SSL加密服务器证书在IIS中的应用Word格式.docx
《SSL加密服务器证书在IIS中的应用Word格式.docx》由会员分享,可在线阅读,更多相关《SSL加密服务器证书在IIS中的应用Word格式.docx(27页珍藏版)》请在冰点文库上搜索。
下一步:
选择“独立根CA”,下一步:
填写“此CA的公用名称”,下一步:
设置证书数据库的几个文件夹,记住该文件夹所在的位置,下一步:
在安装证书服务的时候我们首先要停止IIS,我们选“是”,直至安装完成。
3、创建证书请求
Web服务器需要为证书创建一个请求,在这个过程中Web服务器也将为自己创建一个密钥对,而公钥将是证书的一部分。
下面是证书请求的一个过程:
打开IIS管理器,如图:
右击“默认站点”,选择“属性”,选择“目录安全性”
选择“服务器证书”,
这里我们新建一个证书,下一步:
设置新证书的名称“chunlin_cer”,位长为默认的1024,下一步:
填写单位的相关信息,以便与其他单位的证书分开,下一步:
使用默认公用名称即可,下一步,
填写地理信息,下一步,
这里是将我们上面证书请求的内容保存为一个文本文件,以作后用,下一步,直至完成。
4、提交证书请求
将Web服务器证书请求提交到证书服务器。
打开IE浏览器,登录到证书请求服务器中,http:
//localhost/certsrv,如图:
进入证书服务页面,如图:
我们选择“申请一个证书”,然后再选择“高级证书申请”如图:
我们选择其中的第二项,我们进入“提交一个证书申请或续订申请”页面,如图:
我们将前面生成的文本文件c:
\certreq.txt文件内容复制到保存申请的文本框中,提交,如图:
至此证书提交过程完成。
5、颁发证书
通常在颁发证书之前有个证书服务器的所有者履行验证过程
进入办法机构页面,如图
选中上图右边窗口中的挂起申请条目,选择任务中的颁发,如图:
这时我们已经将申请确认并颁发成功,选中“颁发的证书”,我们会在右边窗口中看到已经颁发完成的证书记录,如图:
6、下载证书
在IE浏览器中输入http:
选择“查看挂起的证书申请状态”,通过查看证书申请后是不是已经被核实后颁发,如图:
选择“Base64编码”,点击下载证书,我们将下载已经颁发的证书,如图:
保存命名为“certnew.cer”的证书到桌面,如图:
7、配置WEB站点安装SSL证书
下面我们来配置默认Web站点安装SSL证书。
在IIS管理器的默认站点属性的目录安全性页面中,选择“服务器证书”,如图:
选择“处理挂起的请求并安装证书”,如图:
选择证书文件,下一步,
为SSL选择使用的端口443,继续下一步,
显示证书的内容摘要,完成。
8、配置站点使用SSL
在IIS默认站点属性窗口中的“目录安全性”页中,选择“编辑”,如图:
在“安全通信”页中选择“要求安全通道(SSL)”,使该WEB站点在对外服务时将采用SSL加密处理后进行传输。
9、配置客户端IE
我们以windowsXP上IE访问该站点为例,在IE输入Web的URL,如http:
//192.168.22.152,会出现如下页面,如图:
页面显示“该页必须通过安全通道查看”,并提示在访问的地址前键入https:
//,也就是说被访问的WEB网站采用了SSL安全通道,这是我们再次输入https:
//192.168.22.152,
这时的页面能够正确的显示,其中的内容在网络传输过程中通过SSL证书密钥进行了加密,数据将不会再被截获而泄密。
利用证书实现IPSEC
利用证书建立IPSEC安全通讯
在讲解IPSEC策略之前,首先必须了解微软预定义的IPSEC策略
1.Client:
这种方式用一句不恰当的比喻:
中国在任何情况下不首先谋求使用核武器,即发起通讯的计算机在任何情况下不首先谋求IPSEC通讯,如果对方需要IPSEC,则启用IPSEC。
2.
Server:
首先谋求使用IPSEC,如果对方不接受,则转而采用普通的通讯方式。
3.
Secureserver:
在任何情况下都谋求使用“核武器”
见下图:
这三种方式各自有各自得使用范围,比如,在高安全环境中,需要使用安全服务器方式,但在另外的环境中,则需要其他的方式:
比如两台域控制器分列在企业防火墙的两端,需要进行安全的活动目录复制,我们可以考虑采用IPSEC,但每个服务器又需要接受本地的客户机的安全验证审核,本地的计算机之间并没有采用IPSEC,则在两台服务器上可以采用SERVER方式的IPSEC策略。
这样即可实现DC间复制采用IPSEC,而本地的安全通讯采用普通通讯方式。
在windows网络中,建立IPSEC的方法有3种:
1.
利用AD的kerberos协议,自动的建立IPSEC的安全隧道
利用预共享密钥的方式建立IPSEC的安全通信
利用CA颁发的证书来建立安全隧道
这三种方式各自有各自得特征
首先,第一种方式最为简便,只需要在本地策略或通过组策略,即可实现一组计算机采用相同的IPSEC策略安全通讯。
注意,这也是Windows系统默认的IPSEC默认的响应规则。
这种方式设置最为简单,只需要在域内要求安全通讯的计算机上选择此项,则立刻实现安全通讯。
但是其局限性也很大:
只能是同一个AD内(注意不是同一个域内,是整个森林范围内)的计算机才可以采用该项方式。
2.第二种方式采用预共享密钥,这种方式使用灵活,可以在不是同一个AD内的计算机之间实现IPSEC通讯安全,这种灵活的方法甚至可以扩展到非微软的产品上去:
路由器或其他设备之间和微软的产品进行安全通讯。
其缺点是安全性差:
本质上,预共享密钥只能防重放,不能防偷窥,而且其设置的密钥通过IPSEC策略窗口是可见的:
第3种方式就是本次讨论的重点:
采用证书实现IPSEC的安全通讯,这种方式的灵活性不亚与预共享密钥,但安全性却非常让人放心。
首先,要使用证书进行IPSEC,要先申请证书,安装和设置证书服务的操作不在此次讨论的范围,我们先假设在一台Windows2003服务器上已经完成了证书服务的安装,然后用户计算机连接到证书申请网页申请证书:
选择高级申请:
在证书申请页面中,除了将证书的用途设置为IPSEC外,关键的地方有两个:
一个是makekeysasexportable,该项使得我们可以导出证书的私钥,否则将不能导出私钥,我建议首先导出私钥,保存在一个安全的地方,然后再将证书导入,这次设定不允许导出,以保证安全性。
另一个是storecertificateinlocalcomputercertificatestore,证书被保存成计算机证书,如果我们不选择该项,则该证书成为用户证书,不适合IPSEC使用。
在CA审核批复了证书申请后,即可安装该证书:
安装证书后,可以通过MMC证书管理控制台核实证书已经安装在计算机上了,注意不是安装在用户上了。
下一步,如果我们申请证书的CA不是微软预设的国际公认的“流氓老大”,则在IPSEC的设置界面中,将不出现我们申请的CA,所以我们还需要将CA的证书导入到受信任的CA列表当中去,才可以采用该CA申请的证书:
首先,在证书申请WEB页中下载CA的证书文件,然后将其导入受信任的根证书中:
观察导入成功:
然后,再IPSEC的策略设置中,选择该CA作为IPSEC审核的方法,这样,从同一个CA申请证书的计算机之间就建立起了安全可靠的IPSEC通讯。
升级会员 