windows 2003 環(huán)境中 搭建 https 申請(qǐng)ca 證書下面看操作！這些服務(wù)都必須的安裝！下面我們來看下iis 和dns 都配置下！切記這個(gè)默認(rèn)網(wǎng)站一定不可以刪下面我們來建個(gè) web頁面！i

windows 2003 環(huán)境中 搭建 https 申請(qǐng)ca 證書

下面看操作！

這些服務(wù)都必須的安裝！

下面我們來看下iis 和dns 都配置下！

切記這個(gè)默認(rèn)網(wǎng)站一定不可以刪

下面我們來建個(gè) web頁面！

ip訪問沒有問題下面我們來配置dns 跟申請(qǐng)證書！

正向解析這里需要添加主機(jī)記錄 為自己的dns 地址

申請(qǐng)證書！這里的公用名稱一定要為自己的域名！

最后證書下載出來后將證書導(dǎo)入 ok 下面我們來用 https進(jìn)行訪問

在默認(rèn)情況下，IIS 使用HTTP 協(xié)議以明文形式傳輸數(shù)據(jù)，沒有采取任何加密措施，用戶的重要數(shù)據(jù)很容易被竊取，如何才能保護(hù)局域網(wǎng)中的這些重要數(shù)據(jù)呢? 我們可以使用SSL 增強(qiáng)IIS 服務(wù)器的通信安全。

SSL 網(wǎng)站不同于一般的Web 站點(diǎn)，它使用的是“HTTPS ”協(xié)議，而不是普通的“HTTP ”協(xié)議。因此它的URL （統(tǒng)一資源定位器）格式為“https://www.etsec.com.cn”。

一、安裝證書條件

要想使用SSL 安全機(jī)制功能，首先必須為Windows Server 2003或者 windows 2008 server系統(tǒng)安裝證書服務(wù)。

1、首先請(qǐng)確認(rèn)您的服務(wù)器已經(jīng)安裝配置了Active Directory服務(wù)，這樣您就可以給域中的用戶頒發(fā)數(shù)字證書。當(dāng)然AD 服務(wù)不是安裝CA 服務(wù)的必要條件，如果僅僅做測試使用，您可以不安裝AD 服務(wù)；

2、確保在您的Windows2003 server/.NET中開啟IIS 服務(wù)，并且支持ASP ，這樣您的CA 服務(wù)可以通過WEB 在INTERNET/INTRANET發(fā)布； 當(dāng)然 一般實(shí)際情況是WEB 服務(wù)器和CA 服務(wù)器分別是獨(dú)立的服務(wù)器。

二、安裝證書服務(wù)

要想使用SSL 安全機(jī)制功能，首先必須為Windows Server 2003系統(tǒng)安裝證書服務(wù)。

進(jìn)入“控制面板”，運(yùn)行“添加或刪除程序”，接著進(jìn)入“Windows 組件向?qū)А睂?duì)話框，勾選“證書服務(wù)”選項(xiàng)

點(diǎn)擊“下一步”按鈕，接著選擇CA 類型。這里選擇“獨(dú)立根CA”

點(diǎn)擊“下一步”按鈕，為自己的CA 服務(wù)器取個(gè)名字，設(shè)置證書的有效期限，

最后指定證書數(shù)據(jù)庫和證書數(shù)據(jù)庫日志的位置，就可完成證書服務(wù)的安裝。

三、配置SSL 網(wǎng)站

1. 創(chuàng)建請(qǐng)求證書文件

完成了證書服務(wù)的安裝后，就可以為要使用SSL 安全機(jī)制的網(wǎng)站創(chuàng)建請(qǐng)求證書文件。點(diǎn)擊“控制面板→管理工具”，運(yùn)行“Internet 信息服務(wù)-IIS 管理器”，在管理器窗口中展開“網(wǎng)站”目錄，右鍵點(diǎn)擊要使用SSL 的網(wǎng)站，選擇“屬性”選項(xiàng)，在網(wǎng)站屬性對(duì)話框中切換到“目錄安全性”標(biāo)簽頁（圖1），然后點(diǎn)擊“服務(wù)器證書”按鈕。

在“IIS 證書向?qū)А睂?duì)話框中選擇“新建證書”

點(diǎn)擊“下一步”按鈕，選擇“現(xiàn)在準(zhǔn)備證書請(qǐng)求，但稍后發(fā)送”。在“名稱”輸入框中為該證書取名，然后在“位長”下拉列表中選擇密鑰的位長。接著設(shè)置證書的單位、部門、站點(diǎn)公用名稱和地理信息，最后指定請(qǐng)求證書文件的保存位置。這樣就完成了請(qǐng)求證書文件的創(chuàng)建。

2. 申請(qǐng)服務(wù)器證書

完成上述設(shè)置后，還要把創(chuàng)建的請(qǐng)求證書文件提交給證書服務(wù)器。在服務(wù)器端的IE 瀏覽器地址欄中輸入“/CertSrv/default.asp”。在“Microsoft 證書服務(wù)”歡迎窗口中點(diǎn)擊“申請(qǐng)一個(gè)證書”鏈接， http://www.etsec.com.cn/CertSrv/default.asp

接下來在證書申請(qǐng)類型中點(diǎn)擊“高級(jí)證書申請(qǐng)”鏈接，

然后在高級(jí)證書申請(qǐng)窗口中點(diǎn)擊“使用BASE64編碼的CMC 或PKCS#10....”鏈接，

再打開剛剛生成的“certreq.txt”(默認(rèn)c:/cetreq.txt)文件(IIS服務(wù)器加密注冊(cè)時(shí)候產(chǎn)生的密鑰) ，

將其中的內(nèi)容復(fù)制到“保存的申請(qǐng)”輸入框后點(diǎn)擊“提交

”

3. 頒發(fā)服務(wù)器證書 (這部分操作是在實(shí)際中由ca 證書服務(wù)商處實(shí)現(xiàn)的, 我們的ca 服務(wù)器其實(shí)并不是合法的, 在這里僅僅是為了實(shí)驗(yàn)?zāi)康闹蓄C發(fā)證書而建立的)

點(diǎn)擊“控制面板→管理工具”，運(yùn)行“證書頒發(fā)機(jī)構(gòu)”。在主窗口中展開樹狀目錄，點(diǎn)擊“掛起的申請(qǐng)”項(xiàng)（圖2），找到剛才申請(qǐng)的證書，然后右鍵點(diǎn)擊該項(xiàng)，選擇“所有任務(wù)→頒發(fā)”。

頒發(fā)成功后，點(diǎn)擊樹狀目錄中的“頒發(fā)的證書”項(xiàng)，雙擊剛才頒發(fā)的證書，在彈出的“證書”對(duì)話框的“詳細(xì)信息”標(biāo)簽頁中，點(diǎn)擊“復(fù)制到文件”按鈕，彈出證書導(dǎo)出向?qū)?，連續(xù)點(diǎn)擊“下一步”按鈕，并在“要導(dǎo)出的文件”對(duì)話框中指定文件名，最后點(diǎn)擊“完成”。

4. 安裝服務(wù)器證書

重新進(jìn)入IIS 管理器的“目錄安全性”標(biāo)簽頁，點(diǎn)擊“服務(wù)器證書”按鈕，彈出“掛起的證書請(qǐng)求”對(duì)話框，選擇“處理掛起的請(qǐng)求并安裝證書”選項(xiàng)，

點(diǎn)擊“下一步”按鈕，指定剛才導(dǎo)出的服務(wù)器證書文件的位置，接著設(shè)置SSL 端口，使用默認(rèn)的“443”即可，最后點(diǎn)擊“完成”按鈕。

查看證書不再是灰色的證明已經(jīng)完成了倒入證書的操作

配置IIS 服務(wù)器

完成了證書的導(dǎo)入后，IIS 網(wǎng)站這時(shí)還沒有啟用SSL 安全加密功能，需要對(duì)IIS 服務(wù)器進(jìn)行配置。

選擇需要加密訪問的站點(diǎn)目錄（如果希望全站加密，可以選擇整個(gè)站點(diǎn)），右鍵單擊打開屬性頁，在“目錄安全性”標(biāo)簽頁，點(diǎn)擊安全通信欄的“編輯”按鈕，選中“要求安全通道(SSL)”和“要求128位加密”選項(xiàng)，最后點(diǎn)擊“確定”按鈕即可。如果需要用戶證書認(rèn)證等高級(jí)功能，也可以選擇要示客戶證書選擇，還可以把特定證書映射為windows 用戶帳戶。

設(shè)置目錄的加密屬性

關(guān)于SSL 安全加密機(jī)制

SSL(Security Socket Layer)的中文全稱是“加密套接字協(xié)議層”，是由Netscape 公司推出的一種安全通信協(xié)議，它位于HTTP 協(xié)議層和TCP 協(xié)議層之間，能夠?qū)π庞每ê蛡€(gè)人信息提供較強(qiáng)的保護(hù)。SSL 在客戶和服務(wù)器之間建立一條加密通道，確保所傳輸?shù)臄?shù)據(jù)不被非法竊取，SSL 安全加密機(jī)制功能是依靠使用數(shù)字證書來實(shí)現(xiàn)的。

應(yīng)用了SSL 加密機(jī)制后，IIS 服務(wù)器的數(shù)據(jù)通信過程如下:首先客戶端與IIS 服務(wù)器建立通信連接，接著IIS 把數(shù)字證書與公用密鑰發(fā)給客戶端。然后使用這個(gè)公共密鑰對(duì)客戶端的會(huì)話密鑰進(jìn)行加密后，傳遞給IIS 服務(wù)器，服務(wù)器端接收后用私人密鑰進(jìn)行解密，這時(shí)就在客戶端和 IIS服務(wù)器間創(chuàng)建了一條安全數(shù)據(jù)通道，只有被IIS 服務(wù)器允許的客戶才能與它進(jìn)行通信。