建立標準CA部署安全的SSL網(wǎng)站

2017-03-27

8907

建立標準CA 部署安全的SSL 網(wǎng)站

2008-09-06 01:42:30

標簽：證書CASSL 證書服務器

概述：

隨著網(wǎng)絡安全的概念日益深入人心，公鑰架構(PKI)在網(wǎng)絡得到越來越廣泛的應用。PKI 使用證書進行身份驗證，數(shù)據(jù)加密和數(shù)據(jù)簽名，是目前信息安全保障的一種重要方法。證書是PKI 的基礎，是實現(xiàn)網(wǎng)絡安全，進行身份驗證以及保證網(wǎng)絡信息安全的一種管理手段，有關PKI 與證書更多更深入的知識請參考相關KB ，或參考后繼文章!

本文不涉及太多理論知識，以一個完整的例子來闡述如何建立標準CA 服務器，并使用標準CA 申請證書并使用證書部署SSL 網(wǎng)站，詳細步驟如下：

一：建立獨立CA 服務器

win2003支持兩種證書服務器，分別是用于企業(yè)內(nèi)部的企業(yè)CA 服務器和用于Internet 上的標準證書服務器，企業(yè)證書服務器需要AD 支持，而標準CA 服務器則可以安裝在任何Win2003服務器上。因為證書服務器需要Web 服務器支持，以提供Web 界面申請頁面證書，所以建立CA 服務器時，需要安裝IIS 服務和ASP 組件。安裝標準證書服務器很簡單，這里只做概括性描述： 1：安裝IIS 服務，以提供WEB 界面的證書申請頁面.

安裝IIS 服務過程略過，但注意一定要選擇"Asp.Net" 組件!

2：安裝證書服務組件，以提供證書的各種管理.

在安裝證書組件時，在"CA 類型" 中，選擇" 獨立根

CA(S)",

在"CA 識別信息" 對話框，輸入這臺證書服務器相關信息，其它信息可以根據(jù)實際情況輸入，也可以選擇默認值!

安裝完成證書服務后，不需要重啟計算機即可使用證書服務。

二：建立IIS 服務器, 發(fā)布網(wǎng)站，使用證書，配置網(wǎng)絡安全。

標準CA 服務器證書可以用于多個類型，如客戶端身份驗證，電子郵件，代碼簽名，IPSec 等，本文只討論第一種類型證書!

具體步驟

1：配置網(wǎng)站安全性，使用證書

1) ：安裝IIS 服務, 過程略

2) ：建立要配置SSL 訪問的網(wǎng)站，例如 CADemoSite,過程略過。

3) ：配置CADemoSite 網(wǎng)站的目錄安全性，使用服務器證書向導向CA 服務器申請證書。

在" 目錄安全性" 選項頁，選擇" 服務器證書" 按鈕,

在IIS 證書向導過程中，在" 站點公用名稱" 界面，請注意站點公用名稱必需與您的客戶端訪問這個站點所使用的名稱一致。

如果此時輸入的是IP 地址，那么客戶端訪問該網(wǎng)站時，就只能使用IP 地址訪問，如果此時輸入的是域名，那么客戶端訪問該網(wǎng)站時，就只能以域名形式訪問。我這里輸入的是域名形式。因為我測試的這臺IIS 服務器本身也是DNS 服務器，已經(jīng)建立了相應的區(qū)域文件, 可以實現(xiàn)域名到IP 地址的解析!