SSL(Security Socket Layer,安全套接層)是一種在兩臺主機之間提供安全通道的協議,其目的是通過加密保護傳輸的數據並對通信雙方進行身份驗證,保證兩臺主機之間的通信安全.SSL最早由網景公司開發的,在目前應用中,廣泛採用標準SSLv3.
下面先來部署HTTPS
有關具體的部署可看之前的文章IIS.
這裏是針對部署的411網站,點其屬性.
點服務器證書,開始爲網站申請證書.
下一步
點新建證書.
下一步.
輸入證書名稱.
設置網站的公用名稱
設置網站所在的地理位置信息
指定證書請求的文件名稱
點下一步
證書請求文件創建完成
然後按照之前CA部署的文章進行使用生成證書請求文件向CA提供證書申請,然後在CA上頒發證書.
下面來看獲取和安裝網站證書
獲取的步驟也參看CA部署文章
這個是獲得的網站證書.
然後打開網站屬性對話框"目錄安全性"選項卡,單擊服務器證書.
現在來處理掛起的請求並安裝證書
在此對話框中指定從CA獲得的網站證書的文件名稱.
在此對話框中指定HTTPS的端口,標準端口爲443
顯示了即將安裝的網站證書的基本信息.
點完成
這樣早請的網站證書安裝就完成了.
點查看證書
這裏有關證書的詳細信息
下面來看通過HTTPS訪問網站
登錄WEB客戶端,並從CA獲取CA證書
並點擊安裝
下一步
這裏默認便可以
點完成
然後單擊開始--運行
確定
在證書管理控制檯能夠看到安裝的CA證書.
單擊開始--控制面板--INTERNET選項,打開INTERNET屬性對話框,單擊內容標籤.
單擊證書
也能夠看到安裝的CA證書
下面來配置網站只接受HTTPS訪問
在WEB服務器上點安全通信中的編輯,選中"要求安全通道"並忽略客戶端證書.
然後在客戶端打開瀏覽器訪問WEB服務器.
可以看到要用HTTPS爲通信協議的URL才能成功訪問.
配置HTTPS的加密強度
並勾選要求128位加密
訪問成功
配置HTTPS執行雙向認證
默認情況下,HTTPS單向認證的模式工作,即客戶端通過網站證書來驗證網站的身份,但網站並不驗證客戶端的身份,如果需要通過證書驗證客戶端身份,則可以要求試圖訪問網站的客戶端必須提供證書才能進行訪問,執行雙向認證時,網站將只接受HTTPS訪問
選擇要求客戶端證書
然後要向CA申請WEB瀏覽器證書.
點WEB瀏覽器證書
中間的過程就省略了,之前文章已介紹過
然後點安裝此證書
點是
在HTTPS執行雙向認證的過程中,默認情況下,網站收到客戶端提供的證書後會檢查CRL以驗證該證書是否被吊銷,如果未能聯繫到CA或未能檢查到CRL,因而無法確認客戶端證書的吊銷狀態,則將拒絕該證書,可以配置指定網站在收到客戶端證書後不檢查CRL.
certchechmode的默認值爲0,即網站需檢查CRL,將其值設置爲1,則網站不再檢查CRL.
通過證書對訪問網站的用戶進行身份驗證
通過將客戶端證書映射到WEB服務器上的WINDOWS用戶帳戶,可以建立證書與用戶賬戶關聯,基於這種關係,網站通過驗證證書即可驗證該證書使用者的用戶身份,當用戶使用客戶端證書登錄時,WEB服務器就會自動將用戶與相應的WINDOWS用戶賬戶關聯起來
啓用客戶端證書映射
單擊編輯
點添加
確定
配置HTTPS啓用證書信任列表
點新建
下一步
選擇要添加的CA證書
下一步
輸入名稱
點完成
完成.