爲Windows Server 2008 R2 Web 站點啓用HTTPS
由於我們是集團公司,服務器放在JS省,50多家分公司的員工要訪問此服務器時,經過WAN考慮到不安全,故需要使用https協議訪問網站。
拓撲圖如下所示:
準備工作:
通過爲Web站點/OA申請證書,進而使用SSL(Secure Sockets Layer,安全套接字層)通信協議,可以實現Web/OA服務器和瀏覽器之間的身份認證和加密數據傳輸。
驗證網站/OA能否正確訪問,如下圖所示:
由上可知,訪問正常!
一、安裝證書:
下面我們打開 證書頒發機構管理器,如下圖所示:
二、證書服務的應用:
1、證書的申請與頒發
1)生成證書申請:
2)提交證書申請:
打開證書申請文件C:\certificate.txt ,且複製其內容,如下圖所示:
上面證書申請文件是Base-64編碼!
2、頒發證書:
我們打開 證書頒發機構管理器 且 頒發之,如下圖所示:
驗證是否頒發成功,
重點:如下圖所示! 思考:如果 不如此,再打開一個瀏覽器輸入http://192.168.198.132/certsrv,會出現何現象?
將證書保存到本地,如下圖所示:
三、在Web服務器上安裝證書及應用:
配置安全通道(SSL):
綁定需要使用證書的網站/OA,如下圖所示:
修改網站/OA的SSL設置,如下圖所示:
重點:
選 要求SSL ,則網站無論是否綁定https類型,都只能以https方式訪問該網站。
客戶證書:
忽略:無論用戶是否擁有證書,都將被授予訪問權限。客戶端不需要申請和安裝客戶端證書。
接受:用戶可以使用客戶端證書訪問資源,但證書並不是必須的。客戶端不需要申請和安裝客戶端證書。
必須:服務器在將用戶與資源連接之前要驗證客戶端證書。客戶端必須申請和安裝客戶端證書,如: “用戶”證書。
此處,我們選擇 第2項 接受 ,如下圖所示:
四、使用https協議訪問網站,在客戶端 win 7 / XP上,如下圖所示:
例子:下面是新建的網站OA,綁定SSL證書爲OA ,其他信息如下圖所示:
注: 測試完成後,最後把http://192.168.198.132:8000刪除掉,在 網站綁定 界面處!
下面我們測試哈 OA網站 ,在Win XP上,如下圖所示 :
爲何不能訪問呢?Web/OA服務器Win Server 2008 R2的防火牆阻止了,故需開啓8000端口!具體參考本文後面!
五、我們來安裝客戶端證書,如下圖所示:
配置客戶端正常訪問網站:
1)配置客戶端信任頒發證書的CA服務器(我們集團是獨立根CA),如下圖所示:
將 CA證書 下載保存到 桌面 且雙擊CA證書導入到客戶端計算機的“受信任的根證書頒發機構”容器中,以使得客戶端計算機信任我們的獨立證書頒發機構,如下圖所示:
2、在客戶端申請證書,如下圖所示:
3、我們再到服務器上打開 證書頒發機構 管理器,如下圖所示:
4、查查看是否已經頒發成功了,如下圖所示:
5、然後,到客戶端下載安裝證書,如下圖所示: 重點:在下面網頁面操作!
到服務器端 , 打開 證書頒發機構 管理器且頒發之!(略)
六、驗證上面的配置是否正確:
https://192.168.198.132訪問 default Web Site ,如下圖所示:
https://192.168.198.132:8010訪問 OA網站,如下圖所示:
重點:
在Web網站服務器端開啓端口號8010,具體如下面所示:
舊命令:
win + R --- cmd 回車,輸入如下所示:
netsh firewall add portopening tcp 8010 MywebPort
新命令:
win + R --- cmd 回車,輸入如下所示:
netsh advfirewall firewall add rule name="MyWebPort 8010" dir=in action=allow protocol=TCP localport=8010
查看打開的端口號:
win + R --- cmd 回車,輸入如下所示:
netsh firewall show portopening
刪除已啓用的端口號:
舊命令:
win + R --- cmd 回車,輸入如下所示:
delete portopening protocol=tcp port=8010
至此,《爲Windows Server 2008 R2 Web 站點啓用HTTPS》已完畢!謝謝!