点击这里给我发消息 点击这里给我发消息

Web安全:如何在 Web 服务器上设置 SSL

添加时间:2013-12-7
    相关阅读: 软件 技术 模板 网络 程序 Windows 系统
安全套接字层(SSL)是一套提供身份验证、保密性和数据完整性的加密技术。SSL 最常用来在Web浏览器和Web服务器之间建立安全通信通道。它也可以在客户端应用程序和Web服务之间使用。

要求

以下各项介绍了推荐的硬件、软件、网络基础结构、技巧和知识以及您需要的服务包。

•MicrosoftWindows 2000 Server操作系统 (Service Pack 2)

•Microsoft证书服务(如果您需要生成自己的证书,这是必需的)。

一、生成证书申请

此过程创建一个新的证书申请,此申请可发送到证书颁发机构 (CA) 进行处理。如果成功,CA 将给您发回一个包含生效证书的文件。

生成证书申请

1. 启动 IISMicrosoft管理控制台 (MMC) 管理单元。

2. 展开Web服务器名,选择要安装证书的Web站点。

3. 右击该Web站点,然后单击“属性”。

4. 单击“目录安全性”选项卡。

5. 单击“安全通信”中的“服务器证书”按钮,启动Web服务器证书向导。

注意:如果“服务器证书”不可用,可能是因为您选择了虚拟目录、目录或文件。返回第 2 步,选择Web站点。#p#分页标题#e#

5. 单击“下一步”跳过欢迎对话框。

6. 单击“创建一个新证书”,然后单击“下一步”。

7. 该对话框有以下两个选项:

• “现在准备申请,但稍后发送”

该选项总是可用的。

• “立即将申请发送到在线证书颁发机构”

仅当Web服务器可以在配置为颁发Web服务器证书的Windows 2000 域中访问一个或多个Microsoft证书服务器时,该选项才可用。在后面的申请过程中,您有机会从列表中选择将申请发送到的颁发机构。

单击“现在准备申请,但稍后发送”,然后单击“下一步”。

8. 在“名称”字段中键入证书的描述性名称,在“位长”字段中键入密钥的位长,然后单击“下一步”。

向导使用当前Web站点名称作为默认名称。它不在证书中使用,但作为友好名称以帮助管理员。

9. 在“组织”字段中键入组织名称(例如 Contoso),在“组织单位”字段中键入组织单位(例如“销售部”),然后单击“下一步”。

注意:这些信息将放在证书申请中,因此应确保它的正确性。CA 将验证这些信息并将其放在证书中。浏览您的Web站点的用户需要查看这些信息,以便决定他们是否接受证书。
#p#分页标题#e#
10. 在“公用名”字段中,键入您的站点的公用名,然后单击“下一步”。

重要说明:公用名是证书最后的最重要信息之一。它是Web站点的DNS名称(即用户在浏览您的站点时键入的名称)。如果证书名称与站点名称不匹配,当用户浏览到您的站点时,将报告证书问题。

如果您的站点在Web上并且被命名为 www.contoso.com,这就是您应当指定的公用名。

如果您的站点是内部站点,并且用户是通过计算机名称浏览的,请输入计算机的NetBIOS或DNS名称。

11. 在“国家/地区、州/省和城市/县市”字段中输入适当的信息,然后单击“下一步”。

12. 输入证书申请的文件名。

该文件包含类似下面这样的信息。

-----开始新的证书申请-----

MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy…

-----结束新的证书申请-----

这是您的证书申请的Base 64编码表示形式。申请中包含输入到向导中的信息,还包括您的公钥和用您的私钥签名的信息。

将此申请文件发送到 CA。然后CA会使用证书申请中的公钥信息验证用您的私钥签名的信息。CA 也验证申请中提供的信息。

当您将申请提交到CA后,CA将在一个文件中发回证书。然后您应当重新启动Web服务器证书向导。#p#分页标题#e#

13. 单击“下一步”。该向导显示证书申请中包含的信息概要。

14. 单击“下一步”,然后单击“完成”完成申请过程。

证书申请现在可以发送到CA进行验证和处理。当您从CA收到证书响应以后,可以再次使用 IIS 证书向导,在Web服务器上继续安装证书。

二、提交证书申请

此过程使用Microsoft证书服务提交在前面的过程中生成的证书申请。

提交证书申请

1. 使用“记事本”打开在前面的过程中生成的证书文件,将它的整个内容复制到剪贴板。

2. 启动InternetExplorer,导航到 http://hostname/CertSrv,其中hostname是运行Microsoft证书服务的计算机的名称。

3. 单击“申请证书”,然后单击“下一步”。

4. 在“选择申请类型”页中,单击“高级申请”,然后单击“下一步”。

5. 在“高级证书申请”页中,单击“使用 base64 编码的 PKCS#10 文件提交证书申请”,然后单击“下一步”。

6. 在“提交一个保存的申请”页中,单击“Base64 编码的证书申请(PKCS #10 或 #7)”文本框,按住 CTRL+V,粘贴先前复制到剪贴板上的证书申请。
#p#分页标题#e#
7. 在“证书模板”组合框中,单击“Web 服务器”。

8. 单击“提交”。

9. 关闭InternetExplorer。

三、颁发证书

颁发证书

1. 从“管理工具”程序组中启动“证书颁发机构”工具。

2. 展开您的证书颁发机构,然后选择“待定申请”文件夹。

3. 选择刚才提交的证书申请。

4. 在“操作”菜单中,指向“所有任务”,然后单击“颁发”。

5. 确认证书显示在“颁发的证书”文件夹中,然后双击查看它。

6. 在“详细信息”选项卡中,单击“复制到文件”,将证书保存为Base-64编码的X.509证书。 
7. 关闭证书的属性窗口。

8. 关闭“证书颁发机构”工具。

四、在Web服务器上安装证书
#p#分页标题#e#
此过程在Web服务器上安装在前面的过程中颁发的证书。

在Web服务器上安装证书

1. 如果Internet信息服务尚未运行,则启动它。

2. 展开您的服务器名称,选择要安装证书的Web站点。

3. 右击该Web站点,然后单击“属性”。

4. 单击“目录安全性”选项卡。

5. 单击“服务器证书”启动Web服务器证书向导。

6. 单击“处理待定申请和安装证书”,然后单击“下一步”。

7. 输入包含CA响应的文件的路径和文件名,然后单击“下一步”。

8. 检查证书概述,单击“下一步”,然后单击“完成”。

证书现在安装在Web服务器上。

五、将资源配置为要求SSL访问

此过程使用Internet服务管理器,将虚拟目录配置为要求SSL访问。您可以为特定的文件、目录或虚拟目录要求使用SSL。客户端必须使用HTTPS协议访问所有这类资源。

将资源配置为要求SSL访问#p#分页标题#e#

1. 如果Internet信息服务尚未运行,则启动它。

2. 展开您的服务器名称和Web站点。(这必须是具有已安装证书的Web站点)。

3. 右击某个虚拟目录,然后单击“属性”。

4. 单击“目录安全性”选项卡。

5. 单击“安全通信”下的“编辑”。

6. 单击“需要安全通道 (SSL)”。

现在客户端必须使用 HTTPS 浏览到此虚拟目录。

7. 单击“确定”,然后再次单击“确定”关闭“属性”对话框。

8. 关闭Internet信息服务。

设置客户端证书

为了执行授权,Web 服务经常需要能够对它们的调用方(其它应用程序)进行身份验证。客户端证书为Web服务提供了一种非常好的身份验证机制。如果您使用客户端证书,您的应用程序也会得益于客户端应用程序和Web服务之间的安全通道创建(使用安全套接字层 [SSL])。这样您就可以安全地在Web服务之间传送保密信息。SSL 确保消息的完整性和机密性。

要求:以下各项介绍了推荐的硬件、软件、网络基础结构、技巧和知识以及您需要的服务包。

• 带 Service Pack 2 的 Microsoft Windows 2000 Server操作系统#p#分页标题#e#

• 访问证书颁发机构 (CA) 以生成新的证书

• 一个已安装了服务器证书的Web服务器

申请并安装客户端证书

此过程安装客户端证书。您可以使用来自任何证书颁发机构的证书,也可以使用如后面几节所述的Microsoft证书服务来生成自己的证书。

此过程假设Microsoft证书服务是为待定申请配置的,这要求管理员专门颁发证书。它也可以配置为应证书申请自动颁发证书。

检查证书申请状态设置

1. 在Microsoft证书服务计算机上,从“管理工具”程序组中选择“证书颁发机构”。

2. 展开“证书颁发机构(本地)”,右击证书颁发机构并单击“属性”。

3. 单击“策略模块”选项卡,然后单击“配置”。

4. 检查默认操作。

以下过程假设“将证书申请状态设成待定”。选择“管理员必须专门颁发证书”。

申请客户端证书

1. 启动 Internet Explorer 并导航至 http://hostname/certsrv,其中 hostname 是安装 Microsoft 证书服务的计算机的名称。#p#分页标题#e#

2. 单击“申请一个证书”,然后单击“下一步”。

3. 在“选择申请类型”页上,单击“用户证书”,然后单击“下一步”。

4. 单击“提交”完成申请。

5. 关闭 Internet Explorer。

颁发客户端证书

1. 从“管理工具”程序组中启动“证书颁发机构”工具。

2. 展开您的证书颁发机构,然后选择“挂起的申请”文件夹。

3. 选择刚提交的证书申请,指向“操作”菜单上的“所有任务”,然后单击“颁发”。

4. 确认该证书显示在“颁发的证书”文件夹中,然后双击查看它。

5. 在“详细信息”选项卡上,单击“复制到文件”将证书保存为 Base-64 编码的 X.509 证书。

6. 关闭证书的属性窗口。

7. 关闭证书颁发机构工具。

安装客户端证书
#p#分页标题#e#
1. 要查看证书,启动 Windows 资源管理器,导航至在前一过程中保存的 .cer 文件,然后双击它。

2. 单击“安装证书”,然后在“证书导入向导”的首页单击“下一步”。

3. 选择“根据证书类型,自动选择证书存储区”,然后单击“下一步”。

4. 单击“完成”以完成该向导。关闭确认消息框,然后单击“确定”关闭证书。

验证客户端证书操作

此过程验证您是否可以使用客户端证书访问 SecureApp 应用程序。

• 验证客户端证书操作

1. 启动 Internet Explorer 并导航至 https://localhost/secureapp/webform1.aspx。

2. 确认 Web 页成功显示。 
咨询热线:020-85648757 85648755 85648616 0755-27912581 客服:020-85648756 0755-27912581 业务传真:020-32579052
广州市网景网络科技有限公司 Copyright◎2003-2008 Veelink.com. All Rights Reserved.
广州商务地址:广东省广州市黄埔大道中203号(海景园区)海景花园C栋501室
= 深圳商务地址:深圳市宝源路华丰宝源大厦606
研发中心:广东广州市天河软件园海景园区 粤ICP备05103322号 工商注册