windows 2003 環(huán)境中 搭建 https 申請(qǐng)ca 證書(shū)下面看操作！這些服務(wù)都必須的安裝！下面我們來(lái)看下iis 和dns 都配置下！切記這個(gè)默認(rèn)網(wǎng)站一定不可以刪下面我們來(lái)建個(gè) web頁(yè)面！i

windows 2003 環(huán)境中 搭建 https 申請(qǐng)ca 證書(shū)

下面看操作！

這些服務(wù)都必須的安裝！

下面我們來(lái)看下iis 和dns 都配置下！

切記這個(gè)默認(rèn)網(wǎng)站一定不可以刪

下面我們來(lái)建個(gè) web頁(yè)面！

ip訪問(wèn)沒(méi)有問(wèn)題下面我們來(lái)配置dns 跟申請(qǐng)證書(shū)！

正向解析這里需要添加主機(jī)記錄 為自己的dns 地址

申請(qǐng)證書(shū)！這里的公用名稱一定要為自己的域名！

最后證書(shū)下載出來(lái)后將證書(shū)導(dǎo)入 ok 下面我們來(lái)用 https進(jìn)行訪問(wèn)

在默認(rèn)情況下，IIS 使用HTTP 協(xié)議以明文形式傳輸數(shù)據(jù)，沒(méi)有采取任何加密措施，用戶的重要數(shù)據(jù)很容易被竊取，如何才能保護(hù)局域網(wǎng)中的這些重要數(shù)據(jù)呢? 我們可以使用SSL 增強(qiáng)IIS 服務(wù)器的通信安全。

SSL 網(wǎng)站不同于一般的Web 站點(diǎn)，它使用的是“HTTPS ”協(xié)議，而不是普通的“HTTP ”協(xié)議。因此它的URL （統(tǒng)一資源定位器）格式為“https://www.etsec.com.cn”。

一、安裝證書(shū)條件

要想使用SSL 安全機(jī)制功能，首先必須為Windows Server 2003或者 windows 2008 server系統(tǒng)安裝證書(shū)服務(wù)。

1、首先請(qǐng)確認(rèn)您的服務(wù)器已經(jīng)安裝配置了Active Directory服務(wù)，這樣您就可以給域中的用戶頒發(fā)數(shù)字證書(shū)。當(dāng)然AD 服務(wù)不是安裝CA 服務(wù)的必要條件，如果僅僅做測(cè)試使用，您可以不安裝AD 服務(wù)；

2、確保在您的Windows2003 server/.NET中開(kāi)啟IIS 服務(wù)，并且支持ASP ，這樣您的CA 服務(wù)可以通過(guò)WEB 在INTERNET/INTRANET發(fā)布； 當(dāng)然 一般實(shí)際情況是WEB 服務(wù)器和CA 服務(wù)器分別是獨(dú)立的服務(wù)器。

二、安裝證書(shū)服務(wù)

要想使用SSL 安全機(jī)制功能，首先必須為Windows Server 2003系統(tǒng)安裝證書(shū)服務(wù)。

進(jìn)入“控制面板”，運(yùn)行“添加或刪除程序”，接著進(jìn)入“Windows 組件向?qū)А睂?duì)話框，勾選“證書(shū)服務(wù)”選項(xiàng)

點(diǎn)擊“下一步”按鈕，接著選擇CA 類型。這里選擇“獨(dú)立根CA”

點(diǎn)擊“下一步”按鈕，為自己的CA 服務(wù)器取個(gè)名字，設(shè)置證書(shū)的有效期限，

最后指定證書(shū)數(shù)據(jù)庫(kù)和證書(shū)數(shù)據(jù)庫(kù)日志的位置，就可完成證書(shū)服務(wù)的安裝。

三、配置SSL 網(wǎng)站

1. 創(chuàng)建請(qǐng)求證書(shū)文件

完成了證書(shū)服務(wù)的安裝后，就可以為要使用SSL 安全機(jī)制的網(wǎng)站創(chuàng)建請(qǐng)求證書(shū)文件。點(diǎn)擊“控制面板→管理工具”，運(yùn)行“Internet 信息服務(wù)-IIS 管理器”，在管理器窗口中展開(kāi)“網(wǎng)站”目錄，右鍵點(diǎn)擊要使用SSL 的網(wǎng)站，選擇“屬性”選項(xiàng)，在網(wǎng)站屬性對(duì)話框中切換到“目錄安全性”標(biāo)簽頁(yè)（圖1），然后點(diǎn)擊“服務(wù)器證書(shū)”按鈕。

在“IIS 證書(shū)向?qū)А睂?duì)話框中選擇“新建證書(shū)”

點(diǎn)擊“下一步”按鈕，選擇“現(xiàn)在準(zhǔn)備證書(shū)請(qǐng)求，但稍后發(fā)送”。在“名稱”輸入框中為該證書(shū)取名，然后在“位長(zhǎng)”下拉列表中選擇密鑰的位長(zhǎng)。接著設(shè)置證書(shū)的單位、部門(mén)、站點(diǎn)公用名稱和地理信息，最后指定請(qǐng)求證書(shū)文件的保存位置。這樣就完成了請(qǐng)求證書(shū)文件的創(chuàng)建。

2. 申請(qǐng)服務(wù)器證書(shū)

完成上述設(shè)置后，還要把創(chuàng)建的請(qǐng)求證書(shū)文件提交給證書(shū)服務(wù)器。在服務(wù)器端的IE 瀏覽器地址欄中輸入“/CertSrv/default.asp”。在“Microsoft 證書(shū)服務(wù)”歡迎窗口中點(diǎn)擊“申請(qǐng)一個(gè)證書(shū)”鏈接， http://www.etsec.com.cn/CertSrv/default.asp

接下來(lái)在證書(shū)申請(qǐng)類型中點(diǎn)擊“高級(jí)證書(shū)申請(qǐng)”鏈接，

然后在高級(jí)證書(shū)申請(qǐng)窗口中點(diǎn)擊“使用BASE64編碼的CMC 或PKCS#10....”鏈接，

再打開(kāi)剛剛生成的“certreq.txt”(默認(rèn)c:/cetreq.txt)文件(IIS服務(wù)器加密注冊(cè)時(shí)候產(chǎn)生的密鑰) ，

將其中的內(nèi)容復(fù)制到“保存的申請(qǐng)”輸入框后點(diǎn)擊“提交

”

3. 頒發(fā)服務(wù)器證書(shū) (這部分操作是在實(shí)際中由ca 證書(shū)服務(wù)商處實(shí)現(xiàn)的, 我們的ca 服務(wù)器其實(shí)并不是合法的, 在這里僅僅是為了實(shí)驗(yàn)?zāi)康闹蓄C發(fā)證書(shū)而建立的)

點(diǎn)擊“控制面板→管理工具”，運(yùn)行“證書(shū)頒發(fā)機(jī)構(gòu)”。在主窗口中展開(kāi)樹(shù)狀目錄，點(diǎn)擊“掛起的申請(qǐng)”項(xiàng)（圖2），找到剛才申請(qǐng)的證書(shū)，然后右鍵點(diǎn)擊該項(xiàng)，選擇“所有任務(wù)→頒發(fā)”。

頒發(fā)成功后，點(diǎn)擊樹(shù)狀目錄中的“頒發(fā)的證書(shū)”項(xiàng)，雙擊剛才頒發(fā)的證書(shū)，在彈出的“證書(shū)”對(duì)話框的“詳細(xì)信息”標(biāo)簽頁(yè)中，點(diǎn)擊“復(fù)制到文件”按鈕，彈出證書(shū)導(dǎo)出向?qū)?，連續(xù)點(diǎn)擊“下一步”按鈕，并在“要導(dǎo)出的文件”對(duì)話框中指定文件名，最后點(diǎn)擊“完成”。

4. 安裝服務(wù)器證書(shū)

重新進(jìn)入IIS 管理器的“目錄安全性”標(biāo)簽頁(yè)，點(diǎn)擊“服務(wù)器證書(shū)”按鈕，彈出“掛起的證書(shū)請(qǐng)求”對(duì)話框，選擇“處理掛起的請(qǐng)求并安裝證書(shū)”選項(xiàng)，

點(diǎn)擊“下一步”按鈕，指定剛才導(dǎo)出的服務(wù)器證書(shū)文件的位置，接著設(shè)置SSL 端口，使用默認(rèn)的“443”即可，最后點(diǎn)擊“完成”按鈕。

查看證書(shū)不再是灰色的證明已經(jīng)完成了倒入證書(shū)的操作

配置IIS 服務(wù)器

完成了證書(shū)的導(dǎo)入后，IIS 網(wǎng)站這時(shí)還沒(méi)有啟用SSL 安全加密功能，需要對(duì)IIS 服務(wù)器進(jìn)行配置。

選擇需要加密訪問(wèn)的站點(diǎn)目錄（如果希望全站加密，可以選擇整個(gè)站點(diǎn)），右鍵單擊打開(kāi)屬性頁(yè)，在“目錄安全性”標(biāo)簽頁(yè)，點(diǎn)擊安全通信欄的“編輯”按鈕，選中“要求安全通道(SSL)”和“要求128位加密”選項(xiàng)，最后點(diǎn)擊“確定”按鈕即可。如果需要用戶證書(shū)認(rèn)證等高級(jí)功能，也可以選擇要示客戶證書(shū)選擇，還可以把特定證書(shū)映射為windows 用戶帳戶。

設(shè)置目錄的加密屬性

關(guān)于SSL 安全加密機(jī)制

SSL(Security Socket Layer)的中文全稱是“加密套接字協(xié)議層”，是由Netscape 公司推出的一種安全通信協(xié)議，它位于HTTP 協(xié)議層和TCP 協(xié)議層之間，能夠?qū)π庞每ê蛡€(gè)人信息提供較強(qiáng)的保護(hù)。SSL 在客戶和服務(wù)器之間建立一條加密通道，確保所傳輸?shù)臄?shù)據(jù)不被非法竊取，SSL 安全加密機(jī)制功能是依靠使用數(shù)字證書(shū)來(lái)實(shí)現(xiàn)的。

應(yīng)用了SSL 加密機(jī)制后，IIS 服務(wù)器的數(shù)據(jù)通信過(guò)程如下:首先客戶端與IIS 服務(wù)器建立通信連接，接著IIS 把數(shù)字證書(shū)與公用密鑰發(fā)給客戶端。然后使用這個(gè)公共密鑰對(duì)客戶端的會(huì)話密鑰進(jìn)行加密后，傳遞給IIS 服務(wù)器，服務(wù)器端接收后用私人密鑰進(jìn)行解密，這時(shí)就在客戶端和 IIS服務(wù)器間創(chuàng)建了一條安全數(shù)據(jù)通道，只有被IIS 服務(wù)器允許的客戶才能與它進(jìn)行通信。