利用CA证书配置安全Web站点

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了利用CA证书配置安全Web站点相关的知识,希望对你有一定的参考价值。

安全套接字层(SSL)是一套提供身份验证、保密性和数据完整性的加密技术,属于传输层的协议。应用SSL最广泛的是HTTPS(给予SSL的HTTP)协议,用来在Web浏览器和Web服务器之间建立安全通信通道。

实验要求:客户端在网页上用HTTP方式访问Web发布的网站。

    准备工作:准备4台虚拟机,一台作为Web服务器,一台做CA证书服务器,一台搭建DNS服务器,最后一台作为客户端验证,网段我们采用192.168.100.X网段。客户端的IP是192.168.100.1,DNS是192.168.100.2,Web是192.168.100.3,CA服务器是192.168.100.4。

    CA服务器:准备工作,先关闭防火墙并且配置好IP地址。

技术图片

技术图片

    接下来进行CA服务器的搭建

    1.点击左下方的服务器管理器

技术图片

    2.点击左栏的角色,点击添加角色这个选项

技术图片

    3.接下来是CA服务器安装步骤

技术图片

技术图片

技术图片

    点击添加所需的角色服务

技术图片

    必须要勾选前两个

技术图片

技术图片

技术图片

技术图片

技术图片

技术图片

技术图片

技术图片

技术图片

技术图片

    然后点击完成,CA服务就此搭建好了,我们可以在IE浏览器中输入CA服务器ip地址+/certsrv    :192.168.100.4/certsrv 去查看申请证书的页面

    DNS的搭建:

    先关闭防火墙并且设置好ip地址

技术图片

技术图片

    接下来搭建DNS服务

    1.点击左下方的服务器管理器

技术图片

    2.点击右栏的角色,点击添加角色

技术图片

    3.DNS服务安装步骤

技术图片

    4.点击安装即可

技术图片

    搭建好DNS服务器之后,我们只需要在这个服务器中新建区域,添加一条web服务器的主机A记录际可。

技术图片

技术图片

技术图片

技术图片

技术图片

技术图片

    在com域下下建一个17w1.com的域

    右击com文件夹会出现一个新建域然后添加即可

技术图片

技术图片

    DNS上需要做的就已经做完了

    WEB服务器:

    先关闭防火墙并且配置IP地址

技术图片

技术图片

    接下来是WEB服务器搭建过程

    1.点击右下方的服务器管理器

技术图片

    2.点击右栏的角色,点击添加角色

技术图片

技术图片

技术图片

    然后点击安装就完成了。

    安装完成后我们通过管理工具中IIS管理器来打开web服管理器

技术图片

    我们需要在web服务器上去申请证书,然后在CA服务器上颁发证书,颁发完证书后,在web服务器上完成证书的创建,创建完成后我们才能应用证书。

    我们先在web服务器上申请证书

    点击服务器证书

技术图片

    点击右侧的创建证书申请

技术图片

    通用名称填写的是域名这个需要注意

技术图片

技术图片

    这个文件很重要,你在向证书服务器申请证书的时候会用到

技术图片

    接下来需要在web服务器的IE浏览器上地址栏输入192.168.100.4/certsrv去进行证书申请

    我们点击申请证书

技术图片

    我们应该点击高级证书申请,那还有两个选项也来介绍一下,那两个申请都是给客户端申请的证书,一个应用于浏览器,一个用于电子邮件,这个高级证书申请是向服务器申请。

技术图片

    我们选择使用base64……那一项

技术图片

    还记得我们在web管理器上申请证书时,最后那个保存的文件吗?我们打开那个文件后把base64码复制到保存的申请那栏,然后点击提交。

技术图片

技术图片

    这时需要我们在CA服务器端去进行证书的颁发。

技术图片

技术图片

    颁发完成后返回web服务器,我们去完成证书的申请。我们先把证书下载到本地。

    点击下载CA证书那一项

技术图片

技术图片

技术图片

    下载完成后需要在web服务器上完成证书的创建。

    点击右栏的完成证书申请那一项

技术图片

    将下载的证书导入

技术图片

    这一步完成后,我们通过新建一个网站去应用这个证书。

    点击右栏的添加网站

技术图片

    最后关于这个网站的SSL设置,是有说法的,如果你勾选要求SSL(Q)那么就必须使用https去访问,如果不勾选那么既可以使用http也可以使用https。

技术图片

    客户端认证

    点击继续浏览即可

技术图片

技术图片

            那么关于这个证书错误,是有解决错误的,还记得下载证书时有一个证书链下载吗?因为IE浏览器对这个证书不认可,因为IE浏览器内部受信任的根证书颁发机构是固定的那几个,而我们搭建的是私有CA肯定不被信任,我们可以把证书链导入IE浏览器就能解决这个问题。

        首先将证书链下载,然后在IE浏览器导航栏中选择工具,点击Internet 选项,点击内容,点击证书,找到受信任的根证书颁发机构这一栏,点击导入即可。

以上是关于利用CA证书配置安全Web站点的主要内容,如果未能解决你的问题,请参考以下文章

《信息安全技术》实验三 数字证书应用

SSL 证书链及 Web 服务器配置

SCCM的证书配置PKI

电子邮件安全

Win2012R2 Hyper-V初级教程11 — 安全管理之CA证书配置

https怎么获得证书,网站https访问证明弄?