在Windows2003工作組環境配置一臺WEB服務器啓用證書加密,客戶端必須用https方法防問。
二、網絡實驗環境:
CA服務器一臺:IP地址爲:192.168.100.1 DNS:192.168.100.2
WEB服務器一臺,同時也是DNS服務器,IP地址:192.168.10.2 DNS:192.168.100.2
客戶端電腦一臺,IP地址:192.168.100.3 DNS:192.168.100.2
三、詳細安裝步驟
1. 在CA服務器安裝CA服務,安裝之前在CA服務器先安裝IIS服務
IIS安裝好後再安裝CA證書服務:
選擇“獨立根CA”,因爲是組工作環境,如果是域環境則可以選擇“企業要CA”
輸入“CA”名稱,可以自定義
2. 在WEB服務器上安裝IIS服務及DNS服務,配置一個網站和DNS服務器
1、在WEB服務器上申請一個WEB服務器證書
在IE瀏覽器輸入:http://ca.abc.com/certsrv
點擊“高級證書申請“
選擇“創建並向些CA提交一個申請”
輸入證書相關信息,國家地區必須輸入:“CN”,
證書類型選擇:“服務器身證驗證證書“
選上“將證書保存在本地計算機……”
選擇“是”
服務器證書申請成功
3. 到CA服務器去頒發證書
打開“證頒發機構”兩種方法:
A、可以依次點擊 開始/程序/管理工具/證頒發機構
B、也可以在命令窗口內輸入certsrv.msc,確定後直接打開CA
對掛起的申請的證書按右鍵-->所有任務-->頒發
4. 頒發成功後,再回到WEB服務器安裝證書
打開:http://ca.abc.com/certsrv,選擇“查看掛起的證書申請的狀態”
選擇“安裝些證書”
證書安裝成功
5. 在WEB服務啓用SSL端口,啓用證書加密
在SSL端口輸入:443
選擇“目錄安全性”--->“服務器證書”
選擇“分配現在證書”再下一步
選擇申請好的證書
WEB服務器啓用證書加密碼成功
6. 強制WEB服務器必須使用https訪問
選擇“編輯”
選擇“要求安全通道SSL”和“要求128位加密”
7. 客戶端測試http方法訪問WEB服務器是被禁用的
8. https訪問測試
通過抓包軟件發現數據包是被加密的
再到WEB服務器開啓http訪問,驗證http方法訪問數據包是明文的
客戶端用http訪問WEB服務器
9. 解決WEB服務器證書的受信任到證書頒發機構問題