WEB服务器SSL双向认证安装使用指南

SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-1-WEB服务器SSL双向认证证书安装使用指南上海数字证书认证中心有限公司2003/04/08SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-2-文档说明：本文档是WEB服务器SSL双向认证安装使用指南，详细描述了WEB服务器证书的申请、安装、备份、恢复以及SSL双向认证的配置。版本信息：当前版本1.1技术支持部版本更新记录：1.1闻剑峰增加SSL根证书的安装修改相关的操做步骤1.0闻剑峰本使用指南创建版权信息：SHECA是上海市电子商务安全证书管理中心有限公司的注册商标和缩写。UCA是上海市电子商务安全证书管理中心有限公司研究开发的通用证书系统的商标和缩写。本文的版权属于上海市电子商务安全证书管理中心有限公司，未经许可，任何个人和团体不得转载、粘贴或发布本文，也不得部分的转载、粘贴或发布本文，更不得更改本文的部分词汇进行转贴。未经许可不得拷贝，影印。Copyright@2000上海数字证书认证中心有限公司SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-3-文档发行说明当您阅读完本文档，您应该能解决如下问题：1、WEB服务器证书的请求文件CSR的产生；2、WEB服务器证书的在线申请；3、WEB服务器证书的安装；4、WEB服务器SSL安全配置；5、WEB服务器证书的导出（备份）和导入（恢复）；6、SSL双向认证的配置；7、使您的系统信任SHECA根证书；8、将证书从证书管理器导入IE浏览器证书容器本文档不能使您达到如下目的：1、SHECA其他证书的具体申请方法请咨询SHECA客户服务部2、证书管理器的具体使用方法请咨询SHECA客户服务部3、证书编码的说明请咨询SHECA技术支持部4、SHECACSP的相关说明请咨询SHECA技术支持部5、IIS的相关技术细节请咨询微软客户服务中心6、IE浏览器的相关技术细节请咨询微软客户服务中心文档书写环境说明：为了测试基于微软架构下强大的SSL双向认证，本文档采用了最新的微软服务器操作系统：Windows2003EnterpriseServer；另外，为了使整个操作环境保持兼容性、一致性，本文档从服务器端到客户端都采用英文操作系统。当然这并不等于说我们SHECA的证书不能在中文操作环境中使用，相反，经过实践证明，我们SHECA的证书在中文平台上表现的格外出色。以下是本文档的具体试验环境：WEB服务器：Windows2003EnterpriseServerEnglishEdition+IIS6.0客户端：WindowsXPProfessionalEnglishVersion+ServicePack1SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-4-一、WEB服务器证书申请请求文件（CSR）产生1、产生证书请求（CSR）文件开始程序管理工具InternetInformationServices管理SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-5-2、鼠标右键单击默认WEB站点，并在弹出菜单中选择属性SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-6-3、在默认WEB站点属性窗口选择目录安全性SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-7-4、在安全通讯栏目中用鼠标点击服务器证书，出现WEB服务器证书向导5、鼠标单击下一步，选择创建一个新证书，开始证书请求向导SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-8-6、选择产生请求文件，不直接发送7、以下根据提示按照您的WEB服务器的实际信息输入注意：选择1024位密钥长度SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-9-注意：通用名一定是您WEB服务器的域名（FQDN），如果在这一步你输入不正确，那会对您以后正确使用WEB服务器证书有影响，我会在本文档的第八章节做进一步阐述。SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-10-注意：请确认证书请求文件（CSR）保存位置SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-11-注意：确认刚才您输入的信息的正确性注意：完成证书申请请求，请求文件为certreq.txt，具体格式类似如下形式：SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-12-SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-13-二、WEB服务器证书在线申请1、拿WEB服务器证书申请请求文件certreq.txt到SHECA网站开始进行证书申请第一步：登陆，点击申请数字证书我是证书用户在线证书申请WEBServer证书申请SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-14-2、在方框里输入从SHECA证书受理点获取的密码信封序列号和信封密码。3、鼠标点击现在登录，出现UniTrustWebServer证书申请页面SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-15-4、阅读完注意事项之后点击马上申请，进入下一个页面SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-16-5、把服务器生成的CSR请求文件certreq.txt中的-----BEGINNEWCERTIFICATEREQUEST-----到-----ENDNEWCERTIFICATEREQUEST-----之间的内容贴在网页的大方框里面，确认无误后，单击发送申请6、提示WEB服务器请求发送成功，单击OK确认SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-17-7、开始下载证书，这里您可以下载DER或者是PEM编码的证书，根据您的需要做选择。如果是IISWEB服务器，请选择下载PEM编码证书SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-18-7-1选择下载DER编码证书进入证书下载页面，此时页面上出现您的WEB服务器证书相关信息，请用鼠标单击保存证书SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-19-7-2选择下载PEM编码证书屏幕上出现UCA根证书，第一级子CA证书以及您所申请的WEB服务器证书，请将每一段PEM编码分别保存到一个空文件中，文件名可以叫uca.pem，subca.pem，mywebcert.pemSHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-20-8、证书保存成功，WEB服务器证书在线申请完成如果选择下载PEM编码，则不会出现这个页面SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-21-三、WEB服务器证书的安装1、进入InternetInformationServices管理开始程序管理工具InternetInformationServices管理SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-22-2、鼠标右键单击默认WEB站点，并在弹出菜单中选择属性SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-23-3、在默认WEB站点属性窗口选择目录安全性SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-24-4、在安全通讯栏目中用鼠标点击服务器证书，出现WEB服务器证书向导5、鼠标单击下一步，开始进行WEB服务器正书安装向导，然后按照提示操作SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-25-注意：这个文件是你从SHECA网站申请成功下载的证书比如说PEM编码的证书，就是在本文档的第19页描述的mywebcert.pem文件端口默认的是443，您也可以根据实际情况更改SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-26-注意：以上是您的WEB服务器证书的具体信息注意：完成WEB服务器证书的安装SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-27-注意：此时，您可以通过单击安全通讯栏中的查看证书查看证书的详细信息SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-28-6、重启IIS服务，SSL服务已经启动了，现在您可以通过浏览器以HTTPS方式访问您的WEB站点了。SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-29-7、双击浏览器右下脚锁标志，您可以查看WEB服务器证书的相关信息SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-30-四、WEB服务器SSL安全配置1、进入InternetInformationServices管理开始程序管理工具InternetInformationServices管理SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-31-2、鼠标右键单击默认WEB站点，并在弹出菜单中选择属性SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-32-3、在默认WEB站点属性窗口选择目录安全性SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-33-4、在安全通讯栏目中用鼠标点击编辑，出现安全通讯界面注意：如果您在需要安全通道（SSL）前打上勾，则以后客户端浏览器仅可以通过HTTPS访问您的WEB服务器；如果您在需要128位加密前打上勾，则以后客户端浏览器只有具备128位加密强度之后才可以访问您的WEB服务器；有关浏览器的加密强度请咨询相关软件开发商；客户端证书选项分三种：i.忽略客户端证书：客户端访问WEB服务器的时候不需要提供客户端自己证书ii.接收客户端证书：客户端访问WEB服务器的时候弹出客户端验证窗口，允许客户端选择自己的证书，进行身份验证，然后访问WEB服务器，这时，如果客户端没有自己的证书，访问仍旧可以照常进行iii.需要客户端证书：这里仅当客户端拥有自己的证书，并通过验证之后，访问才可以进行下去允许客户端证书映射，这项功能是将您的WEB服务器上的资源和WINDOWS帐号下的用户通过证书捆绑，有关详细操作，请参考《活动目录中的证书使用》。允许证书信任列表：打开这项功能之后，只有由列表中您添加的信任的根证书签发的客户端证书，才可以授权访问您的WEB服务器。具体操作如下：SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-34-鼠标单击新建下一步从容器中添加，是指从您的IE浏览器证书库中添加相应的根证书；从文件添加，是指可以直接选定根证书文件添加。有关如何将我们SHECA的根证书添加到您的IE浏览器，请看本文档的附录。这里，我们选择从容器添加SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-35-在列表中选择您想信任的根证书比如用户通过选择UCA和SHECA把SHECA的根证书添加到您的信任列表中来，单击下一步SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-36-您可以给信任列表取一个名字，便于以后灵活配置您的访问控制单击下一步完成证书信任列表设置SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-37-5、如果您已经根据自己的实际需要完成了安全通讯的设置，请单击确定按钮SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-38-6、重启您的IIS服务器，通过客户端浏览器访问您的WEB服务器，假如在先前的设置中需要您设置了需要客户端证书的话，这时候会弹出客户端认证窗口选择您相应的个人证书确认密钥交换，请单击OK按钮。SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-39-好了，基本的WEB服务器安全配置（SSL）已经完成了。SHECA数字证书--网络因此更真实上海数字证书认证中心有限公司-40-五、WEB服务器证书的导出（备份）1、进入InternetInformationServices管理开始程序管理工具Inter