数字证书配置实验

数字证书配置实验一、目的通过上机练习，掌握独立CA的安装、数字证书的申请颁发和安装、SSL配置二、实验环境1个WindowsServer2003虚拟机。三、实验任务搭建独立CA，为网站和客户端颁发数字证书以实现SSL安全通信。四、实验步骤1、安装独立CA分两步：先安装IIS，然后安装证书服务。（1）管理您的服务器-》添加/删除服务器角色-》应用程序服务器，依次点击下一步直至完成。新建网站nwtraders，要输入网站的主机头值，如图：设置首页：右击网站nwtraders-》属性-》文档-》添加首页名称index.html并将其上移至顶部。（2）开始-》控制面板-》添加或删除程序-》添加/删除Windows组件-》证书服务，弹出警告，点击“是”，如图：点击下一步-》选择“独立根CA”，如图：下一步-》输入CA的公用名称：MYCA（不分大小写），如图：默认有效期为5年，2015-11-17截止，该CA所颁发的证书截止时间不会超过这个时间。下一步，选择证书库的存放位置，如图：下一步，弹出警告，要求停止IIS，点击“是”，开始安装。安装过程会弹出警告框，要求启用ASP，点击“是”，如图：安装完成后，IIS的默认网站就会添加证书服务的相关内容，如图：2、配置DNS和网站的主机头值为了方便访问，为默认网站（CA）和要保护的网站配置DNS区域和名称，默认网站的区域名称为myca.com，要保护网站的区域名称为nwtraders.msft，分别添加主机记录（A），主机名，ip为服务器的ip。默认网站-》属性-》网站-》高级，编辑主机头值，如图：设置tcp/ip属性，将首选DNS服务器ip设为本服务器的ip。3、申请服务器证书（1）生成证书申请文件右击网站nwtraders-》属性-》目录安全性-》服务器证书-》弹出向导，点击下一步-》选择“新建证书”，如图：下一步，选择“现在准备证书请求，但稍后发送”，如图：下一步，输入证书名称和密钥长度，如图：下一步，输入单位信息，如图：下一步，输入网站的公用名称，，注意阅读向导提示，如图：下一步，输入国家和地区信息，如图：下一步，选择申请文件的存放路径，如图：下一步确认，点击下一步完成。点击确定，关闭网站属性对话框。（2）将申请文件提交给CA打开IE浏览器-》Internet选项-》安全-》自定义级别，调为“中”，如图：登录，弹出阻止对话框，点击“添加”，再点击“添加”，将网站加入信任列表，在页面中选择“申请一个证书”，如图：-》选择“高级证书申请”，如图：-》-》把刚才生成的申请文件打开，全选-》复制，然后粘贴到如下图所示的地方-》点击提交-》CA提示证书挂起，如图：此时申请已经提交给CA了，接下来就等CA审核、颁发证书了。4、颁发服务器证书开始-》管理工具-》证书颁发机构-》展开服务器-》点击“挂起的申请”-》右击右边侧栏的申请-》所有任务-》颁发。5、安装服务器证书登录，如图：点击“查看挂起的证书申请的状态”-》点击“保存的申请证书”-》点击“下载证书”。回到IIS，右击网站nwtraders-》属性-》目录安全性-》服务器证书-》下一步-》处理挂起的请求并按照证书-》选中下载的证书-》设置SSL端口号443（最好不要修改）-》确认-》完成，点击“确定”关闭网站属性对话框。此时，要访问网站nwtraders，就不能使用了，得使用。6、设置SSL为了验证客户端身份，保护客户端和服务器之间的通信，可以调整设置，使得客户端在访问网站时必须提供自己的证书。右击网站nwtraders-》属性-》目录安全性-》在“安全通信”一栏里点击“编辑”勾选“要求安全通道（SSL）”，选择要求客户端证书-》确定-》确定。此时，访问会被拒绝，因为客户端不能提供证书。7、申请客户端浏览器证书登录，弹出阻止对话框，点击“添加”，再点击“添加”，将网站加入信任列表，在页面中选择“申请一个证书”，如图：-》选择Web浏览器证书-》输入识别信息-》弹出警告框，点击“是”-》CA提示证书挂起。8、颁发客户端浏览器证书开始-》管理工具-》证书颁发机构-》展开服务器-》点击“挂起的申请”-》右击右边侧栏的申请-》所有任务-》颁发。9、安装浏览器证书登录，如图：点击“查看挂起的证书申请的状态”-》-》-》弹出警告框，点击“是”-》提示证书已经安装。此时再去访问就不会被拒绝了。设置自动从http跳转到https如果在IIS中为网站启用了SSL，则用户直接输入网站的DNS名称或者在名称前加上http://的形式去访问时会显示403.4错误，不会自动转向https://。解决的办法有很多，可以修改403.4的错误页面C:\WINDOWS\Help\iisHelp\common\403-4.htm，在这个页面里添加跳转代码，如下所示：!DOCTYPEHTMLPUBLIC-//W3C//DTDHTML4.01//EN该页必须通过安全通道查看/TITLEMETAHTTP-EQUIV=Content-TypeContent=text/html;charset=GB2312/HEADBODYscripttype=text/javascriptvarurl=window.location.href;url=url.replace(http:,https:);window.location.replace(url);/script/BODY/HTML