SSL加密服务器证书在IIS中的应用.doc

【精品文档】如有侵权，请联系网站删除，仅供学习与交流SSL加密服务器证书在IIS中的应用.精品文档.SSL加密服务器证书在IIS中的应用配置应用实验实验目的：实验内容：试验方法：实验步骤：步骤如下：1、 登录Windows Server2003，在“控制面板”中安装IIS6.0，如图：2、 安装并配置证书颁发机构，也是在“控制面板”中添加“证书服务”功能组件，如图：下一步：选择“独立根CA”，下一步：填写“此CA的公用名称”，下一步：设置证书数据库的几个文件夹，记住该文件夹所在的位置，下一步：在安装证书服务的时候我们首先要停止IIS，我们选“是”,直至安装完成。3、 创建证书请求Web服务器需要为证书创建一个请求，在这个过程中Web服务器也将为自己创建一个密钥对，而公钥将是证书的一部分。下面是证书请求的一个过程：打开IIS管理器，如图：右击“默认站点”，选择“属性”，选择“目录安全性”选择“服务器证书”，这里我们新建一个证书，下一步：下一步：设置新证书的名称“chunlin_cer”，位长为默认的1024，下一步：填写单位的相关信息，以便与其他单位的证书分开，下一步：使用默认公用名称即可，下一步，填写地理信息，下一步，这里是将我们上面证书请求的内容保存为一个文本文件，以作后用，下一步，直至完成。4、 提交证书请求将Web服务器证书请求提交到证书服务器。步骤如下：打开IE浏览器，登录到证书请求服务器中，http:/localhost/certsrv，如图：进入证书服务页面，如图：我们选择“申请一个证书”，然后再选择“高级证书申请”如图：我们选择其中的第二项，我们进入“提交一个证书申请或续订申请”页面，如图：我们将前面生成的文本文件c:certreq.txt文件内容复制到保存申请的文本框中，提交，如图：至此证书提交过程完成。5、颁发证书通常在颁发证书之前有个证书服务器的所有者履行验证过程进入办法机构页面，如图选中上图右边窗口中的挂起申请条目，选择任务中的颁发，如图：这时我们已经将申请确认并颁发成功，选中“颁发的证书”，我们会在右边窗口中看到已经颁发完成的证书记录，如图：6、下载证书在IE浏览器中输入http:/localhost/certsrv，如图：选择“查看挂起的证书申请状态”，通过查看证书申请后是不是已经被核实后颁发，如图：选择“Base 64编码”，点击下载证书，我们将下载已经颁发的证书，如图：保存命名为“certnew.cer”的证书到桌面，如图：7、 配置WEB站点安装SSL证书下面我们来配置默认Web站点安装SSL证书。在IIS管理器的默认站点属性的目录安全性页面中，选择“服务器证书”，如图：选择“处理挂起的请求并安装证书”，如图：选择证书文件，下一步，为SSL选择使用的端口443，继续下一步，显示证书的内容摘要，完成。8、 配置站点使用SSL在IIS默认站点属性窗口中的“目录安全性”页中，选择“编辑”，如图：在“安全通信”页中选择“要求安全通道(SSL)”，使该WEB站点在对外服务时将采用SSL加密处理后进行传输。9、配置客户端IE我们以windows XP上IE访问该站点为例，在IE输入Web的URL，如http:/192.168.22.152，会出现如下页面，如图：页面显示“该页必须通过安全通道查看”，并提示在访问的地址前键入https:/，也就是说被访问的WEB网站采用了SSL安全通道，这是我们再次输入https:/192.168.22.152，这时的页面能够正确的显示，其中的内容在网络传输过程中通过SSL证书密钥进行了加密，数据将不会再被截获而泄密。利用证书实现IPSEC 利用证书实现IPSEC 利用证书建立IPSEC安全通讯在讲解IPSEC策略之前，首先必须了解微软预定义的IPSEC策略1 Client : 这种方式用一句不恰当的比喻：中国在任何情况下不首先谋求使用核武器，即发起通讯的计算机在任何情况下不首先谋求IPSEC通讯，如果对方需要IPSEC，则启用IPSEC。2  Server：首先谋求使用IPSEC，如果对方不接受，则转而采用普通的通讯方式。3  Secure server: 在任何情况下都谋求使用“核武器”见下图：这三种方式各自有各自得使用范围，比如，在高安全环境中，需要使用安全服务器方式，但在另外的环境中，则需要其他的方式：比如两台域控制器分列在企业防火墙的两端，需要进行安全的活动目录复制，我们可以考虑采用IPSEC，但每个服务器又需要接受本地的客户机的安全验证审核，本地的计算机之间并没有采用IPSEC，则在两台服务器上可以采用SERVER方式的IPSEC策略。这样即可实现DC间复制采用IPSEC，而本地的安全通讯采用普通通讯方式。 在windows网络中，建立IPSEC的方法有3种：1  利用AD的kerberos协议，自动的建立IPSEC的安全隧道2  利用预共享密钥的方式建立IPSEC的安全通信3  利用CA颁发的证书来建立安全隧道这三种方式各自有各自得特征首先，第一种方式最为简便，只需要在本地策略或通过组策略，即可实现一组计算机采用相同的IPSEC策略安全通讯。注意，这也是Windows系统默认的IPSEC默认的响应规则。 这种方式设置最为简单，只需要在域内要求安全通讯的计算机上选择此项，则立刻实现安全通讯。但是其局限性也很大：只能是同一个AD内（注意不是同一个域内，是整个森林范围内）的计算机才可以采用该项方式。 2第二种方式采用预共享密钥，这种方式使用灵活，可以在不是同一个AD内的计算机之间实现IPSEC通讯安全，这种灵活的方法甚至可以扩展到非微软的产品上去：路由器或其他设备之间和微软的产品进行安全通讯。其缺点是安全性差：本质上，预共享密钥只能防重放，不能防偷窥，而且其设置的密钥通过IPSEC策略窗口是可见的:              第3种方式就是本次讨论的重点：采用证书实现IPSEC的安全通讯，这种方式的灵活性不亚与预共享密钥，但安全性却非常让人放心。 首先，要使用证书进行IPSEC，要先申请证书，安装和设置证书服务的操作不在此次讨论的范围，我们先假设在一台Windows 2003服务器上已经完成了证书服务的安装，然后用户计算机连接到证书申请网页申请证书:选择高级申请：在证书申请页面中，除了将证书的用途设置为IPSEC外，关键的地方有两个：一个是make keys as exportable，该项使得我们可以导出证书的私钥，否则将不能导出私钥，我建议首先导出私钥，保存在一个安全的地方，然后再将证书导入，这次设定不允许导出，以保证安全性。另一个是store certificate in local computer certificate store，证书被保存成计算机证书，如果我们不选择该项，则该证书成为用户证书，不适合IPSEC使用。 在CA审核批复了证书申请后，即可安装该证书：安装证书后，可以通过MMC证书管理控制台核实证书已经安装在计算机上了，注意不是安装在用户上了。 下一步，如果我们申请证书的CA不是微软预设的国际公认的“流氓老大”，则在IPSEC的设置界面中，将不出现我们申请的CA，所以我们还需要将CA的证书导入到受信任的CA列表当中去，才可以采用该CA申请的证书：首先，在证书申请WEB页中下载CA的证书文件，然后将其导入受信任的根证书中： 观察导入成功： 然后，再IPSEC的策略设置中，选择该CA作为IPSEC审核的方法，这样，从同一个CA申请证书的计算机之间就建立起了安全可靠的IPSEC通讯。