作者:网际浪子专栏(曾用名littlehb)  http://blog.csdn.net/littlehb/

一,服务器上装有CA(Certificate Server)
1,服务器上安装CA
Win2000中带有CA的安装程序。单击Start,Control Pannel Add/Remove Programs兵单击Add/Remove Windows Compenents。当Windows Component Wizard出现时,选择证书服务(Certificate Services)。下一步中,安装需要指出服务器授权的类型,一般作为一个独立的Web服务器,选择Stand-alone root CA。然后,需要指定共享文件夹,这作为证书服务的配置数据存储位置,单击Next,安装完毕。
注意:自己建立CA 机构时,所给CA机构起的名是自己定义的,在客户端的IE中,在一开始并不属于客户端信任的根证书颁发机构,如果,客户端没有把该CA机构加为自己所信任的根证书颁发机构,那么在客户端访问该服务器上的网站时,会出现安全警告信息。
2,建立并安装一个站点证书
步骤如下:
A, 打开IIS,选定要安装证书的站点,单击右键,选择弹出菜单中的properties,在弹出的对话框中,单击directory security属性页,单击Server Certificate按钮,出现IIS Certificate Wizard对话框,这一步的操作,所完成的功能是生成一个向CA申请数字证书的密钥文件,文件以.txt的格式存于本机目录下。
B, 通过Certificate Server Enrollment的页面访问注册控件和它的表格:
在安装了Certificate Service的机器上可以从位于 http://localhost/certsrv 的Certificate Server Administration Tools Web页面可以访问该注册控件。选择request a certificate 选项,在下一页面中选择advance request,这里需要注意的是,如果是给网站申请数字证书时必须选择该项,因为赋予网站的数字证书需要使用a步骤中所产生的特定的密钥文件,这样才能生成属于该网站的唯一的数字证书。而一般User certificate request 是针对需要访问该网站的客户设计的,分别有web browser certificate 和E-Mail Protection certificate 两种方式。客户采用web browser certificate方式申请对有SSL保护的网站的访问,而E-Mail Protection certificate是保护客户收发email时的信息传送。接下去页面的Advanced Certificate Requests 中我们选择Submit a certificate request using a base64 encoded PKCS #10 file or a renewal request using a base64 encoded PKCS #7 file。因为这种格式和在a步骤中所产生的密钥文件的加密格式一致。然后,可以通过browse把存在本机上的.txt密钥文件上载至网页上,递出申请。在最后的界面中,会被告知请求已经被接到并正在等待证书授权机构的批准。
C, 微软的Certificate Service可以使用MMC来管理:
服务器提出的要求数字验证的请求传递到CA机构中,打开Start/Program/Administrative tools/Certification Authority后,可以看到pending request文件夹,这个文件夹包含了所有等待root授权机构批准的证书请求。如果CA认证机构觉得该网站的申请可行,则单击右键选择issue,这样,该文件就被移到了issued Certificates,表示申请成功,这个节点包含了所有被证书服务的管理员批准并被发布的证书。反之如果CA机构觉得该申请不可行,则选择Deny,该文件被转移到Failed request,表示申请失败,这个节点包含了所有被拒绝的证书请求。对申请成功并发布的数字证书而言,如果CA机构想取消该证书,可以单击右键选择revoke,则已申请成功的数字证书被移到revoke certificates文件夹内,这个节点包含了所有被发布但是又被撤销的证书。
D, 提交数字验证的网站在等待一定时间后,依然可以通过 http://localhost/certsrv来查看自己所申请的数字验证的进行情况。选择Check On A Pending Certificate选项并单击Next 按钮继续。从选项框中选择候选的请求,单击Next按钮继续。为下载该文件选择Base64 encoding并单击Download CA Certificate链接以开始下载过程。这样就从证书授权机构接到了服务器证书文件。打开IIS,选定已经得到数字验证的网站,单击右键后选择properties,在属性页directory security中,单击Server Certificate 按钮以启动Web服务证书向导,选择Process A Pending Request and Install Certificate选项。选择上一步骤中download下来的数字证书(即.cer文件)的存放路径,开始安装。安装成功后,directory security属性页中的view certificate和edit按钮由disable变为enable。整个网站的数字验证过程完毕。
3,关于certificate的属性设置
点击directory security属性页的edit按钮,可以进行网站数字验证属性的设置。首先,如果选择了require secure channel(SSL)复选框,则http的形式将无法访问该站点,只有采用https的方式进行访问。如果不选择该项的话,则http和https两种方式并存,都可以进行对此网站的访问。如果选择了该项,则又有三种方式可供选择,分别是ignore client certificate,accept client certificate 以及require client certificate。Ignore client certificate表示不接受客户证书(默认):如果客户浏览器安装了客户证书,会返回一个Access Denied消息。Accept client certificate表示接受证书:不管客户是否安装了客户证书对服务器没有区别,访问在两种情况下都是允许的。Ignore client certificate表示需要客户证书:除非客户有一个被root CA(这里是证书服务器)授予的合法证书,否则访问被拒绝。客户要访问网站,必须得先从服务器得到数字验证,也即,客户端必须首先向要访问的网站提出要求数字验证的申请,在得到服务器端发回的用于两者间信息交互的数字证书后,才可以对该网站进行访问,否则,网站将拒绝该客户的访问。
不同的网站可以针对这三个属性进行不同的设置。
4,客户端SSL的配置
在浏览器和Web站点之间开始SSL通信之前,客户端必须能够认出服务器的证书是合法的。要做到这一点,客户端必须和服务器的证书授权机构取得联系,在这种情况下是本地的证书服务器。如果没能实现前面的步骤,直接连到SSL站点,会首先接到安全警告信息。客户浏览器需要在浏览器的Trusted Root Store中安装证书。要安装证书,在安全警告对话框出现时,单击View Certificate按钮,就会出现一个对话框,该对话框中包含了证书的信息。单击Install Certificate 按钮以启动证书导入向导。
对客户而言,SSL的配置就相对比较简单,客户可以选择申请数字证书,也可以不用,只是,如果客户所访问的某个网站设定了require client certificate属性,则客户必须在得到了该网站的数字验证后,才能对此进行访问,换言之,客户想得到访问权,就必须先向网站提出申请。
客户通过访问 http://servername/certsrv来申请数字验证,它的操作过程和网站申请数字验证基本雷同,只是它不是选择Advance request这一项,而是使用User certificate request 下的web browser certificate选项,只要填写客户的一些相应信息后,就能递出申请,而当CA机构认证后,也是从网上直接下载相对应的数字证书至本机。这样,每当访问该网站,当弹出要求客户端数字验证的消息框后,客户选择已经下载过的数字证书,就可以进行对网站的访问了。

注意事项:如果网站的端口号不是默认的80,而是自己定义的话,则相应的也要给SSL Port 设定一个端口号,以示区别,而访问http和https时,所输入的端口号是不一致的。如果网站使用默认的80端口,则SSL也不需要配置特定的端口号,它的默认端口号为443。

二,服务器和装有CA(Certificate Server)的计算机独立
网站申请数字证书的过程和前面部分一样。只是,上一部分的操作因为CA和服务器设在同一台机器上,所以,访问本机的http://localhost/certsrv就可以了,而这一部分,因为CA和服务器的计算机独立,所以,申请的时候也和客户端一样,远程访问http://CAname/certsrv ,其中的具体操作和上一部分一样。只是,在这种情况下,该网站如果设置了require client certificate,则客户就很难访问该网站了,因为客户端无法向该网站发出要求数字验证的申请。一般而言,最好采用accept client certificate。

关于SSL配置的报告相关推荐

  1. oracle celient 作用,WebLogic Server 10.3 SSL配置及SSL协议传输的WebSevice调用.doc

    搜索关键字:weblogic ssl webservice WebLogic Server ?? SSL 配置及 SSL 协议传输的 WebSevice 调用 作 者: 風 絮 ? ?2010-7-2 ...

  2. 计算机网络 实验六 静态路由配置,《计算机网络》实六 静态路由配置 实验报告.doc...

    <计算机网络>实六 静态路由配置 实验报告 实验报告六 班级:07东方信息 姓名: 学号: 实验时间:10年5月17日 机房:9#205 组号: 机号:A 一.实验题目 静态路由配置 二. ...

  3. mac apache 和 nginx ssl 配置自签名的SSL

    2019独角兽企业重金招聘Python工程师标准>>> mac apache ssl 配置 a-生成私钥,命令: sudo openssl genrsa -des3 -out app ...

  4. Sahi (2) —— https/SSL配置(102 Tutorial)

    Sahi (2) -- https/SSL配置(102 Tutorial) jvm版本: 1.8.0_65 sahi版本: Sahi Pro 6.1.0 参考来源: Sahi官网 Sahi Quick ...

  5. 宝塔ssl验证域名失败_宝塔SSL配置教程

    宝塔SSL配置教程 视频录的一般将就看看吧昨天有人问我SSL怎么配置其实很简单申请下证书就行了第一张(我都没发现错别字 是种)申请好证书我就不掩饰怎么申请了 腾讯云 阿里云都有免费的SSL证书打开你们 ...

  6. ASA基本配置实验报告

    网络运维 ASA基本配置 实验报告 姓名: 李军 班级: NTD1710 日期: 2017 年 12 月 29 日 实验任务 验证R1可以telnet到R2和R3,R3可以telnet到R2但不能te ...

  7. 基于ASA防火墙的SSL ×××配置

    基于ASA防火墙的SSL ×××配置 实验拓扑图 实验目的,PC2通过SSL×××能够访问到PC1 SSL×××服务端配置全在ASA上面,下面为配置步骤: 第一步:建立RSA密钥证书,名称为ssl** ...

  8. Nginx设置TCP上游服务器的SSL配置

    Nginx设置TCP上游服务器的SSL配置 本文介绍了如何为NGINX Plus和接受TCP连接的负载均衡的服务器组设置SSL 什么是SSL终端 SSL终端意味着NGINX Plus充当与客户端连接的 ...

  9. NGINX SSL配置之设置HTTPS服务器

    NGINX SSL配置 本节介绍如何在NGINX和NGINX Plus上配置HTTPS服务器. 设置HTTPS服务器 要设置HTTPS服务器,请在您的nginx.conf文件中的块中ssl将该list ...

最新文章

  1. PHP 中 include 和 require 的概要及区别介绍
  2. android自定义tab下划线变大,Android开发之设置TabLayout下方下划线的宽度
  3. 如何在Linux上找到包含特定文本的所有文件?
  4. PAT甲级1138 Postorder Traversal:[C++题解]前序遍历和中序遍历建树
  5. SAP Spartacus 项目里的 ng-package.json
  6. linux与windows间共享文件夹 FileZilla树莓派文件传输
  7. 【linux】ssh 远程执行命令
  8. java输出目录节点_节点如果不存在,如何创建目录?
  9. 文字转语音软件真人发声(声音自然有感情)
  10. linux tar命令将压缩包解压到指定位置,用tar命令把目标压缩包解压到指定位置
  11. 身份证护照扫描仪助力酒店信息录入
  12. 一款抖音搞笑对话聊天记录生成软件
  13. error:control reaches end of non-void function [-Werror=return-type]
  14. 团队成员筛选的核心秘档:三否三拒三不动
  15. WPF路径绘图制作心形
  16. 2020-03-12-脑电分析之线性与非线性变换
  17. php+phpstudy搭建后台提示Warning
  18. 获取解析后的html内容,Android通过WebView获取解析html内容
  19. 干货|人人都是翻译项目的Master
  20. 2020最全微服务:SpringBoot+Cloud+Docker

热门文章

  1. 和12岁小同志搞创客开发:手撕代码,做一款节拍电子鼓
  2. Modus串行链路系统电气特性:2线-Modus、4线-Modus、RS232-Modus和RS485-Modus的特性
  3. Python-OpenCV运动物体检测
  4. keras 的 example 文件 mnist_sklearn_wrapper.py 解析
  5. 照相机模型与增强现实(相机标定)
  6. CUDA软件系统知识
  7. 打印几个关键的java环境变量
  8. 在Mac上使用pip3安装Jupyter Notebook并简单使用
  9. CentOS 6.3 64bit上升级系统默认Python 2.6.6到2.7.10版本
  10. 使用cat,awk和sort命令从nginx访问日志中统计user-agent类型