在工作组环境下配置CA并应用到Web服务器和客户端

最新推荐文章于 2021-11-09 18:33:55 发布
最新推荐文章于 2021-11-09 18:33:55 发布
阅读量2.5k 收藏 2
点赞数
分类专栏: PKI原理与技术 文章标签: ca web服务器 PKI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wp1603710463/article/details/50364665
版权

                                  在工作组环境下配置CA并应用到Web服务器和客户端

1.目的

    1、实践在Windows Server环境下配置简单的IIS,以对外提供Web页面;

    2、实践在Windows Server环境下配置CA服务器并对Web服务器应用发放证书;

    3、实践CA服务器向用户(浏览器)发放证书。

2.步骤

     2.1 安装IIS和CA服务(因为安装CA时要向默认网站里新建相应的虚拟目录,用来申请证书时使用,所以需要先安装IIS)。

      开始-设置-控制面板-添加/删除程序-添加/删除Windows组件。

    
     选择“应用程序服务器”,单击“下一步”,根据提示安装应用程序服务器。选择“证书服务”,单击“下一步”。

   
   选择“独立根CA”,单击“下一步”。

   注意:域环境下CA的类型有4种,在工作组环境下只有独立根可以建立。


   

    输入相应的CA的名称(一般与计算机名相同),单击“下一步”。


   

   保持默认的路径,单击“下一步”。


    

    现在已开始安装(安装过程中注意要启动ASP服务)。


     

     CA已成功的完成。

  2.2 配置Web服务器

     开始-程序-管理工具-Internet信息管理。


     

     右击“网站”,选择“新建网站”。


     

     输入相应的Web站点的描述,单击“下一步”。

    

     

     输入相应的站点的IP地址和端口号(80),单击“下一步”。

   

    

    输入相应的主目录的路径,单击“下一步”。

   

    

   设置相应权限,单击“下一步”。


   

   单击“完成”。

   进入C:\web,创建文件index.htm并添加内容,如下:

    <html><body>Hello,IIS and CA!</body></html>

  2.3 查看站点是否可以成功的访问

   在客户机或服务器启动IE浏览器,输入http://192.168.1.11/index.htm

      可以成功的访问,说明IIS配置成功。

  2.4 给Web服务器创建证书请求

  
  因为CA被写入了默认网站的虚拟目录里,所以我们申请证书时要注意,将Web先暂停一下,启用默认网站的配置。

  但是在此之前,需要先为Web服务器上填写一个证书申请表。

  右击Web,选择“属性”。

  

  选择“目录安全属性”,单击“服务器证书”。

  

  

  单击“下一步”。


  

  选择“新建证书”,单击“下一步”。

 


  单击“下一步”。



   单击“下一步”。



  输入相应的单位和部门,单击“下一步”。

  单击“下一步”。



  输入相应的配置,单击“下一步”。



   选择证书申请表的目录,单击“下一步”。


  单击“完成”,这时证书申请表已成功的填写完成了。

 2.5 给Web服务器申请证书

   启动IE,在地址栏输入http://192.168.1.11/certsrv

   

   单击“申请一个证书”。

  

   

   单击“高级证书申请”。

  

   

    选择第二项。


   

   将刚才填写的证书申请表(C:\certreq.txt)内容复制到相应的位置,单击提交。


  

 

  查看证书颁发状态。

  访问http://192.168.1.11/certsrv/

  点击查看挂起的证书申请状态。


  


  可以看到当前的证书申请依然被挂起。

 2.6 为Web服务器颁发证书

   开始-所有程序-管理工具-证书颁发机构,查看“挂起的申请”。


   
   在申请上点击右键-所有任务-颁发,则完成证书颁发。
   访问http://192.168.1.11/certsrv/,查看挂起的证书申请状态,点击两次进入如下页面。

 

 点击下载证书,将证书保存在相应的位置。


 单击“保存”。


  选择“证书的保存位置”,单击“保存”。


   证明已经成功的下载了证书。

2.7 Web服务器应用相应的证书

   右击Web,选择“属性”。

  

  选择安全性选项卡,单击“服务器证书”。


  单击“下一步”。


  选择证书的正确位置,单击“下一步”。


  配置相应的端口号,单击“下一步”。


  单击“下一步”。


  单击“完成”。

  启动IE,输入http://192.168.1.11/index.htm

  发现依然可以访问,这是因为还没有采用SSL服务。

  进入Web的属性窗口的目录安全性选项卡。


 单击“编辑”。


  选择“要求安全通道”,客户端证书选择忽略客户端证书,单击“确定”。

  到此服务器端的证书应用已经成功的完成了。

2.8 在客户端验证

    启动IE,输入http://192.168.1.11/index.htm
   

   不能成功。键入https://192.168.1.11/index.htm

   

  单击“是”。

  则可以成功的访问。因为客户采用的是忽略客户端证书,所以客户端在访问Web服务器的时候不提示下载证书。


 2.9 改变客户端的证书模式

 

  选择“要求客户端证书“,单击“确定”。

  在客户端验证。

  启动IE,输入https://192.168.1.11/index.htm

 

  提示没有证书。

 2.10 客户端下载证书

  首先启动服务器默认网站。

  启动IE,输入https://192.168.1.11/certsrv.

  单击“申请一个证书”。

   单击“Web浏览器证书”,完成信息填写,单击提交,显示证书挂起。

   CA服务器端颁发证书。

   下载安装证书。

   此时再验证,启动IE,输入https://192.168.1.11/index.htm.

 

   此时已经有了一个证书,单击“确定”,可以访问,证明已经成功的采用证书。

3.小感悟

  1.客户端无法访问服务器Web页面,通过从服务器端下载数字证书,问题得到解决。

   从中我了解了为什么我使用浏览器登陆一些不安全网站时会弹出安全警告,原因就是那些网站的数字证书过期了或根本没有证书。这些网站很有可能是危险网站,访问可能使本机中木马。

   2.客户端未通过解挂证书申请,就登陆Web页面,导致无法访问。通过解挂申请后成功访问。





火雨_Nick
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CA证书认证流程
weixin_57431906的博客
04-18 7050
设备 对于设备的需求:需要三台设备:这里选用三台虚拟机 CA:安装DNS,CA服务 (windows servers 2012) IP:192.168.10.10 gateway:192.168.10.1 DNS:192.168.10.10 WEB:安装IIS服务(windows serves 2012) IP:192.168.10.20 gateway:192.168.10.1 DNS:192.168.10.10 Client:作为客户端访问 IP:192.168.10.30 gat
利用CA证书配置安全Web站点
06-27 1261
安全套接字层(SSL)是一套提供身份验证、保密性和数据完整性的加密技术,属于传输层的协议。应用SSL最广泛的是HTTPS(给予SSL的HTTP)协议,用来在Web浏览器和Web服务器之间建立安全通信通道。 实验要求:客户端在网页上用HTTP方式访问Web发布的网站。 准备工作:准备4台虚拟机,一台作为Web服务器,一台做CA证书服务器,一台搭建DNS服务器,最后一台作为客户端验证,...
Windows下OpenSSL创建CA证书以及客户端服务器端证书
iihero@CSDN
12-28 1万+
由于实验需要,需要手动制作CA证书以及客户端服务器端证书,总结如下:最近两天,查阅了一些关于创建证书的资料,发现网上很多介绍并不是很完整,不具有完全的可操作性。创建证书,我目前知道的大概这么几种:1.keytool   不能创建CA证书2.Sybase ASA自带的createcert.exe   好像不能创建PKCS12型证书3.OpenSSL   功能最强大。所以,这里干脆只介绍OpenSS
CA的搭建与安全web应用
weixin_33860722的博客
05-16 78
实现安全WEB服务必须搭配证书服务才能实现,证书是实现安全通信的基础,同时也适用于安全邮件的传输。 我们简述一下证书服务: Public Key Infrastructure,公钥基础结构 PKI由公钥加密技术、数字证书、证书颁发机构(CA),注册机构(RA)等共同组成 l 数字证书用于用户的身份验证 l CA是一个可信任的实体,负责发布、更新和吊销证书 ...
实验五 CA的安装和使用
君莫hacker的博客
11-09 6034
利用Windows server提供的“证书服务”组件为用户颁发证书。 通过用户申请数字证书及服务器端签发证书,加深对PKI理论(重点是CA功能)的理解。 利用Windows server提供的“证书服务”组件,建立“独立根CA”或“企业根CA”并为用户颁发浏览器数字证书 等待。 完成后立即重启。 注:可能由于win2008版本的问题,这里会出现让更改密码 查看计算机属性 服务器管理器—角色—添加角色 添加AD证书服务 选择Web页注册,添加所需角色
http://localhost/certsrv 错误找不到页面解决方法
千方BLOG
10-01 1万+
http://localhost/certsrv
证书服务器的设计与实现.pdf
最新发布
06-10
在华东北地区网络中心承担的两 个九五攻关课题---"基于内部网的网络管理系统"和"网络安全监察系统"中都需要使用 公钥机制保护浏览器与 Web 间的交互信息,考虑到安全因素及系统自身的独立性,我们不 能使用外部 CA ...
XML轻松学习手册--XML肯定是未来的发展趋势,不论是网页设计师还是网络程序员,都应该及时学习和了解
12-05
正是这种区别使得XML在网络应用和信息共享上方便,高效,可扩展。所以我们相信,XML做为一种先进的数据处理方法,将使网络跨越到一个新的境界。 六. XML的严格格式 吸取HTML松散格式带来的经验教训,XML一开始就坚持...
超级有影响力霸气的Java面试题大全文档
07-18
当客户机第一次调用一个Stateful Session Bean 时,容器必须立即在服务器中创建一个新的Bean实例,并关联到客户机上,以后此客户机调用Stateful Session Bean 的方法时容器会把调用分派到与此客户机相关联的Bean实例...
企业级Linux服务攻略
01-17
2.1.2 Samba应用环境 2.1.3 Samba工作原理 2.2 安装Samba服务 2.2.1 Samba所需软件 2.2.2 Samba的安装 2.3 Samba常规服务器配置 2.3.1 主要配置文件smb.conf 2.3.2 Samba服务日志文件 2.3.3 Samba服务密码文件 ...
网络安全协议(PPT-146页).pptx
06-09
1 第四章 网络安全协议 SSL协议 SET协议 IPSec协议 2 因特网与TCP/IP安全-1TCP/IP协议栈 TCP/IP是一组通信协议的缩写 ISO/OSI模型及其与TCP/IP的关系 3 因特网与TCP/IP安全-IP协议 IP数据包中含有源地址和目的地址 ...
Windows_Server_2008上使用IIS搭建WEB服务器CA数字证书应用图解(全)
04-30
Windows_Server_2008上使用IIS搭建WEB服务器CA数字证书应用图解(全)
CA服务器的创建和CA客户端认证过程
hanyuboke的专栏
02-16 2512
环境:windows 2003 server ,该服务器版的操作系统对于IIS服务的和CA服务的较简单,网上参考资料也比较多。 搭建好IIS和CA服务是该实验的基础,对于这两种操作我主要是参考网上的资料: http://jingyan.baidu.com/article/cd4c2979ae2248756f6e605f.htmlhttp://wenku.baidu.com/view/85629
独立根CA服务器的建立及web证书的申请
黄啊码
03-12 5064
1.安装CA服务,添加或删除程序---WINDOWS组件向导 选择证书服务 出现该提示请认真查看,如果CA所在的网络为域模式,请慎重考虑此计算机是否需要改名字,或是更改域成员身份,确认后再安装证书服务。 选择独立根CA,只有域模式时才可以选择企业CA,下一步   为CA建立公用的名称,并有效期限       设置证书数据库、日志及共享文
最详细手把手CA证书服务配置Tomcat,从开始到结束!
Apollo
06-07 9708
小编我今早贼开心,困惑了我昨天一下午的问题终于解决了~~所以为了后面的小伙伴也遇到我这种问题不知道下手的朋友,我今天要专门写一个这样的博客,不说有多有效,至少多一种解决的方法也是好的,题外话不多说,立马进入正题!一、什么是CA证书,可以用来做什么,为啥大家都爱用?云盾证书服务(Alibaba Cloud Certificates Service)是阿里云联合多家国内外知名 CA 证书厂商,在阿里云...
搭建CA服务器
coffee
03-25 1458
在Windows server 2003 Enterprise Edition安装CA证书服务,具体步骤如下: 1、首先将Windows server 2003升级为DC 2、安装IIS服务 a、打开系统的“控制面板”点击“添加或删除程序”     b、点击“添加/删除Windows组件”   c、钩选“应用程序服务器”后点击下面“详细信息”
CA数字证书服务的配置、搭建安全的WEB服务器、安全的邮件服务器
weixin_34090643的博客
10-24 658
1.什么是数字证书 数字证书在网络上类似于人在社会上持有的***等证件,用来在网络上证明数字证书持有者的身份。数字证书持有者可能是现实社会中的自然人、法人,也可能是网络设备。数字证书可以简单理解为“网络***”,用来在网络上证明自己的身份。2.数字证书上面主要包括那些信息? 数字证书上面主要包括以下信息:证书版本号、证书持有者信息、证书签发者(...
如何将证书导入到“受信任的根证书颁发机构”存储区中
热门推荐
luyangbin01的专栏
03-24 7万+
win+r 运行mmc; 文件>添加删除管理单元; 在可用的管理单元中选择”证书“,点击添加》确定; 在控制节点中展开证书》受信任的证书颁发机构》证书,右击所有任务》导入.
怎么配置Phosphor WebUI的Web服务器,以便将其公开到网络上
06-06
要将Phosphor WebUI的Web服务器公开到网络上,您需要在OpenBMC中执行以下步骤: 1. 配置网络 首先,您需要确保BMC的网络配置已正确设置。使用IPMI工具(例如ipmitool)连接到BMC,并使用以下命令来检查BMC的IP地址、子网掩码、网关和DNS服务器: ``` ipmitool -I lanplus -H <BMC_IP> -U <username> -P <password> lan print ``` 其中,`<BMC_IP>`是BMC的IP地址,`<username>`和`<password>`是IPMI用户的凭据。如果配置不正确,则使用以下命令来设置BMC的IP地址、子网掩码、网关和DNS服务器: ``` ipmitool -I lanplus -H <BMC_IP> -U <username> -P <password> lan set <parameter> <value> ``` 其中,`<parameter>`是要设置的参数(例如IP地址、子网掩码、网关和DNS服务器),`<value>`是要设置的值。 2. 配置SSL证书 Phosphor WebUI的Web服务器需要使用SSL证书来加密网络通信。您可以使用自签名证书或从可信的证书颁发机构(CA)获取证书。 要使用自签名证书,请按照以下步骤操作: - 生成SSL证书和私钥: ``` openssl req -x509 -newkey rsa:2048 -nodes -keyout server.key -out server.crt -days 365 ``` 这将生成一个有效期为365天的自签名SSL证书和私钥。 - 将证书和私钥复制到Phosphor WebUI的Web服务器配置目录: ``` cp server.crt /usr/share/phosphor-webui-frontend/certs cp server.key /usr/share/phosphor-webui-frontend/certs ``` - 配置Phosphor WebUI的Web服务器,以便使用SSL证书: 在Phosphor WebUI的Web服务器配置目录中创建一个新的配置文件(例如`/etc/nginx/conf.d/phosphor-webui.conf`),并将以下内容添加到文件中: ``` server { listen 443 ssl; server_name <hostname>; ssl_certificate /usr/share/phosphor-webui-frontend/certs/server.crt; ssl_certificate_key /usr/share/phosphor-webui-frontend/certs/server.key; location / { root /usr/share/phosphor-webui-frontend; index index.html; } } ``` 其中,`<hostname>`是Phosphor WebUI的主机名。 3. 防火墙设置 如果您的OpenBMC系统上启用了防火墙,则需要打开所需的端口(例如443)以允许外部访问Phosphor WebUI的Web服务器。您可以使用以下命令打开防火墙端口: ``` firewall-cmd --zone=public --add-port=<port>/tcp --permanent firewall-cmd --reload ``` 其中,`<port>`是要打开的端口号。 4. 测试 完成上述步骤后,您可以在浏览器中输入BMC的IP地址,并使用HTTPS协议(例如`https://<BMC_IP>`)访问Phosphor WebUI的Web服务器。如果一切正常,您应该能够看到Phosphor WebUI的登录页面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值