控制台,在左面板展开Web站点节点,然后右击需要部署HTTPS服务的网站,在此我右击默认网站,选择属性;在默认网站属性对话框,点击目录安全性标签,然后点击服务器证书按钮;在欢迎使用Web服务器证书向导页,点击下一步;在服务器证书页,选择新建证书,点击下一步;如果已经具有其他的服务器身份验证证书,则可以选择分配现有证书来将现有证书分配给此Web站点;接下来的操作步骤我根据证书申请方式的不同,分别进行介绍:在线申请证书在延迟或立即请求页,选择立即将证书请求发送到联机证书颁发机构,然后点击下一步;在名字和安全性设置页,在名称栏为新证书输入一个容易分辨的名字,然后点击下一步;在单位信息页,在单位和部门栏中分别输入相关信息,然后点击下一步;在站点公用名称页,输入Web站点的FQDN,这个名称将被用户用于访问这个站点,如果你输入的FQDN和用户访问所输入的FQDN不一致,那么在通过HTTPS连接此Web站点时会发生错误,在此我输入Web站点的FQDN ,然后点击下一步;在地理信息页,输入你的相关信息,然后点击下一步;在SSL端口页,输入你需要让客户用于访问此Web站点的HTTPS服务端口,建议你总是使用默认的443,点击下一步;在选择证书颁发机构页,如果你具有多个联机的证书颁发机构,在此可以选择向哪个发起证书申请。
在此我接受默认的选择,然后点击下一步;在证书请求提交页回顾你的设置,然后点击下一步;最后,在完成Web服务器证书向导页,点击完成。
SSL加密服务器证书在IIS中的应用
SSL加密服务器证书在IIS中的应用配置应用实验实验目的:实验内容:试验方法:实验步骤:步骤如下:1、登录Windows Server2003,在“控制面板”中安装IIS6.0,如图:2、安装并配置证书颁发机构,也是在“控制面板”中添加“证书服务”功能组件,如图:下一步:选择“独立根CA”,下一步:填写“此CA的公用名称”,下一步:设置证书数据库的几个文件夹,记住该文件夹所在的位置,下一步:在安装证书服务的时候我们首先要停止IIS,我们选“是”,直至安装完成。
3、创建证书请求Web服务器需要为证书创建一个请求,在这个过程中Web服务器也将为自己创建一个密钥对,而公钥将是证书的一部分。
下面是证书请求的一个过程:打开IIS管理器,如图:右击“默认站点”,选择“属性”,选择“目录安全性”选择“服务器证书”,这里我们新建一个证书,下一步:下一步:设置新证书的名称“chunlin_cer”,位长为默认的1024,下一步:填写单位的相关信息,以便与其他单位的证书分开,下一步:使用默认公用名称即可,下一步,填写地理信息,下一步,这里是将我们上面证书请求的内容保存为一个文本文件,以作后用,下一步,直至完成。
4、提交证书请求将Web服务器证书请求提交到证书服务器。
步骤如下:打开IE浏览器,登录到证书请求服务器中,http://localhost/certsrv,如图:进入证书服务页面,如图:我们选择“申请一个证书”,然后再选择“高级证书申请”如图:我们选择其中的第二项,我们进入“提交一个证书申请或续订申请”页面,如图:我们将前面生成的文本文件c:\certreq.txt文件内容复制到保存申请的文本框中,提交,如图:至此证书提交过程完成。
5、颁发证书通常在颁发证书之前有个证书服务器的所有者履行验证过程进入办法机构页面,如图选中上图右边窗口中的挂起申请条目,选择任务中的颁发,如图:这时我们已经将申请确认并颁发成功,选中“颁发的证书”,我们会在右边窗口中看到已经颁发完成的证书记录,如图:6、下载证书在IE浏览器中输入http://localhost/certsrv,如图:选择“查看挂起的证书申请状态”,通过查看证书申请后是不是已经被核实后颁发,如图:选择“Base 64编码”,点击下载证书,我们将下载已经颁发的证书,如图:保存命名为“certnew.cer”的证书到桌面,如图:7、配置WEB站点安装SSL证书下面我们来配置默认Web站点安装SSL证书。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
info@ 使用OpenSSL来制作证书,在IIS中配置HTTPS(SSL)笔记
下载Win32编译的openssl版本0.9.8e.
1.获取IIS证书请求:打开IIS,右键单击【默认网站】,在【目录安全性】选项卡中点击【服务器证书】按钮,【下一步】,【新建证书】,【现在准备证书请求--下一步】,输入【名称】,输入【单位】和【部门】,输入【公用名称】,选择【国家】并输入【省】和【市县】并【下一步】,【下一步】,【下一步】,【完成】,IIS的证书请求已经获取,就是C:\certreq.txt。
这里请牢记输入的信息。
2.准备openssl工作环境:把openssl(编译后的版本)解压到D:\OpenSSL-0.9.8e\下,
在bin目录下建立目录demoCA,在demoCA下建立private和newcerts目录,
并新建index.txt,内容为空
如果没有serial文件,则到openssl网站上下载openssl的源文件,解压后,到apps\demoCA下,拷贝serial文件过来,两个目录两个文件都放到新建的 demoCA下。
3.生成自签名根证书:
openssl req -x509 -newkey rsa:1024 -keyout ca.key -out ca.cer -days 3650 -config D:\OpenSSL-0.9.8e\f
PEM pass phrase: password // 根证书私钥密码
Verifying - Enter PEM pass phrase: password
Country Name: CN // 两个字母的国家代号
State or Province Name: HB // 省份名称
Locality Name: WUHAN // 城市名称
Organization Name: Skyworth TTG // 公司名称
Organizational Unit Name: Service // 部门名称
Common Name: // 你的姓名(要是生成服务器端的证书一定要输入域名或者ip地址)
Email Address: admin@ // Email地址
info@ 提醒:这时候,已经有ca.key:ca的私钥文件,ca.cer:ca的自签名根证书,certreq.txt:IIS的证书请求文件,三个文件。
现在将certreq.txt拷贝到bin目录下。
4.用CA证书ca.cer为IIS请求certreq.txt签发证书:server.pem:
openssl ca -in certreq.txt -out server.pem -cert ca.cer -keyfile ca.key -config D:\OpenSSL-0.9.8e\f -days 3650
Enter pass phrase for ca.key: password // 校验根证书私钥密码
Sign the certificate? [y/n]: y // 用CA根证书对服务器证书签字认证
1 out of 1 certificate requests certified, commit? [y/n] y // 提交证书
5.把server.pem转换成x509格式(可以不用转换):
openssl x509 -in server.pem -out server.cer
6.将生成的根证书ca.cert导入本地计算机,服务器端证书server.cer导入到IIS:
双击ca.cer文件,打开证书信息窗口,单击【安装证书】按钮,【下一步】,选择【将所有的证书放入下列存储区】,点击【浏览】按钮,选择【受信任的根证书颁发机构】,勾选“物理存储区”,然后存储在“受信任的根证书目录”下面的“本地计算机”子目录下,并点击【确定】,【下一步】,【完成】,【是】,根证书安装完毕!
切记: 要勾选“物理存储区”,然后存储在“受信任的根证书目录”下面的“本地计算机”子目录下
打开IIS,在【默认网站】上单击右键【属性】,在【目录安全性】选项卡中点击【服务器证书】按钮,【下一步】,选择【处理挂起的请求并安装证书】并【下一步】,正常情况下,您已经看到了文本框中就是D:\server.cer,如果不是,自己点【浏览】按钮去找并【下一步】,【下一步】,【完成】。
回到【目录安全性】选项卡在【安全通信】栏目中单击【编辑】按钮,勾上【要求安全通道(SSL)】,勾上【要求128位加密】,选择【要求客户端证书】,点击【确定】按钮。
7.制作客户端证书:
(1)生成客户端证书:
openssl req -newkey rsa:1024 -keyout clikey.pem -out clireq.pem -days 3650 -config D:\OpenSSL-0.9.8e\f
info@ 证书信息自己填写,有些内容要与根证书一致。
Enter PEM pass phrase: password // 客户端证书私钥密码
Verifying - Enter PEM pass phrase: password
Country Name: CN // 两个字母的国家代号
State or Province Name: HB // 省份名称
Locality Name: WUHAN // 城市名称
Organization Name: Skyworth TTG // 公司名称
Organizational Unit Name: Service // 部门名称
Common Name: client01 // 你的姓名(如:client01)
Email Address: client01@ // Email地址
a challenge password []: // 填不填随便,我不填
an optional company name []: // 填不填随便,我不填
(2)CA签发客户端证书:
openssl ca -in clireq.pem -out client.cer -cert ca.cer -keyfile ca.key -config D:\OpenSSL-0.9.8e\f
Enter pass phrase for ca.key: password // 校验根证书私钥密码
sign the certificate? [y/n] y // 用CA根证书对客户端证书签字认证
1 out 1 certificate requests certified,commit? [y/n] y // 提交证书
(3)将客户端证书转换为pk12格式:
openssl pkcs12 -export -clcerts -in client.cer -inkey clikey.pem -out client01.p12
Enter pass phrase for clikey.pem: password // 客户端证书私钥密码
Enter Export Password: // IE导入时的密码(可以不需要)
Verifying - Enter Export Password:
info@ 重复上述步骤,可以生成多个客户端证书
8.客户端安装信任的根证书和客户端证书:
打开internet explorer(IE),工具-internet选项-内容-证书,点选'个人'
再点击导入,把客户端证书client01.p12导入到个人组里(*****切记:别忘了扩展名是p12)。
这里还要输入刚才建立的输出密码password才能倒入呢。
接着,点选'受信任的根证书颁发机构',点击导入,把CA根证书ca.cer导入到受信任的根证书颁发机构里。
复制ca.cer文件到客户端,打开证书信息窗口,单击【安装证书】按钮,【下一步】,选择【将所有的证书放入下列存储区】,点击【浏览】按钮,选择【受信任的根证书颁发机构】,勾选“物理存储区”,然后存储在“受信任的根证书目录”下面的“本地计算机”子目录下,并点击【确定】,【下一步】,【完成】,【是】,根证书安装完毕!
切记: 要勾选“物理存储区”,然后存储在“受信任的根证书目录”下面的“本地计算机”子目录下
11.安装客户端证书:把bin目录下的client.p12复制到D:\并双击client.p12文件,【下一步】,【下一步】,输入客户端证书的密码并【下一步】,【下一步】,【完成】,【确定】。
到此,客户端的证书也已经安完毕。