使用ssl加密的IIS客户端证书访问配置

最新推荐文章于 2024-08-12 16:57:43 发布
最新推荐文章于 2024-08-12 16:57:43 发布
阅读量6.2k 收藏 1
点赞数
文章标签: iis ssl 加密 服务器 存储 web

一、          测试环境配置 ... 1

1            win2003 系统 _1 .. 1

1.1.          安装 IIS 以承载 CA 证书服务 ... 1

1.2.          安装证书服务, CA 的公用名称设置为 TestCA .. 1

2            win2003 系统 _2 .. 2

2.1.          安装 IIS .. 2

3            win2003 系统 _3 .. 2

二、          配置过程 ... 3

1            win2003 系统 _2 申请并配置 IIS SSL 的服务端证书 ... 3

1.1.          生成证书申请文件 ... 3

1.2.          提交证书申请 ... 8

1.3.          颁发证书 ... 8

1.4.          上安装证书 ... 9

1.5.          web 站点配置为要求 SSL 访问 ... 11

1.6.          测试 IE 使用 SSL 浏览 ... 11

2            win2003 系统 _3 申请安装客户端证书 ClientCert2003 .. 12

3            win2003 系统 _2 上设置客户证书映射 ... 12

3.1.          Web 服务器上导入客户端证书 ... 12

3.2.          导入客户端证书的根证书 ... 13

3.3.          设置 IIS 中网站的客户端证书映射 ... 16

3.4.          Web 网站读取客户端映射的 windows 账户 ... 18

三、          测试 ... 18

 

本文给出了如何配置 IIS 通过 SSL 安全通道进行访问的方法,并在此基础上详细讨论了 IIS 如何设置要求对客户端提供客户端证书进行身份验证。 IIS SSL 服务器证书申请和安装,从而配置 SSL 安全访问通道。客户端证书的申请和安装, IIS 端如何映射客户端证书到服务器上的 windows 账户等等。

 

一、  测试环境配置

准备三台机器,都是 windows 2003 操作系统,每台机器的作用,和其上需要安装的服务和配置如下:

1、 win2003 系统 _1

ip 192.168.1.11

机器名: win2003base1

服务器作用:这个服务器是用来安装证书服务,作为一个 CA 提供证书服务。

1.1.   安装 IIS 以承载 CA 证书服务

1.2.   安装证书服务, CA 的公用名称设置为 TestCA

在安装证书服务过程中会生成一个证书服务的证书,一个自己颁给自己的证书作为这个 CA 的根证书:

clip_image001

在安装了证书服务后,会把这个 TestCA 证书保存证书存储区的多个位置:

l  本地计算机存储区中的“个人”、“受信任的根证书颁发机构”、“中级证书颁发机构”,其中在“中级证书颁发机构”下的“证书”和“证书吊销列表”中都有(为什么会出现在“证书吊销列表”中?)。

l  当前用户存储区的“个人”。

 

2、 win2003 系统 _2

ip 192.168.1.12

机器名: win2003base2

服务器作用:这个服务器是用来作为 web server ,建立一个网站,设置为 SSL 安全通道访问,并需要客户端证书进行访问。

2.1.   安装 IIS

默认网站作为测试客户端证书访问的 web 站点。

 

3、 win2003 系统 _3

ip 192.168.1.13

机器名: win2003base3

机器作用:这个机器只是作为一个单纯的 IE 客户端,用来申请客户端证书并使用证书访问 web server

 

 

二、  配置过程

1、 win2003 系统 _2 申请并配置 IIS SSL 的服务端证书

1.1.   生成证书申请文件

IIS 要访问的那个网站的属性中,“目录安全性” -- “服务器证书”,选新建证书:

clip_image003

下一步:

clip_image005

下一步:

clip_image007

向导使用当前 Web 站点名称作为默认名称。它不在证书中使用,但作为友好名称以助于管理员识别。下一步:

clip_image009

单位和部门,这些信息将放在证书申请中,因此应确保它的正确性。 CA 将验证这些信息并将其放在证书中。浏览您的 Web 站点的用户需要查看这些信息,以便决定他们是否接受证书。下一步:

clip_image011

公用名是证书最后的最重要信息之一。它是 Web 站点的 DNS 名称(即用户在浏览您的站点时键入的名称)。如果证书名称与站点名称不匹配,当用户浏览到您的站点时,将报告证书问题。

如果您的站点在 Web 上并且被命名为 www.contoso.com ,这就是您应当指定的公用名。

如果您的站点是内部站点,并且用户是通过计算机名称浏览的,请输入计算机的 NetBIOS DNS 名称。

这里因为 win2003 系统 _2 服务器的机器名是 win2003base2 ,所以共用名称设为 win2003base2

下一步:

clip_image013

下一步:

clip_image015

会要求证书申请的文件名,这是您的证书申请的 Base 64 编码表示形式。申请中包含输入到向导中的信息,还包括您的公钥和用您的私钥签名的信息。

将此申请文件发送到 CA 。然后 CA 会使用证书申请中的公钥信息验证用您的私钥签名的信息。 CA 也验证申请中提供的信息。

 

当您将申请提交到 CA 后, CA 将在一个文件中发回证书。然后您应当重新启动 Web 服务器证书向导。

下一步:

clip_image017

 

完成生成申请过程。

1.2.   提交证书申请

证书申请现在可以发送到 CA 进行验证和处理。当您从 CA 收到证书响应以后,可以再次使用 IIS 证书向导,在 Web 服务器上继续安装证书。

 

使用“记事本”打开在前面的过程中生成的证书文件,将它的整个内容复制到剪贴板。

启动 Internet Explorer ,导航到 http://192.168.1.11/certsrv ,指向 win2003 系统 _1 的证书服务。

单击“申请一个证书”,然后单击“下一步”。

在“选择申请类型”页中,单击“高级申请”,然后单击“下一步”。

在“高级证书申请”页中,单击“使用 Base64 编码的 PKCS#10 文件提交证书申请”,然后单击“下一步”。

在“提交一个保存的申请”页中,单击“ Base64 编码的证书申请( PKCS #10 #7 )”文本框,按住 CTRL+V ,粘贴先前复制到剪贴板上的证书申请。

单击“提交”。

1.3.   颁发证书

提交申请后,在 win2003 系统 _1 机器上证书颁发机构中批准颁发这个 win2003base2 证书。

确认该证书显示在“颁发的证书”文件夹中,然后双击查看它。

在“详细信息”选项卡中,单击“复制到文件”,将证书保存为 Base-64 编码的 X.509 证书。

关闭证书的属性窗口。

1.4.   上安装证书

win2003 系统 _2 IIS Web 站点,然后单击“属性”,单击“目录安全性”选项卡。

单击“服务器证书”启动 Web 服务器证书向导。

clip_image019

  单击“处理挂起的申请并安装证书”,然后单击“下一步”。

clip_image021

  输入包含 CA 响应的文件的路径和文件名,然后单击“下一步”。

clip_image023

检查证书概述,单击“下一步”,然后单击“完成”。

现在,已在 Web 服务器上安装了证书。

win2003base2 证书就会被安装到 win2003 系统 _2 机器上,证书会被安装到证书存储区的本地计算机存储区中的“个人”。

1.5.   web 站点配置为要求 SSL 访问

IIS 中查看这个 Web 站点的属性。 单击“目录安全性”选项卡。 单击“安全通信”下的“编辑”。 单击“要求安全通道 (SSL) ”。现在客户端必须使用 HTTPS 浏览到此虚拟目录。

clip_image025

 

1.6.   测试 IE 使用 SSL 浏览

IE 通过 SSL 浏览此网站,如下:

clip_image027

 

 

2、 win2003 系统 _3 申请安装客户端证书 ClientCert2003

win2003 系统 _3 机器上上打开 win2003 系统 _1 机器上证书服务的 URL http://192.168.1.11/certsrv ,提交一个 Web 浏览器证书”,姓名为“ ClientCert2003 ”。

提交申请后,在 win2003 系统 _1 机器上证书颁发机构中批准颁发这个 ClientCert2003 证书。

win2003 系统 _3 机器上“查看挂起的证书申请的状态”,会看到整个证书申请已被批准,并能够被安装。

点击安装证书,同样在安装过程中会提示是否安装 ClientCert2003 证书的根证书 TestCA ,选择安装。

安装好证书后, ClientCert2003 证书就会被安装到 win2003 系统 _3 机器上,证书会被安装到证书存储区的当前用户存储区中的“个人”。

同时, ClientCert2003 证书的根证书 TestCA 也被安装,被安装到了当前用户存储区中的 “受信任的根证书颁发机构”。

3、 win2003 系统 _2 上设置客户证书映射

3.1.   Web 服务器上导入客户端证书

IIS 中要映射客户端的证书到 windows 账户,必须在 IIS 所在的服务器上用这个客户端的 cer 证书。

win2003 系统 _1 机器上证书颁发机构中导出客户端申请后已经颁发的 ClientCert2003 证书,导出为 ClientCert2003.cer

win2003 系统 _2 机器上导入这个证书到当前用户存储区的个人目录下。

clip_image029

 

3.2.   导入客户端证书的根证书

Web 服务端有了客户证书,还需要这个客户端证书的根证书,只有在服务器信任这个客户端证书的根证书时客户端证书才能正常访问 web 服务器。

在证书管理中双击 ClientCert2003 证书查看此证书:

clip_image031

clip_image033

可以看到, ClientCert2003 的根证书 TestCA 在此服务器上不被信任,需要把 TestCA 证书安装到此服务器的受信任的根证书颁发机构存储里。

查看此根证书:

clip_image035

点击“安装证书”按钮,出现证书导入向导,选择“将所有的证书放入下列存储”,然后点击“浏览”按钮选择证书安装的存储区:

clip_image037

选择把证书保存到“受信任的根证书颁发机构” - “本地计算机”。

TestCA 证书导入成功,到证书管理中查看,发现 TestCA 证书其实被安装到两个地方,分别是:

l  证书当前用户存储区的“受信任的根证书颁发机构”

l  证书本地计算机存储区的“受信任的根证书颁发机构”

3.3.   设置 IIS 中网站的客户端证书映射

win2003 系统 _2 机器上 IIS 中,查看 web 网站的属性,导航到“目录安全性”,首先把所有的身份验证方法都清除:

clip_image039

然后在安全通讯区域内,点击“编辑”按钮:

clip_image041

 

设置“要求客户端证书”,并选择“启用客户端证书映射”,最后点击“编辑”添加 ClientCert2003 客户端证书映射到的本服务器上的 windows 账户:

clip_image043

由于是测试,这里把 ClientCert2003 客户端证书映射为 administrator

 

3.4.   Web 网站读取客户端映射的 windows 账户

在测试网站中设计一个 test.aspx 页面,用来读取当前用户身份并显示出来,简单的下面一条语句:

当前证书映射的用户是: <% =System.Threading.Thread.CurrentPrincipal.Identity.Name %>

 

三、  测试

win2003 系统 _3 是测试客户端,已经安装了客户端证书 ClientCert2003 ,在 win2003 系统 _3 IE 中输入 test.aspx URL ,首先弹出选择证书的对话框:

clip_image045

 

其中 ClientCert2003_3 证书是 win2003 系统 _3 在证书服务器上另外又申请了一个 web 浏览器证书,跟 ClientCert2003 是同一个根证书,当浏览器中存在跟服务端相匹配的多个证书时,浏览器会弹出上面的对话框让用户选择使用哪个证书。

如果浏览器中只有一个证书跟服务器能匹配,则浏览器不弹出选择对话框,直接把匹配的证书发送到服务端。如果把 ClientCert2003_3 证书从 win2003 系统 _3 机器上删除,访问 test.aspx 将不会再出现上面的对话框。

如果浏览器中没有证书跟服务器匹配,浏览器就会显示需要提供 SSL 的客户端证书。

 

选择了 ClientCert2003 证书,点击“确定”按钮:

clip_image047

 

服务端允许访问,并且显示了映射到的用户就是 WIN2003BASE2/Administrator

quboeric
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IIS SSL客户端证书(忽略/接受/必须)之一——服务器证书申请
weixin_33885253的博客
04-11 516
Technorati 标记: IIS,CA,证书,SSL,客户端证书,夏明亮 [第一部分 环境介绍] 架构 1台CA(独立根CA) 1台IIS Server 1台客户端计算机 版本 所有的计算机OS均为Windows Server 2008 R2,所以IIS为7.0版本。 [第二部分 测试环境准备] 一 搭建一台CA Server 此部分内容相对简单,如果...
IIS客户端证书访问配置
weixin_33817333的博客
08-18 594
一、         测试环境配置... 1 1、           win2003系统_1.. 1 1.1.         安装IIS以承载CA证书服务... 1 1.2.         安装证书服务,CA的公用名称设置为TestCA.. 1 2、           win2003系统_2.. 2 2.1.         安装IIS.. 2 3、           win...
IIS 添加SSL证书,添加HTTPS协议,浏览器添加证书
KingCruel的专栏
12-01 4788
1、导入证书 开始 -> 运行 -> MMC 启动控制台程序,选择菜单【文件】中的【添加/删除管理单元】-> 从列表中选择【证书】选择【添加】-> 选择【计算机帐户】 -> 下一步 -> 本地计算机 -> 完成 -> 确定 左侧列表选择【个人】 -> 证书 -> 右键【证书】 -> 所有任务 -> 导入 -> 下一步 -> 浏览 -> 选择文件 -> 下一步 -> 输入密码 -> 下一步 -&gt..
windows下基于IIS配置ssl证书
weixin_30598225的博客
06-27 106
这边用的是阿里云的免费证书,下面展示一下操作步骤。 1.首先登陆阿里云,搜索ssl证书进入ssl证书控制台。点击购买 2.然后选择免费版,配置如下: 3.选择立即购买,购买成功后回到ssl控制台即可查看证书。然后选择申请绑定域名 4.点击申请后出现如下界面,选择手动验证: 5.点击下一步,然后需要手动验证即去你的域名所在管理处添加一条解析记录用来验证,验证通过后...
iis 使用服务器证书客户端证书访问客户端证书信息
windowsliusheng的专栏
03-14 6165
1.      服务器证书申请 (1)    选中IIS服务器选择右边创建证书申请。 (2)    在“申请证书”中通用名称可填写“IP” 然后下一步按照默认。 (3)    访问证书服务器Web注册站点“ http://IP地址/certsrv ” 选择“申请证书”—>“高级证书申请” –>“使用base64编码的CMC或PKCS#10文件提交一个证书申请,或使用base64编码的PKC
Apache配置SSL证书实现加密访问
HaiFeng的博客
11-05 1021
首先,确保你的Apache编译了SSL模块,这是支持SSL证书必要的条件(如果没有,请编译,【打开phpstudy】》【其他选项菜单】》【PHP扩展】》【php-openssl】前面勾选上)。 2 在Apache的安装目录下创建cert目录,并且将下载的全部文件拷贝到cert目录中。 3 打开 Apache 安装目录下 conf 目录中的 httpd.conf 文件...
ssl证书配置教程
gztrljh
02-07 1396
1.知识点铺垫 SSL证书可分为几种不同的版本,即单域名SSL证书、多域名SSL证书、通配符SSL证书和多域名通配符SSL证书,其中单域名SSL证书很好理解,即只保护一个域名的SSL证书。那么多域名证书、通配符证书和多域名通配符证书有什么区别呢? 1单域名证书 如果是购买单域名证书,默认包含www和@,所以www这个二级域名,就不用再单独购买证书 2多域名SSL证书 多域名证书可以支持在同一张证书中添加多个需要保护的域名,很多公司不止一个网站,如果要单独为每个网站申请一张SSL证书,不仅不方便管理,还会增加
win2000服务器IIS使用SSL配置HTTPS网站
09-30
描述中提到,SSL加密HTTP通道可以加强IIS的安全,防止数据在传输过程中被窃取。 **知识点详解:** 1. **HTTP与HTTPS的区别** - HTTP(超文本传输协议)是互联网上应用最广泛的一种网络协议,它以明文方式传输数据...
IIS证书配置 SSL
12-01
### IIS证书配置SSL知识点详解 #### 一、IIS与HTTP协议的安全性问题 - **IIS简介**:IIS(Internet Information Services)是微软提供的一个集成在Windows操作系统中的Web服务器解决方案,常用于搭建网站服务器。 ...
Nginx配置SSL证书监听443端口
09-30
ssl_ciphers指令定义了客户端服务器之间可以使用加密算法,ECDHE-RSA-AES128-GCM-SHA256是推荐使用的一种高安全加密算法。ssl_protocols指令定义了支持的SSL协议版本,TLSv1、TLSv1.1和TLSv1.2是当前较为安全的...
IIS6.0SSL证书部署指南
08-14
IIS6.0 SSL证书部署指南是针对在Windows Server 2003操作系统上使用IIS6.0 Web服务器的用户,旨在增强服务器客户端之间的通信安全性的文档。SSL(Secure Socket Layer)证书是实现HTTPS协议的关键,它通过加密技术...
iis证书双向认证配置文档.doc
07-20
IIS证书双向认证配置】涉及的是在Windows Server 2003系统上,使用IIS 6.0进行SSL安全设置的过程。该配置主要包括五个关键步骤:服务器证书请求文件CSR的生成,证书的安装,SSL安全配置证书的导出与导入,以及...
如何做:设置客户端证书
边城浪子的专栏
06-22 3587
为了执行授权,Web 服务经常需要能够对它们的调用方(其它应用程序)进行身份验证。客户端证书Web 服务提供了一种非常好的身份验证机制。如果您使用客户端证书,您的应用程序也会得益于客户端应用程序和 Web 服务之间的安全通道创建(使用安全套接字层 [SSL])。这样您就可以安全地在 Web 服务之间传送保密信息。SSL 确保消息的完整性和机密性。 本“如何做”包括调用配置需要客户端证书的 W
Security:客户端证书
风静如云的博客
07-20 173
使用这种认证的方式,对密码的管理有较多的要求,比如有些公司对密码的复杂度,长度有要求,并且每几个月就要更换密码,而且密码的循环利用周期也有要求。当客户端访问服务器时,将客户端证书发送给服务器服务器通过公钥检验客户端证书的签名,如果通过则认证完成。但这样的复杂度及有效期的要求有时却导致用户将密码记录在不安全的介质上,从而导致泄密。管理员(ca)产生一对公钥及私钥,然后用私钥根据用户信息生成一个签名了的客户端证书。通常服务器认证客户端使用的是用户名和密码的方式。将客户端证书安装到客户端中。
创建自签名支持IIS服务器的pfx数字证书
鸽子的专栏
01-28 3042
使用java JDK内置的Keytool工具创建证书。 Keytool 具备下图中所示的命令: keytool 具备的命令标题 以下分步阐述证书创建流程: 1) 打开cmd窗口后,cd 到keytool 所在文件夹,例如:D:\Program Files\Java\jdk1.8.0_181\bin 。 2) 在cmd 中运行指令:keytool -genkeypair -alias ...
Postman 学习笔记
tby314的博客
05-07 1148
71 配置谷歌Postman私钥,首先Postman 的证书位置=~/.config/Postman/proxy/postman-proxy-ca.crt Installing the certificate for use with Chrome 安装到chrome' Open Google Chrome and go to the URL chrome://settings/certificates. 打开chrome'//settings/cert...
nodejs 客户端证书设置。
weixin_30374009的博客
07-07 383
最近的系统要求较高的安全等级 https+usbkey证书 https的操作很简单 openssl 生成ca 和证书配置启动即可 生成成功后,类似这样。 类似这样 var options = { key: fs.readFileSync(__dirname + '/server.key'), cert: fs.readFileSync(__dirname+'/server.p...
Requests库05---客户端证书
寅月十八的博客
05-20 427
文章目录SSL 证书证书验证失败解决证书验证问题上传CA证书文件跳过证书验证(关键字:verify)CA证书 SSL 证书 Requests 可以为 HTTPS 请求验证 SSL 证书,就像 web 浏览器一样。 证书验证失败 如果证书验证失败,Requests 会抛出 SSLError: 解决证书验证问题 上传CA证书文件 requests.get(‘https://github.com’, verify=’/path/to/certfile’) 跳过证书验证(关键字:verify) 默认情
【openssl s_server error】system library:BIO_bind:Address in use
最新发布
sduyyy的专栏
08-12 260
在这种情况下,它表示服务器已经使用了相同的端口——如果在没有参数的情况下启动docker,该image会自动启动启用QSC的TLS服务器。可以通过将参数传递给docker调用来避免这种情况。命令行启动docker,docker run -it openquantumsafe/oqs-ossl3 sh。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值