SSL加密认证是使用公用密钥和私人密钥,我们用户都是使用公用密钥来加密数据的,解密数据要使用相应的私人密钥。
引用一下SSL的通信流程:“使用SSL安全机制的通信过程如下:用户与IIS服务器建立连接后,服务器会把数字证书与公用密钥发送给用户,用户端生成会话密钥,并用公共密钥对会话密钥进行加密,然后传递给服务器,服务器端用私人密钥进行解密,这样,用户端和服务器端就建立了一条安全通道,只有SSL允许的用户才能与IIS服务器进行通信。
SSL网站不同于一般的Web站点,它使用的是“HTTPS”协议,而不是普通的“HTTP”协议。因此它的URL(统一资源定位器)格式为“https://网站域名”。”
下面我们来看看我们用IIS WEB服务后,怎么用SSL通道来进行加密认证的具体操作吧。
SSL的通信端口默认是443,所以在安装服务之前最好把机子上有占用443端口的防火墙或是软件关闭,以免发生冲突。我们用windows证书服务来现实SSL的加密,所以有个前提是安装证书服务的机器必须先安装了IIS WEB服务。
打开开始—设置—控制面板—添加或删除程序—添加或删除windows组件—我们选择钩上“证书服务”。下一步—放下系统光盘—安装会弹出这个窗口 如图1:
提示您如果安装证书服务的话就不能改域成员身份和计算机名,如果理改的话颁发出去的CA证书将无效。问您是否安装。我们选“是”,选完之后出现如下对话框图2:
如果我们的计算机是在域里面,我们就可以创建企业CA,由于我们没有在域里面,所以我们只能选择创建“独立根CA”。再钩上“用自定义设置生成密钥对和CA证书”,下一步,如图3:
选择一个CSP,什么是CSP?:CSP的意思是加密服务提供程序。默认为:Microsoft Strong Cryptographic Provider 散列算法有MD2 MD4 MD5 SHA-1 默认的算法是SHA-1 密钥长度:理论上是越长越好,理论上也是越长加密所须的时间最久。默认为2048.下一步,如图4:
填写识别信息,主要要填写的是公用名称和有效期限。公用名称最好填写有代表性的名称,如cfanhome。可分辩后缀。如果有域会自动填写,没域可以不填或是按规则填写一个,正确的填写方法是DC=名字,我们就写DC=com吧,有效期,默认是5年,我们可以根据自己的需要来设定。设完后下一步如图5:
填写你的证书数据库,证书数据库日记,共享文件夹位置,如果没有特别情况就默认,可以根据自己的需要设置。我一点下一步如图6:
提示我们如果要继续安装证书服务就要暂停IIS服务器的运行,因为要安装IIS虚拟目录和服务等信息。点“是”下一步,如图7:
提示我们如果要正常启用证书的web服务就要安装IIS里的ASP服务,也就是在扩展服务里面,我们点“是”,就表示同意安装ASP服务,系统会自动启用IIS扩展服务里的ASP服务。证书服务的WEB页面都是动态的。下一步,完成了证书服务的安装,我们可以打开开始—程序—管理工具—证书服务。可以看到主界面如图8:
四个基本功能:
1吊销的证书:这里显示已吊销的证书,吊销后证书将失效。可以对已吊销的证书进行还原,
2颁发的证书:已颁发的有效证书在这里显示,可以对证书进行吊销工作。
3挂起的证书:这里显示的是还没有颁发的证书,也就是刚刚申请的证书,这里可以进行的操作是颁发和拒绝。
4失败的证书:这里显示所有申请失败的证书,如网络原因,或人办原因申请证书失败。
接下来我们来看看我们的WEB服务器要怎么来申请证书:
我们转到WEB服务器,打开IE,输入 http://SSLIP/certsrv 回车,我们就可以看到证书服务器的申请界面,如图9:
这时我们还不急着申请,因为我们还有一件事情没完成。我们需要创建一个密钥文件,来申请我们的证书,那要怎么创建呢。打开IIS服务管理器—默认网站—右键属性—目录安全性—如图10:
我们点一下“服务器证书”,如图11:
选择新建证书,如图12
下一步,填写我们的证书名称,我们就填cfanhome吧,长度是默认1024.在这里我们又可以选择我们的CSP程序,如图13:
下一步:写单位和部门,根据我们的情况写,我写了单位是::cfanclub 部门是minks
下一步,输入公用名字,如果web服务器是在外网,那么要写我们的DNS名,如果我们的服务器是在内网,可以写共享名,也就是计算机的Netbios名,我输入了cfanclub,如图16:
下一步,选择图家,省还和区域,我在广州,所以我写中图,guangdong guangzhou,如图17:
下一步,选择我们的证书请求要保存的位置,我们选先一个位置,如图18:
下一步完成了证书申请文件的创建,我们可以看到在我们刚刚选择的目录下生成了一个证书请求文件,叫:certreq.txt 打开它,我们能看到如图19:
这是一串证书申请字符,我们可以用CTRL+A把它全选,再用CTRL+C再它复制下来。等一下申请证书要用到的。
我们再回过头到网页上点申请一个证书,进入如图20界面:
点“提交一个高级申请”进入如图21网页界面:
点击第二个“使用base64 编码的CMC 或PKCS #10 文件提交 一个证书申请,……”,进入如图22的证书申请界面,
到这里,我们就可以把刚刚复制下来的代码把它放到编码栏里,点提交就可以了,如果刚刚没有复制,我们也可以点“浏览要插入文件”,找到我们的certreq.txt文件,插入也可以。当我们点提交之后,我们的证书也就申请完了。如图23
申请完的证书并不可以立即使用,因为这是挂起的。我们必需等待证书颁发机构来颁发证书,这时候我们再转到证书服务的服务器上,我们打开证书服务的挂起的证书,我们可以看到我们刚刚申请的证书,点证书右键—颁发证书,如图25:
这样,我们就可以在颁发的证书里看到我们的证书已经颁发了,我们再到WEB服务器打开网页,点“查看挂起的证书的状态”,我们可以看到如图26的界面:
看到我们的证书已经颁分了,点一下保存的申请证书。再在出来的页面中选择下载证书,下载保存后我们可以的看到如图28:
这就是我们的证书,名字叫:cernew.cer 看起来很眼熟吧,对的,我们以前看过的证书都是cer后缀的。这时,我们再到IIS管理器里—默认网站—右键属性—目录安全性—服务器证书,如图29:
选择“处理挂起的请求并安装证书”。下一步,如图30:
选择我们的证书,也就是刚刚申请得到的证书,选择完毕之后选择SSL的端口,默认为443,我们就用默认端口来建立吧,如图31:
下一步,完成操作,我们再看看IIS管理器里—默认网站—右键属性—目录安全性—那个服务证书现在变亮了,点一下,能看到我们的证书的信息,如图32:
现在差不多了,证书申请完了,就差最后一步了,也就是启用证书,怎么启用呢,我们点IIS管理器里—默认网站—右键属性—目录安全性—编辑,可以看到下图33:
正常访问我们的网站会出现无法查看,并提示该页必需通过安全通道来查看。我们在http后面加上个S。变成 https://192.168.0.247/cfanclub 我们看到,网页弹出了安全信息窗口如图35:
这个窗口我们在网上也是经常看到的,如网上银行等。这里能看到信息是否安全,证书是否过期,我们点“是”,看到没有,网站正常打开了,如图36:
这样,一个简单的SSL安全证书就完成了,我们可以在网页下面看到有一把小锁了,这表示我们和WEB网站之间已经建立了一条SSL安全通道,我们所看到,所输入的信息在网络中传输都是经过加密的,别人无法看到我们的真实内容的。希望这个教程能帮到大家。
我们钩上“要求安全通道(SSL)”,这样,别人访问我们的网站时就无法访问了,要通过SSL通道才能访问。如图34
442
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
