|
小弟我的ssl測試看上去好像有點對了,
(注小弟設置了DNS域名解析,192.168.0.100 IP綁定自定的兩個域名,www.mydotnet.com 及www.zhang.com)
--------------------以下為激活SSL及獲取安裝服務端證書------------
在服務器上啟用 SSL
本節(jié)介紹如何創(chuàng)建證書請求、從 Verisign 站點獲得試用版的測試服務器端證書,并將其安裝在 Web 服務器上。
使用 IIS 4.0 啟用服務器上的 SSL
用鼠標右鍵單擊要啟用 SSL 的網站,并選擇“屬性”。
在“目錄安全性”選項卡上,單擊“編輯安全通信”。
在對話框中,單擊“密鑰管理器”。
展開樹狀視圖中的“本地計算機”節(jié)點。用鼠標右鍵單擊 WWW 葉,并選擇“新建密鑰”。這將啟動稱為“密鑰管理器”的密鑰請求向導。
選擇“將請求放入要發(fā)送到頒發(fā)機構的文件中”和一個文件名。單擊“下一步”。
輸入一個易記的密鑰名稱。輸入密碼,當獲取由頒發(fā)機構頒發(fā)的證書時需要此密碼。對于加密密鑰字節(jié)長度,請選擇 1024(1024 為推薦長度,某些頒發(fā)機構不頒發(fā)小于此長度的證書)。單擊“下一步”。
輸入您的組織和部門名稱。輸入等同于完整站點名稱的公用名稱,例如 www.yoursite.com。在啟動 SSL 連接之前,客戶端將檢查站點名稱是否與證書的公用名稱相同。單擊“下一步”。
輸入國家(地區(qū))、省/自治區(qū)、市/縣所在地。證書頒發(fā)機構可能檢查這些信息是否一致,以確保輸入的信息有效。輸入省時,請輸入完整的省名稱。
輸入管理服務器的人員的姓名、電子郵件地址和電話號碼。這些信息不包含在證書中,但證書頒發(fā)機構需要這些信息。
包含您的請求的文件已經創(chuàng)建。該文件為 Base64 編碼格式。在此過程中,IIS 還將為該證書請求創(chuàng)建一個私有密鑰和一個公用密鑰。私有密鑰將保存在您的計算機上,而公用密鑰將隨請求一起發(fā)往 Verisign,并用以加密證書數(shù)據。
轉至 www.verisign.com(英文),并單擊“Get Trial SSL ID”。注冊證書時,會要求您提供 CSR(證書簽名請求)。復制并粘貼您的請求文件中自行“BEGIN NEW CERTIFICATE REQUEST;”之后的內容,否則,將會出錯。Verisign 以郵件形式將測試服務器端證書發(fā)送給您。該過程同樣適用于商業(yè)證書,不同之處在于它收費并仔細驗證提交的信息。
確保從證書頒發(fā)機構獲得的證書是 Base64 編碼的。如果證書頒發(fā)機構是 Verisign,則您可以通過電子郵件獲得證書。創(chuàng)建一個擴展名為 .cer 的空文件,復制行“BEGIN CERTIFICATE”和“END CERTIFICATE”之間(包含這兩行)的所有內容并粘貼到該文件。
轉至要啟用 SSL 的站點的“屬性”/“目錄安全性”選項卡。單擊“編輯安全通信”,然后單擊“密鑰管理器”。
在對話框中,展開樹狀視圖中的“本地計算機”節(jié)點,再展開 WWW 葉,將顯示您的證書請求的密鑰。由于該證書尚未安裝,它標記為紅色。用鼠標右鍵單擊該證書,并選擇“安裝密鑰證書”。選擇具有要安裝的證書的文件。將提示您提供以前設置的密碼。輸入密碼。現(xiàn)在,您的證書已安裝。
使用 IIS 5.0 啟用服務器上的 SSL
用鼠標右鍵單擊要啟用 SSL 的網站,并選擇“屬性”。
在“目錄安全性”選項卡上,單擊“編輯安全通信”。
單擊“服務器證書”打開服務器證書向導。該向導將記憶網站的當前狀態(tài),例如您是否已擁有服務器證書。(現(xiàn)在假設您沒有證書。)
在證書向導中,單擊“下一步”,選擇“創(chuàng)建一個新證書”,然后單擊“下一步”。
選擇“現(xiàn)在準備請求,但稍后發(fā)送”,并單擊“下一步”。
輸入證書的友好名稱。該名稱不會在證書結構中使用,但作為區(qū)分請求和證書的一種方法。選擇公用密鑰長度。推薦密鑰長度不小于 1024 字節(jié)。單擊“下一步”。*(注意:一定要選密鑰長度為1024)
輸入可以由頒發(fā)機構驗證的組織名稱和部門名稱,如果您請求用于商業(yè)目的的真實證書,請輸入有效名稱。輸入要被認證的計算機的名稱。注意:它必須等同于您的完整站點名稱,例如 www.yoursite.com。單擊“下一步”。
輸入國家(地區(qū))、省/自治區(qū)、市/縣所在地。請輸入有效信息,證書頒發(fā)機構將檢查這些信息是否一致。輸入省時,請輸入完整的省名稱。單擊“下一步”。*(注意:省/自治區(qū)、市/縣所在地,輸入英文不能含有特殊字符。)
輸入用于保存請求的請求文件名稱。單擊“下一步”。
將摘要顯示您輸入的內容。確認內容正確,并單擊“下一步”完成向導。包含請求的文件將以 Base 64 格式保存。
包含您的請求的文件已經創(chuàng)建。該文件為 Base64 編碼格式。在此過程中,IIS 還將為該證書請求創(chuàng)建一個私有密鑰和一個公用密鑰。私有密鑰將保存在您的計算機上,而公用密鑰將隨請求一起發(fā)往 Verisign,并用以加密證書數(shù)據。
轉至 www.verisign.com(英文),并單擊“Get Trial SSL ID”。注冊證書時,會要求您提供 CSR(證書簽名請求)。復制并粘貼您的請求文件中自行“BEGIN NEW CERTIFICATE REQUEST;”之后的內容,否則,將會出錯。Verisign 以郵件形式將測試服務器端證書發(fā)送給您。該過程同樣適用于商業(yè)證書,不同之處在于它收費并仔細驗證提交的信息。 *(如果申請成功,會在一小時之內獲得這封信。)
確保從證書頒發(fā)機構獲得的證書是 Base64 編碼的。如果證書頒發(fā)機構是 Verisign,則您可以通過電子郵件獲得證書。創(chuàng)建一個擴展名為 .cer 的空文件,復制行“BEGIN CERTIFICATE”和“END CERTIFICATE”之間(包含這兩行)的所有內容并粘貼到該文件。
轉至要啟用 SSL 的站點的“屬性”/“目錄安全性”選項卡。單擊“編輯安全通信”,然后單擊“服務器證書”。服務器證書向導知道您剛剛提出證書請求,所以期望您已頒發(fā)證書并準備好在 IIS 5.0 中安裝。
選擇“處理掛起申請并安裝證書”,并單擊“下一步”。選擇從證書頒發(fā)機構獲得的證書的文件名。單擊“下一步”。查看證書概述,并單擊“下一步”。單擊“完成”。您的 Web 服務器證書已安裝在 IIS 5.0 中。
為 SSL 連接配置客戶端
僅僅具有配置正確的服務器并不足以啟用成功的 SSL 連接。請記住,SSL 連接始終包含身份驗證,其中客戶端驗證服務器的身份。特別是客戶端將驗證服務器是否具有有效證書,例如證書是否過期、是否被注銷、是否由客戶端信任的證書頒發(fā)機構頒發(fā)等。在上述詳細步驟中,將收到一個由 Verisign 測試根頒發(fā)機構頒發(fā)的試用版 Verisign 服務器端證書。默認情況下,該頒發(fā)機構并不被信任,例如,其證書不默認存儲在您計算機上的根存儲區(qū)。按照 Verisign 站點中的關于如何獲得 Verisign 測試頒發(fā)機構根目錄證書的指導進行操作。獲得包含 Verisign 測試頒發(fā)機構根目錄證書的文件之后,需要將其安裝在客戶端(您要用這些客戶端執(zhí)行至服務器的 SSL 連接)上,以在對服務器進行身份驗證時信任服務器端證書。請執(zhí)行以下步驟:
*(注意:在申請完成時會出現(xiàn)一個頁面要求您下載這一服務器端證書,文件名為getcacert.cer)
雙擊包含證書的文件,打開證書瀏覽器窗口。
單擊“安裝證書”。在證書導入向導歡迎頁上,單擊“下一步”。
選擇要保存該證書的存儲區(qū)。
默認情況下,Windows 將該證書放置到 CURRENT_USER\Root\存儲區(qū)中。這意味著只以您的帳戶使用計算機時,才能夠信任由該頒發(fā)機構頒發(fā)的證書。若要確保對其它用戶也有效,推薦始終將根 CA 證書放置到 LOCAL_MACHINE\Root 存儲區(qū)。這需要執(zhí)行以下操作:
選擇“將所有證書放置到以下存儲區(qū)”,并單擊“瀏覽”。
選擇“顯示物理存儲區(qū)”,展開“受信任的根目錄證書頒發(fā)機構”節(jié)點,選擇“本地計算機”,然后選擇“LOCAL_MACHINE\Root”節(jié)點。
完成該向導安裝 CA 根目錄證書。
-----------以下是服務器啟用SSL--------------------
在 IIS 4.0 上
用鼠標右鍵單擊 IIS 管理器中的虛擬目錄,并選擇“屬性”。
在“目錄安全性”選項卡上,單擊“編輯安全通信”。
啟用“訪問本資源時要求安全通道”。
在 IIS 5.0 上
用鼠標右鍵單擊 IIS 管理器中的虛擬目錄,并選擇“屬性”。
在“目錄安全性”選項卡上,單擊“編輯安全通信”。
啟用“要求 SSL”。
現(xiàn)在,如果試圖建立與該服務的非安全 HTTP 連接,將會出錯。
SSL 中的服務器身份驗證
常見錯誤是在 SSL 連接中使用 localhost 或服務器主機名的其它別名。在
SSL 握手期間,客戶端驗證服務器證書主題名稱的公用名稱 (CN) 部分與 HTTP
請求中的主機名是否匹配。如果不匹配,SSL 連接將失敗。客戶端還同時驗證服
務器端證書是否有效、是否撤消以及是否由信任的 CA 頒發(fā)。
客戶端證書身份驗證
除了必要的服務器身份驗證,SSL 還有一個可選步驟:對客戶端進行身份驗
證。這是使用客戶端證書進行的。客戶端證書與服務器證書相似。如果服務器配
置為要求客戶端證書,客戶端會將客戶端證書發(fā)送到服務器。服務器至少要檢查
它是否信任此客戶端證書,例如,它是否由信任的證書頒發(fā)機構頒發(fā)。
在服務器上配置客戶端證書身份驗證
IIS 4.0 和 IIS 5.0 都可以配置為:
忽略客戶端證書。這種情況下,客戶端證書身份驗證將關閉。
接受但不要求客戶端證書。這種情況下,如果提供了客戶端證書,將對客戶
端進行身份驗證。這時,所謂的身份驗證僅是檢查客戶端證書是否有效、可信。
要求客戶端證書。如果沒有提供客戶端證書,連接將被拒絕。將如前一選項
那樣對提供的客戶端證書進行檢查。
要求客戶端證書,并將其映射到指定的用戶帳戶。這種身份驗證方式與要求
客戶端證書相同,但 IIS 工作線程還模擬指定用戶的憑據。
*(注意:使用由 CA 而不是默認信任的頒發(fā)機構(例如 Verisign 或 Thawte
)頒發(fā)的客戶端證書時,需要確保該 CA 根目錄證書存儲在服務器上的
LOCAL_MACHINE\Root\ 存儲區(qū)中,而不是存儲在 CURRENT_USER\Root\ 存儲區(qū)中
。默認情況下,向導將 CA 的證書放置在 CURRENT_USER\Root\ 中,這使該證書
對 IIS 不可見,因為它使用不同的用戶帳戶。)
如何配置 IIS 使用上述客戶端證書選項之一?請按照上述步驟執(zhí)行,但第
三步要執(zhí)行以下操作(IIS 4.0 和 IIS 5.0 中的對話框相似):
若要忽略客戶端證書,請在 IIS 5.0 上選擇“忽略客戶端證書”或在 IIS
4.0 上選擇“不接受客戶端證書”;
若要接受但不要求客戶端證書,請選擇“接受客戶端證書”;
若要要求客戶端證書,請選擇“要求客戶端證書”;
若要要求客戶端證書與指定的用戶帳戶匹配,請選擇“要求客戶端證書”以
及“啟用客戶端證書映射”。此時,您需要具有一個文件,該文件包含要映射的
導出客戶端證書。要獲得該文件,請在客戶端證書所在的客戶端計算機上,執(zhí)行
以下操作:
-------------------以下是客戶端證書安裝部份-------------
以上的設置基本同第一步中在客戶端安裝服務器證書。
在客戶端使用 SSL 客戶端證書
本節(jié)介紹為了與服務交流而需要提供客戶端證書時,如何在客戶端上進行操
作。如何獲取和安裝客戶端證書?可以從 Verisign 或任何其它 CA 獲取客戶端
證書(Web 標識)。
*(注意:在Verisign申請完服務器端證書后有一界面讓您選擇下載客戶端證書。)
注意:服務器證書和客戶端證書的用途不同。不能將服務器端證書用作客戶
端證書。
獲得包含證書的文件(.cer 文件)之后,雙擊該文件即可進行安裝。按照
前述安裝 Verisign 測試 CA 根目錄證書的步驟進行操作。將要求您指定存放證
書的存儲區(qū)。客戶端證書的默認(推薦)存儲區(qū)是 CURRENT_USER\MY\。
注意:準備客戶端證書的請求時,通常會詢問您是否使用 CURRENT_USER 或
LOCAL_MACHINE 存儲區(qū)來存儲證書。
如果希望只能從創(chuàng)建請求時所使用的帳戶訪問證書,則使用 CURRENT_USER
存儲區(qū)。
如果希望幾個特權用戶可以共享訪問此證書,則使用 LOCAL_MACHINE 存儲
區(qū)。只有本地管理帳戶具有 LOCAL_MACHINE 存儲區(qū)的訪問權限。例如,如果在
具有客戶端證書身份驗證的 SSL 之上使用 SOAP 進行遠程配置,并且希望從任
何本地管理員帳戶都可以使用客戶端腳本,可能要使用該存儲區(qū)。
(以上內容轉載由http://www.yesky.com/20010924/198513_2.shtml)
-----------------以下是小弟的一些不明之處--------------------
如上設置完后可以實現(xiàn)ssl加密。
但是小弟還有一些不明白的地方望各位指點:
1、ssl防護申請可不可以在本機完成,如何使本機成為服務端證書的頒發(fā)機構,頒發(fā)證書。(小弟是局域網想實現(xiàn)這一功能,不能總是用Verisign的14天試用版呀。)
2、客戶端證書可否在客戶端訪問網頁時自動生成,并下載安裝。
3、如何設置只允許擁有客戶端證書的客戶訪問,我在IIS中設置了但是不知如
何設置客戶端。
|
