随着网络安全越来越受重视,许多提供WEB服务的站点都取消了以往不安全的HTTP传输页面信息,比如证券、银行等网站,转而使用SSL加密的HTTPS传输方式。现在就让我们来看看它是如何实现的。
' p" E5 V: X4 c" v: {& F5 `6 g9 u 名词解释: , }. d% s9 {4 X$ ]1 N4 ^# u
http:Hypertext Transfer Protocol,超文本传输协议;
- V; M( c+ H6 v https:Secure Hypertext Transfer Protocol,安全超文本传输协议;
& c7 J% x: h5 a9 K% M1 l( ] SSL:Secure Sockets
$ @1 B7 l/ z: J: j* I N& ZLayer,一种国际标准的加密及身份认证通信协议,最初是由美国Netscape公司研究出来的,后来成为了Internet网上安全通讯与交易的标准。SSL协议使用通讯双方的客户证书以及CA根证书,允许客户/服务器应用以一种不能被偷听的方式通讯,在通讯双方间建立起了一条安全的、可信任的通讯通道。它具备以下基本特征:信息保密性、信息完整性、相互鉴定。 - G: H- O7 X4 l& A$ t. t' |: T
环境:
6 _9 c* i, n* v6 f& v4 }2 r" { Windows 2000 Server/ Windows 2003 Server(本文以Windows
, p4 e/ g/ ^* h5 U& g2003 Server为例)
5 P# X2 A E* v9 V 一、组件安装
/ ~1 |3 C4 Q# x2 l1 A$ ]& i' h 1. ( h8 O$ o; F! w, u, B
通过“控制面板——添加或删除程序——添加/删除Windows组件”安装IIS 6.0与证书服务组件;
; p$ e' D! R6 w; i3 ~
1 c: f+ c; e9 c: R& m: ?2. 如果一切安装正常,可通过“控制面板——管理工具——证书颁发机构”浏览服务器相关证书信息
1 [5 s& f8 k5 c% c
- ~; o" H! B8 m二、申请文件证书 ! z9 V: i& D! I! a. z
1. 创建新的证书申请;
6 l1 Q8 y* G+ J* q, c/ o8 K 打开“控制面板——管理工具——Internet信息服务(IIS)管理器”,在默认Web站点上右键菜单中选择“属性”,点击“目录安全性”选项卡,在“安全通信”中点击按钮“服务器证书(S)…”,打开向导对话框。
$ n" y( p% d. {4 Q& p1 i& C
; }/ ]& h; K. b5 u : n% l4 o/ A% C( N2 w
2. 选择“新建证书(C)”,点击“下一步”,“下一步”,输入名称“MySoft”,选择位长“1024”位,点击“下一步”;
8 w% B, J3 L9 @4 \4 J1 l0 |- P2 l9 O 3. / b0 D. E% m* t+ E& L) f
系统出现“单位”、“部门”输入框,随便填写几个相关数据。点击“下一步”,出现“站点的公用名称”,保持默认,点击“下一步”,选择“国家”、“省”、“市”,点击“下一步”;
2 Z! |; t: R# W, l5 R 4. 系统出现“证书请求文件名”页面,选择您想要的文件名和存放位置。这里保持默认; ! p7 `( O& |4 y; p z! ^" i
5. $ j: J) Q9 I0 }7 k* M
点击“下一步”,点击“完成”就申请了一个证书。 ' O. M5 R2 u5 L6 } _& j% r- {( \
三、生成crt文件证书 X4 n+ A, P, `( |# H
1. + C- ^1 O" A8 ]9 e+ Z/ ]3 r
访问“http://localhost/certsrv/”,把刚才申请的证书提交证书颁发机构; , c9 H( n6 E( Y
0 A8 r# L$ |' H
& q0 A' V% b8 L1 v7 X2. 选择“申请一个证书——高级证书申请——使用 base64 编码的 CMC 或 PKCS #10
+ n8 @' h. w& e/ H& e+ c文件提交 一个证书申请,或使用 base64 编码的 PKCS #7 文件续订证书申请”; 1 \+ j. \: D- |9 l. w$ D
) U/ ~9 d2 h* U5 @% c 4 v: S1 w- |+ i$ @( v7 B" a6 [
3. 打开刚才生成的“certreq.txt”文件,把内容复制粘贴到这里。然后点击“提交”;
; H7 G2 ?/ C; [. J* k, h$ A 4. 您可以看到,您申请的证书已经收到,并且现在的状态是挂起; % ~7 a- b' U- \3 _; _
5.
4 R; q% u! d( j) `回到“控制面板——管理工具——证书颁发机构”组件,点击“挂起的申请”节点,可以看到您刚才的申请单; / X! b, I$ G: q) r* c
5 R( C$ ]) j4 x+ |( V6 C
7 S2 Q$ _. G7 m( R* w 6. 在证书上,右键菜单中选择“所有任务——颁发”,则证书就转移到了“颁发的证书”节点下
+ L* V1 ?, N" X( h9 W
7 z/ d5 C9 M3 x" B' p. L3 t) z+ ]3 p四、应用证书
3 }9 @: d3 G% P, m) H 到此为止,证书已经申请,并且颁发成功。下边看看如何启用这个证书。
2 q' {$ v! L9 v2 h' l. b 1. 访问“http://localhost/certsrv/”,选择“查看挂起的证书申请的状态——保存的申请证书”,注意选择“Base
: X1 c4 Q9 Q+ D8 i* W( A: q64 编码”,把证书下载到本地,文件名:“certnew.cer”; " }! {, S1 ^( q
2.
% s- O* j5 _9 M, W+ E6 L5 v/ B打开“控制面板——管理工具——Internet信息服务(IIS)管理器”,在默认Web站点上右键菜单中选择“属性”,点击“目录安全性”选项卡,在“安全通信”中点击按钮“服务器证书(S)…”,打开向导对话框,点击“下一步”; ' t3 d Z0 @. r: G, B8 A' Y6 M9 ]
- p% _% l' w0 k, P# Y6 w8 U- c
% C$ m$ t' i% s& G' o 小提示:这一次操作的向导对话框与此前一次有所不同了哦。
/ j# j9 t$ J2 M' C) N 3. # t+ |$ U8 x0 k
选择“处理挂起的请求并安装证书”,点击“下一步”,添加刚才下载的证书文件“certnew.cer”,点击“下一步”,“下一步”,完成向导; " K7 C' k. f0 @( u+ V7 }
4. 此时可以察看证书,编辑证书; ; f' i3 n N- G! y/ E& Y- M
5. 2 R9 B+ ~" D9 [0 W" i2 N
选择“编辑”,打开设置对话框,注意一定要勾选“要求安全通道(SSL)(R)”,点击“确定”完成最后的设置( O6 ^6 U& L: k$ R
- L6 w$ n" h9 W* r0 \. W五、开始使用
( x; M2 j7 \* P- \9 D0 g$ e 至此,我们已经完成了安全Web站点所需的全部设置,但是重新访问站点页面 & T) q; G/ c4 k$ X, L
“http://localhost/”时,却发现出现错误提示信息:“该页必须通过安全频道查看”。
5 ]( L% @* G' Y- N* z
& B1 ]/ X% p p" C3 d. g " I6 T& j- \+ h+ k# X! @+ f% J
重新以https协议访问站点:“https://localhost/”,出现一个使用证书的安全警报,选择“是”后,就可以正常看到我们所需的页面了。
, j# _3 {5 q _ |
发表于 2005-12-11 15:00
|