本文详细介绍了如何搭建公钥基础设施(PKI),包括环境配置、AC服务搭建、证书申请以及在Web服务器上启用HTTPS的过程。通过PKI,可以实现身份验证、数据完整性和机密性。在AD域环境中,创建并使用自签名证书来保障Web服务的安全,尽管非权威机构签发,仍能实现基本的安全保护。
理论
环境
搭建ac服务
申请证书
使用证书开启https
理论
什么是pkl
公钥基础设施
通过公钥技术和数字签名来确保信息安全
由公钥加密技术,数字证书,ca ra 组成
pkl体系可以实现什么
身份验证
数据完整性
数据机密性
操作不可否认
数据加密
发送方使用接收方的公钥加密数据,接收方使用自己的私钥解密数据
数据加密能保证所发送的数据的机密性
数字签名
发送方用自己的私钥加密摘要值
将加密的摘要值与原始数据发送给接收方
数字签名保证数据的完整性,身份验证和不可否认
什么是证书
证书用于保证密钥的合法性
证书的主体可以是用户,计算机,服务等
数字证书由权威公正的第三方机构即ca签发
ca的作用
证书颁发机构
ca的核心功能是颁发和管理数字证书
1.环境
虚拟机 一个网段可以相互通信 先搭建环境最后用ca进行web站点证书颁发
3个虚拟机
使用域环境是因为我们自己测试,非权威机构,要让他们相互信任
--
Windows server 2016 (ad域服务器)
ip:192.168.100.1
--
Windows server 2016(web服务器&创建一个站点)
加入192.168.1.1的域变成他的域成员 ip:192.168.100.2
--
windows 10 (客户机用于测试)
后期去查看192.168.1.2上搭建的web网站有没有证书颁发
加入192.168.1.1的域变成他的域成员
ip:192.168.100.3
--
其他两个都要加入域成为他的域成员
192.168.100.1域的账户和计算机上可以看到两个已加入的计算机
并且可以访问到192.168.100.2web服务器上
以上不会搭建ad域环境或不会加入,或不会web搭建
可以看我往期博客
2.搭建ac服务
在ad域控上!!!注意,ad域在做ac证书服务之前一定不能有web服务也不能安装iis!!!
添加角色
下一步
下一步
选择
ad证书服务器
下一步
什么都不选
下一步
下一步
全选,下一步
下一步
下一步
安装
安装完成以后去服务器管理面板找到小旗子
配置目标服务器上的ad证书服务
下一步
下一步
下一步
下一步
下一步
下一步
下一步
下一步
下一步
下一步
选第二个,下一步
配置
3.申请证书
到web服务器里
在iis里
win-***下有个服务器证书
右侧的创建证书申请
这里我只是自己测试,所以随便写,如果在真的申请中,要全部的正确填写
下一步
选择路径,这个会创建一个.txt文本文档,里边有好多英文字符,等会申请证书的时候要把这个全复制进去
我这个放在桌面上了
完成
--
然后去浏览器上访问:
ac服务器ip/certsrv 我这也就是
192.168.100.1/certsrv
输入ad域账号密码
申请证书
高级证书申请
选择第二行
使用base64编码
把刚刚的英文字符全部复制进来
复制进来以后,把证书模板改成,web服务器
然后提交
base64编码
下载证书
4.使用证书开启https
服务器证书
完成证书申请
选择证书位置
然后起名字
然后可以去创建网站了
选择https
这里的ssl证书要选择你刚刚申请的那个
访问
因为不是权威机构,只是我们自己搭建的,所以报不安全
我们可以去ad域上找到
证书颁发机构
看到证书
2066
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
