关于SSL配置的报告
生活随笔
收集整理的這篇文章主要介紹了
关于SSL配置的报告
小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.
作者:網(wǎng)際浪子專欄(曾用名littlehb)?
http://blog.csdn.net/littlehb/
一,服務(wù)器上裝有CA(Certificate Server)
1,服務(wù)器上安裝CA
Win2000中帶有CA的安裝程序。單擊Start,Control Pannel Add/Remove Programs兵單擊Add/Remove Windows Compenents。當(dāng)Windows Component Wizard出現(xiàn)時,選擇證書服務(wù)(Certificate Services)。下一步中,安裝需要指出服務(wù)器授權(quán)的類型,一般作為一個獨立的Web服務(wù)器,選擇Stand-alone root CA。然后,需要指定共享文件夾,這作為證書服務(wù)的配置數(shù)據(jù)存儲位置,單擊Next,安裝完畢。
注意:自己建立CA 機構(gòu)時,所給CA機構(gòu)起的名是自己定義的,在客戶端的IE中,在一開始并不屬于客戶端信任的根證書頒發(fā)機構(gòu),如果,客戶端沒有把該CA機構(gòu)加為自己所信任的根證書頒發(fā)機構(gòu),那么在客戶端訪問該服務(wù)器上的網(wǎng)站時,會出現(xiàn)安全警告信息。
2,建立并安裝一個站點證書
步驟如下:
A, 打開IIS,選定要安裝證書的站點,單擊右鍵,選擇彈出菜單中的properties,在彈出的對話框中,單擊directory security屬性頁,單擊Server Certificate按鈕,出現(xiàn)IIS Certificate Wizard對話框,這一步的操作,所完成的功能是生成一個向CA申請數(shù)字證書的密鑰文件,文件以.txt的格式存于本機目錄下。
B, 通過Certificate Server Enrollment的頁面訪問注冊控件和它的表格:
在安裝了Certificate Service的機器上可以從位于 http://localhost/certsrv 的Certificate Server Administration Tools Web頁面可以訪問該注冊控件。選擇request a certificate 選項,在下一頁面中選擇advance request,這里需要注意的是,如果是給網(wǎng)站申請數(shù)字證書時必須選擇該項,因為賦予網(wǎng)站的數(shù)字證書需要使用a步驟中所產(chǎn)生的特定的密鑰文件,這樣才能生成屬于該網(wǎng)站的唯一的數(shù)字證書。而一般User certificate request 是針對需要訪問該網(wǎng)站的客戶設(shè)計的,分別有web browser certificate 和E-Mail Protection certificate 兩種方式。客戶采用web browser certificate方式申請對有SSL保護(hù)的網(wǎng)站的訪問,而E-Mail Protection certificate是保護(hù)客戶收發(fā)email時的信息傳送。接下去頁面的Advanced Certificate Requests 中我們選擇Submit a certificate request using a base64 encoded PKCS #10 file or a renewal request using a base64 encoded PKCS #7 file。因為這種格式和在a步驟中所產(chǎn)生的密鑰文件的加密格式一致。然后,可以通過browse把存在本機上的.txt密鑰文件上載至網(wǎng)頁上,遞出申請。在最后的界面中,會被告知請求已經(jīng)被接到并正在等待證書授權(quán)機構(gòu)的批準(zhǔn)。
C, 微軟的Certificate Service可以使用MMC來管理:
服務(wù)器提出的要求數(shù)字驗證的請求傳遞到CA機構(gòu)中,打開Start/Program/Administrative tools/Certification Authority后,可以看到pending request文件夾,這個文件夾包含了所有等待root授權(quán)機構(gòu)批準(zhǔn)的證書請求。如果CA認(rèn)證機構(gòu)覺得該網(wǎng)站的申請可行,則單擊右鍵選擇issue,這樣,該文件就被移到了issued Certificates,表示申請成功,這個節(jié)點包含了所有被證書服務(wù)的管理員批準(zhǔn)并被發(fā)布的證書。反之如果CA機構(gòu)覺得該申請不可行,則選擇Deny,該文件被轉(zhuǎn)移到Failed request,表示申請失敗,這個節(jié)點包含了所有被拒絕的證書請求。對申請成功并發(fā)布的數(shù)字證書而言,如果CA機構(gòu)想取消該證書,可以單擊右鍵選擇revoke,則已申請成功的數(shù)字證書被移到revoke certificates文件夾內(nèi),這個節(jié)點包含了所有被發(fā)布但是又被撤銷的證書。
D, 提交數(shù)字驗證的網(wǎng)站在等待一定時間后,依然可以通過 http://localhost/certsrv來查看自己所申請的數(shù)字驗證的進(jìn)行情況。選擇Check On A Pending Certificate選項并單擊Next 按鈕繼續(xù)。從選項框中選擇候選的請求,單擊Next按鈕繼續(xù)。為下載該文件選擇Base64 encoding并單擊Download CA Certificate鏈接以開始下載過程。這樣就從證書授權(quán)機構(gòu)接到了服務(wù)器證書文件。打開IIS,選定已經(jīng)得到數(shù)字驗證的網(wǎng)站,單擊右鍵后選擇properties,在屬性頁directory security中,單擊Server Certificate 按鈕以啟動Web服務(wù)證書向?qū)?#xff0c;選擇Process A Pending Request and Install Certificate選項。選擇上一步驟中download下來的數(shù)字證書(即.cer文件)的存放路徑,開始安裝。安裝成功后,directory security屬性頁中的view certificate和edit按鈕由disable變?yōu)閑nable。整個網(wǎng)站的數(shù)字驗證過程完畢。
3,關(guān)于certificate的屬性設(shè)置
點擊directory security屬性頁的edit按鈕,可以進(jìn)行網(wǎng)站數(shù)字驗證屬性的設(shè)置。首先,如果選擇了require secure channel(SSL)復(fù)選框,則http的形式將無法訪問該站點,只有采用https的方式進(jìn)行訪問。如果不選擇該項的話,則http和https兩種方式并存,都可以進(jìn)行對此網(wǎng)站的訪問。如果選擇了該項,則又有三種方式可供選擇,分別是ignore client certificate,accept client certificate 以及require client certificate。Ignore client certificate表示不接受客戶證書(默認(rèn)):如果客戶瀏覽器安裝了客戶證書,會返回一個Access Denied消息。Accept client certificate表示接受證書:不管客戶是否安裝了客戶證書對服務(wù)器沒有區(qū)別,訪問在兩種情況下都是允許的。Ignore client certificate表示需要客戶證書:除非客戶有一個被root CA(這里是證書服務(wù)器)授予的合法證書,否則訪問被拒絕。客戶要訪問網(wǎng)站,必須得先從服務(wù)器得到數(shù)字驗證,也即,客戶端必須首先向要訪問的網(wǎng)站提出要求數(shù)字驗證的申請,在得到服務(wù)器端發(fā)回的用于兩者間信息交互的數(shù)字證書后,才可以對該網(wǎng)站進(jìn)行訪問,否則,網(wǎng)站將拒絕該客戶的訪問。
不同的網(wǎng)站可以針對這三個屬性進(jìn)行不同的設(shè)置。
4,客戶端SSL的配置
在瀏覽器和Web站點之間開始SSL通信之前,客戶端必須能夠認(rèn)出服務(wù)器的證書是合法的。要做到這一點,客戶端必須和服務(wù)器的證書授權(quán)機構(gòu)取得聯(lián)系,在這種情況下是本地的證書服務(wù)器。如果沒能實現(xiàn)前面的步驟,直接連到SSL站點,會首先接到安全警告信息。客戶瀏覽器需要在瀏覽器的Trusted Root Store中安裝證書。要安裝證書,在安全警告對話框出現(xiàn)時,單擊View Certificate按鈕,就會出現(xiàn)一個對話框,該對話框中包含了證書的信息。單擊Install Certificate 按鈕以啟動證書導(dǎo)入向?qū)А?
對客戶而言,SSL的配置就相對比較簡單,客戶可以選擇申請數(shù)字證書,也可以不用,只是,如果客戶所訪問的某個網(wǎng)站設(shè)定了require client certificate屬性,則客戶必須在得到了該網(wǎng)站的數(shù)字驗證后,才能對此進(jìn)行訪問,換言之,客戶想得到訪問權(quán),就必須先向網(wǎng)站提出申請。
客戶通過訪問 http://servername/certsrv來申請數(shù)字驗證,它的操作過程和網(wǎng)站申請數(shù)字驗證基本雷同,只是它不是選擇Advance request這一項,而是使用User certificate request 下的web browser certificate選項,只要填寫客戶的一些相應(yīng)信息后,就能遞出申請,而當(dāng)CA機構(gòu)認(rèn)證后,也是從網(wǎng)上直接下載相對應(yīng)的數(shù)字證書至本機。這樣,每當(dāng)訪問該網(wǎng)站,當(dāng)彈出要求客戶端數(shù)字驗證的消息框后,客戶選擇已經(jīng)下載過的數(shù)字證書,就可以進(jìn)行對網(wǎng)站的訪問了。
一,服務(wù)器上裝有CA(Certificate Server)
1,服務(wù)器上安裝CA
Win2000中帶有CA的安裝程序。單擊Start,Control Pannel Add/Remove Programs兵單擊Add/Remove Windows Compenents。當(dāng)Windows Component Wizard出現(xiàn)時,選擇證書服務(wù)(Certificate Services)。下一步中,安裝需要指出服務(wù)器授權(quán)的類型,一般作為一個獨立的Web服務(wù)器,選擇Stand-alone root CA。然后,需要指定共享文件夾,這作為證書服務(wù)的配置數(shù)據(jù)存儲位置,單擊Next,安裝完畢。
注意:自己建立CA 機構(gòu)時,所給CA機構(gòu)起的名是自己定義的,在客戶端的IE中,在一開始并不屬于客戶端信任的根證書頒發(fā)機構(gòu),如果,客戶端沒有把該CA機構(gòu)加為自己所信任的根證書頒發(fā)機構(gòu),那么在客戶端訪問該服務(wù)器上的網(wǎng)站時,會出現(xiàn)安全警告信息。
2,建立并安裝一個站點證書
步驟如下:
A, 打開IIS,選定要安裝證書的站點,單擊右鍵,選擇彈出菜單中的properties,在彈出的對話框中,單擊directory security屬性頁,單擊Server Certificate按鈕,出現(xiàn)IIS Certificate Wizard對話框,這一步的操作,所完成的功能是生成一個向CA申請數(shù)字證書的密鑰文件,文件以.txt的格式存于本機目錄下。
B, 通過Certificate Server Enrollment的頁面訪問注冊控件和它的表格:
在安裝了Certificate Service的機器上可以從位于 http://localhost/certsrv 的Certificate Server Administration Tools Web頁面可以訪問該注冊控件。選擇request a certificate 選項,在下一頁面中選擇advance request,這里需要注意的是,如果是給網(wǎng)站申請數(shù)字證書時必須選擇該項,因為賦予網(wǎng)站的數(shù)字證書需要使用a步驟中所產(chǎn)生的特定的密鑰文件,這樣才能生成屬于該網(wǎng)站的唯一的數(shù)字證書。而一般User certificate request 是針對需要訪問該網(wǎng)站的客戶設(shè)計的,分別有web browser certificate 和E-Mail Protection certificate 兩種方式。客戶采用web browser certificate方式申請對有SSL保護(hù)的網(wǎng)站的訪問,而E-Mail Protection certificate是保護(hù)客戶收發(fā)email時的信息傳送。接下去頁面的Advanced Certificate Requests 中我們選擇Submit a certificate request using a base64 encoded PKCS #10 file or a renewal request using a base64 encoded PKCS #7 file。因為這種格式和在a步驟中所產(chǎn)生的密鑰文件的加密格式一致。然后,可以通過browse把存在本機上的.txt密鑰文件上載至網(wǎng)頁上,遞出申請。在最后的界面中,會被告知請求已經(jīng)被接到并正在等待證書授權(quán)機構(gòu)的批準(zhǔn)。
C, 微軟的Certificate Service可以使用MMC來管理:
服務(wù)器提出的要求數(shù)字驗證的請求傳遞到CA機構(gòu)中,打開Start/Program/Administrative tools/Certification Authority后,可以看到pending request文件夾,這個文件夾包含了所有等待root授權(quán)機構(gòu)批準(zhǔn)的證書請求。如果CA認(rèn)證機構(gòu)覺得該網(wǎng)站的申請可行,則單擊右鍵選擇issue,這樣,該文件就被移到了issued Certificates,表示申請成功,這個節(jié)點包含了所有被證書服務(wù)的管理員批準(zhǔn)并被發(fā)布的證書。反之如果CA機構(gòu)覺得該申請不可行,則選擇Deny,該文件被轉(zhuǎn)移到Failed request,表示申請失敗,這個節(jié)點包含了所有被拒絕的證書請求。對申請成功并發(fā)布的數(shù)字證書而言,如果CA機構(gòu)想取消該證書,可以單擊右鍵選擇revoke,則已申請成功的數(shù)字證書被移到revoke certificates文件夾內(nèi),這個節(jié)點包含了所有被發(fā)布但是又被撤銷的證書。
D, 提交數(shù)字驗證的網(wǎng)站在等待一定時間后,依然可以通過 http://localhost/certsrv來查看自己所申請的數(shù)字驗證的進(jìn)行情況。選擇Check On A Pending Certificate選項并單擊Next 按鈕繼續(xù)。從選項框中選擇候選的請求,單擊Next按鈕繼續(xù)。為下載該文件選擇Base64 encoding并單擊Download CA Certificate鏈接以開始下載過程。這樣就從證書授權(quán)機構(gòu)接到了服務(wù)器證書文件。打開IIS,選定已經(jīng)得到數(shù)字驗證的網(wǎng)站,單擊右鍵后選擇properties,在屬性頁directory security中,單擊Server Certificate 按鈕以啟動Web服務(wù)證書向?qū)?#xff0c;選擇Process A Pending Request and Install Certificate選項。選擇上一步驟中download下來的數(shù)字證書(即.cer文件)的存放路徑,開始安裝。安裝成功后,directory security屬性頁中的view certificate和edit按鈕由disable變?yōu)閑nable。整個網(wǎng)站的數(shù)字驗證過程完畢。
3,關(guān)于certificate的屬性設(shè)置
點擊directory security屬性頁的edit按鈕,可以進(jìn)行網(wǎng)站數(shù)字驗證屬性的設(shè)置。首先,如果選擇了require secure channel(SSL)復(fù)選框,則http的形式將無法訪問該站點,只有采用https的方式進(jìn)行訪問。如果不選擇該項的話,則http和https兩種方式并存,都可以進(jìn)行對此網(wǎng)站的訪問。如果選擇了該項,則又有三種方式可供選擇,分別是ignore client certificate,accept client certificate 以及require client certificate。Ignore client certificate表示不接受客戶證書(默認(rèn)):如果客戶瀏覽器安裝了客戶證書,會返回一個Access Denied消息。Accept client certificate表示接受證書:不管客戶是否安裝了客戶證書對服務(wù)器沒有區(qū)別,訪問在兩種情況下都是允許的。Ignore client certificate表示需要客戶證書:除非客戶有一個被root CA(這里是證書服務(wù)器)授予的合法證書,否則訪問被拒絕。客戶要訪問網(wǎng)站,必須得先從服務(wù)器得到數(shù)字驗證,也即,客戶端必須首先向要訪問的網(wǎng)站提出要求數(shù)字驗證的申請,在得到服務(wù)器端發(fā)回的用于兩者間信息交互的數(shù)字證書后,才可以對該網(wǎng)站進(jìn)行訪問,否則,網(wǎng)站將拒絕該客戶的訪問。
不同的網(wǎng)站可以針對這三個屬性進(jìn)行不同的設(shè)置。
4,客戶端SSL的配置
在瀏覽器和Web站點之間開始SSL通信之前,客戶端必須能夠認(rèn)出服務(wù)器的證書是合法的。要做到這一點,客戶端必須和服務(wù)器的證書授權(quán)機構(gòu)取得聯(lián)系,在這種情況下是本地的證書服務(wù)器。如果沒能實現(xiàn)前面的步驟,直接連到SSL站點,會首先接到安全警告信息。客戶瀏覽器需要在瀏覽器的Trusted Root Store中安裝證書。要安裝證書,在安全警告對話框出現(xiàn)時,單擊View Certificate按鈕,就會出現(xiàn)一個對話框,該對話框中包含了證書的信息。單擊Install Certificate 按鈕以啟動證書導(dǎo)入向?qū)А?
對客戶而言,SSL的配置就相對比較簡單,客戶可以選擇申請數(shù)字證書,也可以不用,只是,如果客戶所訪問的某個網(wǎng)站設(shè)定了require client certificate屬性,則客戶必須在得到了該網(wǎng)站的數(shù)字驗證后,才能對此進(jìn)行訪問,換言之,客戶想得到訪問權(quán),就必須先向網(wǎng)站提出申請。
客戶通過訪問 http://servername/certsrv來申請數(shù)字驗證,它的操作過程和網(wǎng)站申請數(shù)字驗證基本雷同,只是它不是選擇Advance request這一項,而是使用User certificate request 下的web browser certificate選項,只要填寫客戶的一些相應(yīng)信息后,就能遞出申請,而當(dāng)CA機構(gòu)認(rèn)證后,也是從網(wǎng)上直接下載相對應(yīng)的數(shù)字證書至本機。這樣,每當(dāng)訪問該網(wǎng)站,當(dāng)彈出要求客戶端數(shù)字驗證的消息框后,客戶選擇已經(jīng)下載過的數(shù)字證書,就可以進(jìn)行對網(wǎng)站的訪問了。
注意事項:如果網(wǎng)站的端口號不是默認(rèn)的80,而是自己定義的話,則相應(yīng)的也要給SSL Port 設(shè)定一個端口號,以示區(qū)別,而訪問http和https時,所輸入的端口號是不一致的。如果網(wǎng)站使用默認(rèn)的80端口,則SSL也不需要配置特定的端口號,它的默認(rèn)端口號為443。
二,服務(wù)器和裝有CA(Certificate Server)的計算機獨立
網(wǎng)站申請數(shù)字證書的過程和前面部分一樣。只是,上一部分的操作因為CA和服務(wù)器設(shè)在同一臺機器上,所以,訪問本機的http://localhost/certsrv就可以了,而這一部分,因為CA和服務(wù)器的計算機獨立,所以,申請的時候也和客戶端一樣,遠(yuǎn)程訪問http://CAname/certsrv ,其中的具體操作和上一部分一樣。只是,在這種情況下,該網(wǎng)站如果設(shè)置了require client certificate,則客戶就很難訪問該網(wǎng)站了,因為客戶端無法向該網(wǎng)站發(fā)出要求數(shù)字驗證的申請。一般而言,最好采用accept client certificate。
總結(jié)
以上是生活随笔為你收集整理的关于SSL配置的报告的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: DataGrid中自带的分页功能的使用
- 下一篇: Asp.net动态生成html页面