Windows2003工組環境通過CA證書對加密WEB服務器

 

一、實驗需求：

在Windows2003工作組環境配置一臺WEB服務器啓用證書加密，客戶端必須用https方法防問。

二、網絡實驗環境：

CA服務器一臺：IP地址爲：192.168.100.1  DNS：192.168.100.2

WEB服務器一臺，同時也是DNS服務器，IP地址：192.168.10.2  DNS：192.168.100.2

客戶端電腦一臺，IP地址:192.168.100.3   DNS:192.168.100.2

 

三、詳細安裝步驟

1.    在CA服務器安裝CA服務，安裝之前在CA服務器先安裝IIS服務

 

IIS安裝好後再安裝CA證書服務:

選擇“獨立根CA”，因爲是組工作環境，如果是域環境則可以選擇“企業要CA”

輸入“CA”名稱，可以自定義

 

2.    在WEB服務器上安裝IIS服務及DNS服務，配置一個網站和DNS服務器

  

 

1、在WEB服務器上申請一個WEB服務器證書

 

 

 

 

在IE瀏覽器輸入：http://ca.abc.com/certsrv

 

點擊“高級證書申請“

 

 

 

 

 

 

選擇“創建並向些CA提交一個申請”

輸入證書相關信息，國家地區必須輸入：“CN”，

證書類型選擇：“服務器身證驗證證書“

選上“將證書保存在本地計算機……”

選擇“是”

服務器證書申請成功

 

 

 

 

 

 

3.    到CA服務器去頒發證書

打開“證頒發機構”兩種方法：

A、可以依次點擊 開始/程序/管理工具/證頒發機構

B、也可以在命令窗口內輸入certsrv.msc,確定後直接打開CA

 

對掛起的申請的證書按右鍵-->所有任務-->頒發

 

4.    頒發成功後，再回到WEB服務器安裝證書

打開:http://ca.abc.com/certsrv，選擇“查看掛起的證書申請的狀態”

選擇“安裝些證書”

 

 

 

 

 

 

 

 

 

 

證書安裝成功

5. 在WEB服務啓用SSL端口，啓用證書加密

在SSL端口輸入：443

選擇“目錄安全性”--->“服務器證書”

選擇“分配現在證書”再下一步

 

 

 

 

 

 

選擇申請好的證書

 

WEB服務器啓用證書加密碼成功

 

 

 

6.    強制WEB服務器必須使用https訪問

選擇“編輯”

   選擇“要求安全通道SSL”和“要求128位加密”

 

7.    客戶端測試http方法訪問WEB服務器是被禁用的

8.    https訪問測試

 

 

通過抓包軟件發現數據包是被加密的

 

再到WEB服務器開啓http訪問，驗證http方法訪問數據包是明文的

客戶端用http訪問WEB服務器

 

9.    解決WEB服務器證書的受信任到證書頒發機構問題