SSL应用系列
SSL應(yīng)用系列之一:CA證書頒發(fā)機(jī)構(gòu)(中心)安裝圖文詳解 2009-03-19 17:55:15
標(biāo)簽:證書頒發(fā)機(jī)構(gòu)?CA?休閑?曬文章?職場(chǎng)
原創(chuàng)作品,允許轉(zhuǎn)載,轉(zhuǎn)載時(shí)請(qǐng)務(wù)必以超鏈接形式標(biāo)明文章?原始出處?、作者信息和本聲明。否則將追究法律責(zé)任。http://jeffyyko.blog.51cto.com/28563/140518
如果你需要在組織里發(fā)布exchange,或者需要給IIS配置SSL的訪問(wèn)方式,則需要部署CA,關(guān)于CA的應(yīng)用,后續(xù)會(huì)有幾篇文章來(lái)專門敘述,本文僅僅介紹CA證書頒發(fā)機(jī)構(gòu)的安裝,這也是SSL應(yīng)用的基礎(chǔ)工作。 閱讀本文,你將了解到以下內(nèi)容 ◆什么是CA及CA的作用 ◆安裝CA的準(zhǔn)備條件 ◆如何CA安裝 ◆何為根證書 在安裝CA前,我們需要了解什么是CA。字面上理解,CA即Certificate Authority ,也就是證書授權(quán)中心,對(duì)于這6個(gè)字,如何理解?來(lái)幫大家逐字分析一下: 中心:可以得知首先它是一個(gè)集中化的管理某種東西的一個(gè)系統(tǒng)或者說(shuō)是一個(gè)平臺(tái) 授權(quán):可以理解為,如果需要得到某種東西、或者實(shí)現(xiàn)某些目的需要通過(guò)這個(gè)中心進(jìn)行認(rèn)證,獲得許可以后才可以繼續(xù)操作。 證書:證書的最大作用就是通過(guò)某種東西來(lái)證明某種東西的合法性和存在性。 總結(jié)一下,為了實(shí)現(xiàn)證明及安全的目的,我們建立了一套系統(tǒng)或者平臺(tái),它可以用來(lái)證明某些事物的合法性和真實(shí)存在性,并且為此提供足夠強(qiáng)的保護(hù),從而來(lái)抵御外界的攻擊。這就是證書認(rèn)證系統(tǒng)或者證書授權(quán)中心。概念似乎很抽象,不過(guò)后面會(huì)講到更多的應(yīng)用,當(dāng)你理解這些應(yīng)用后,再回過(guò)頭來(lái)看這段話就會(huì)覺(jué)得很好理解。 我們開(kāi)始吧,首先介紹一下CA安裝的基礎(chǔ)環(huán)境。 基礎(chǔ)環(huán)境: 1、服務(wù)器版本操作系統(tǒng),2000ser或2003 ser ,2008 ser等 2、安裝CA前,請(qǐng)先安裝好IIS。 一、安裝CA 1、首先打開(kāi)添加與刪除程序,找到添加與刪除組件,找到證書服務(wù) 當(dāng)我們選中證書服務(wù)的時(shí)候,系統(tǒng)會(huì)彈出一個(gè)提示 大致意思是由于安裝CA后會(huì)將計(jì)算機(jī)名綁定到CA是并會(huì)存儲(chǔ)在活動(dòng)目錄中,所以裝完CA后無(wú)法修改計(jì)算機(jī)名稱,我們這里點(diǎn)擊YES, 這里有4種CA類型可供選擇。 有2大類,企業(yè)根CA和獨(dú)立根CA,各自又有一個(gè)從屬的CA。從屬CA是為上級(jí)CA授權(quán)給下級(jí)CA機(jī)構(gòu)來(lái)頒發(fā)證書準(zhǔn)備的,就范圍和功能性而言,企業(yè)CA較獨(dú)立CA更廣,更強(qiáng)大。比如獨(dú)立CA無(wú)法使用證書模板,而企業(yè)CA可以。還有一點(diǎn)就是一個(gè)網(wǎng)絡(luò)上首個(gè)安裝的CA必須為根CA,若是企業(yè)根CA則必須有域環(huán)境,這里我們就選擇第一個(gè),并點(diǎn)擊【Next】 在這個(gè)界面中,我們需要注意兩個(gè)地方, 1、common name for this ca? 這里的名稱其實(shí)和之后要申請(qǐng)的公共名稱沒(méi)有太大關(guān)聯(lián),我們可以自己命名,因?yàn)檫@個(gè)只是給我們要安裝的CA起的一個(gè)可識(shí)別的名稱而已,沒(méi)有實(shí)際含義。所以這里 我寫的是ca01,請(qǐng)大家不要和申請(qǐng)SSL或者發(fā)布OWA時(shí)所輸入的公共名稱相混淆。 2、Validity period 這個(gè)是安裝的CA機(jī)構(gòu)可正常運(yùn)行的期限,即自安裝日起5年內(nèi)可以正常處理各種類型的證書的申請(qǐng)請(qǐng)求。當(dāng)然你也可以手動(dòng)更改,在右側(cè)會(huì)出現(xiàn)相應(yīng)的過(guò)期日期。 輸入根CA的名稱后,點(diǎn)擊【Next】,經(jīng)過(guò)一個(gè)很簡(jiǎn)短的過(guò)程之后,出現(xiàn)以下圖示: 我們可以設(shè)置CA證書的數(shù)據(jù)庫(kù)以及日志的存放路徑,一般默認(rèn)即可,點(diǎn)擊【Next】繼續(xù),此時(shí)會(huì)彈出一個(gè)提示窗口,如下圖示: 意思是,要完成CA的安裝,需要臨時(shí)停止IIS服務(wù)器,由于我這里IIS上沒(méi)有運(yùn)行web,所以可以直接點(diǎn)YES,這點(diǎn)請(qǐng)留意。 確定后,就開(kāi)始自動(dòng)安裝CA組件了。 安裝過(guò)程中,如果你沒(méi)有事先啟用IIS6里的ASP的話,就會(huì)出現(xiàn)下面的提示,此時(shí)只需確定即可。 經(jīng)過(guò)大概1、2分鐘的安裝過(guò)程后,CA組件順序安裝完畢。 點(diǎn)擊Finish完成整個(gè)過(guò)程。 二、查看CA CA已安裝,但在哪里查看呢?別急,我們可以通過(guò)2個(gè)辦法來(lái)實(shí)現(xiàn) 1、可以依次點(diǎn)擊 開(kāi)始/程序/管理工具/Certification Authority 2、也可以在命令窗口內(nèi)輸入certsrv.msc,確定后直接打開(kāi)CA 2種方法效果都是一樣的,我們選用第二種方法。 下面是打開(kāi)的主界面 這里我們可以看到ca01這個(gè)名稱,熟悉嗎? 對(duì)了,這就是我們?cè)谏暾?qǐng)CA的時(shí)候輸入的CA機(jī)構(gòu)的名稱,請(qǐng)記住,這僅僅是一個(gè)名稱,對(duì)以后申請(qǐng)各類應(yīng)用型的證書沒(méi)有任何影響。 下面5個(gè)文件夾分別是【吊銷的證書】、【已頒發(fā)的證書】、【掛起的請(qǐng)求】、【失敗的請(qǐng)求】、【證書模板】,這里不做細(xì)述,以后用到的時(shí)候再講,其實(shí)很簡(jiǎn)單。 在這里我想和大家討論的一個(gè)概念,就是“根證書”。其實(shí)當(dāng)我們把CA機(jī)構(gòu)創(chuàng)建完畢后,它的基本功能就是它將為其他應(yīng)用程序或者服務(wù)器等頒發(fā)及管理證書,在安裝完畢后,它會(huì)給自己頒發(fā)一個(gè)證書,也就是root certificate 根證書,而且是自己信任自己的,那在哪里查看呢??? 右鍵ca01,選擇【屬性】,如下圖: 我們可以很清晰的看到有一個(gè)certificate #0的證書,這就是ca01這個(gè)CA頒發(fā)機(jī)構(gòu)的根證書。點(diǎn)擊右下角的View Certificate ,可以查看根證書的詳細(xì)屬性。 【常規(guī)】選項(xiàng)卡,這里可以看到很簡(jiǎn)要的信息,比如頒發(fā)者ca01,頒發(fā)給ca01,也就是自己給自己頒發(fā),很簡(jiǎn)單,它是根CA,也是該網(wǎng)絡(luò)里的第一臺(tái)CA證書服務(wù)器,只能自己給自己頒發(fā)一個(gè)根證書,為什么要這么做呢?原因有兩點(diǎn),1、它是最高級(jí)別的CA? 2、為后面申請(qǐng)的CA證書提供認(rèn)證。 【詳細(xì)信息】選項(xiàng)卡,這里不但可以查看證書的一些基本信息,包括證書版本,生效日期,以及失效日期,還有算法及加密信息等。 右下角有一個(gè) copy to file,我們可以利用這個(gè)選項(xiàng)將根證書導(dǎo)出為3種不同的格式,我會(huì)在后面的教程中說(shuō)到。 【證書路徑】選項(xiàng)卡,這里顯示的是證書體系的邏輯結(jié)構(gòu),因?yàn)槲椰F(xiàn)在只有根證書,所以也只能看到自己了。 OK,關(guān)于CA安裝的圖文詳解先寫到這里,后面還會(huì)有相關(guān)的文章,盡請(qǐng)期待! To be continued .. SSL應(yīng)用系列之二:為Web站點(diǎn)實(shí)現(xiàn)SSL加密訪問(wèn) 2009-03-22 16:15:53 標(biāo)簽:CA?加密網(wǎng)站?SSL?2種方法?曬文章 原創(chuàng)作品,允許轉(zhuǎn)載,轉(zhuǎn)載時(shí)請(qǐng)務(wù)必以超鏈接形式標(biāo)明文章?原始出處?、作者信息和本聲明。否則將追究法律責(zé)任。http://jeffyyko.blog.51cto.com/28563/141322 上一節(jié)中,我們討論過(guò)有關(guān)CA作用及安裝,本節(jié)我會(huì)通過(guò)給一個(gè)web站點(diǎn)設(shè)置SSL加密訪問(wèn),來(lái)加深對(duì)CA的理解。 通過(guò)閱讀本文,你將了解到以下內(nèi)容 ◆如何通俗化理解SSL ◆演示2種為web網(wǎng)頁(yè)申請(qǐng)安全證書的方法 ◆通過(guò)實(shí)例理解Common? Name名稱的作用 ◆討論為什么訪問(wèn)證書服務(wù)器時(shí)需要輸入用戶名和密碼 本文導(dǎo)讀目錄 ? 一、如何理解SSL 二、為Web站點(diǎn)申請(qǐng)CA證書并測(cè)試SSL(兩種方法) ???????1、第一種方法 ???????????????1)建立測(cè)試站點(diǎn) ????????????????2)通過(guò)Web網(wǎng)頁(yè)申請(qǐng)網(wǎng)站證書。 ??????????????????????????? ?第一步,申請(qǐng)請(qǐng)求文件。??? ?????????????????????????????第二步,提交請(qǐng)求文件。 ?????????????????????????????第三步,導(dǎo)入web證書。 ?????????????????????????????第四步,測(cè)試SSL網(wǎng)站。 ???????2、第二種方法 ??????????????????????????? ?第一步,移除當(dāng)前SSL證書。??? ?????????????????????????????第二步,建立測(cè)試站點(diǎn)。 ?????????????????????????????第三步,通過(guò)IIS申請(qǐng)證書。 ?????????????????????????????第四步,測(cè)試SSL網(wǎng)站。 三、小插曲:討論訪問(wèn)證書服務(wù)器時(shí)為何需要輸入用戶和密碼? ? ? 一、如何理解 SSL 按照慣例,從基礎(chǔ)概念上介紹一下SSL,即Secure Socket Layer 安全套接層。最初是由Netscape開(kāi)發(fā)的一種國(guó)際標(biāo)準(zhǔn)的加密及身份認(rèn)證通信協(xié)議,它的作用是訪問(wèn)端和被訪問(wèn)端,或應(yīng)用端和服務(wù)器端之間建立一條相對(duì)獨(dú)立的、安全的通道,并利用自身的數(shù)學(xué)加密算法對(duì)來(lái)往的信息進(jìn)行嚴(yán)格加密,從而保證數(shù)據(jù)在此通道內(nèi)傳輸時(shí)擁有足夠的安全性。 那,有朋友可能會(huì)想到https,這又是什么呢?幾句話,保證讓你明白它和ssl之間的關(guān)系,https也出自Netscape,簡(jiǎn)單講它是HTTP協(xié)議的安全版本,即是在http的基礎(chǔ)上加入了ssl層,https的安全基礎(chǔ)就是SSL,也就是說(shuō)單有https協(xié)議,沒(méi)有ssl的輔助是無(wú)法實(shí)現(xiàn)加密的! 網(wǎng)絡(luò)上,https和ssl隨處可見(jiàn)。當(dāng)訪問(wèn)一些銀行網(wǎng)站,尤其是需要你輸入一些私密信息比如帳號(hào)、密碼的時(shí)候,請(qǐng)注意觀察瀏覽器地址欄的兩頭,最左邊和最右邊,一定會(huì)看到https和ssl的身影。以招商銀行為例,我們進(jìn)入招行主頁(yè)[url]http://www.cmbchina.com/[/url]? 點(diǎn)擊右下方的【個(gè)人銀行大眾版】,即[url]https://pbsz.ebank.cmbchina.com/CmbBank_GenShell/UI/GenShellPC/Login/Login.aspx[/url] 我們可以看到這樣的一個(gè)界面: 請(qǐng)注意上圖的2個(gè)紅色框框,左側(cè)的HTTPS開(kāi)頭的地址表明此時(shí)網(wǎng)頁(yè)傳輸協(xié)議用的就是HTTPS安全協(xié)議,右側(cè)的是那把黃色的小鎖表明已經(jīng)啟用了SSL鏈接。 我們單擊一下那個(gè)小鎖,會(huì)看得更清楚些,如圖: 參照本系列的第一節(jié)講到的相關(guān)知識(shí),我們知道這個(gè)證書的頒發(fā)者:VeriSign Class 3 Extended Validation SSL SGC CA 其實(shí)不僅僅含有頒發(fā)者的信息,我們來(lái)稍微分析一下吧: VerSign,美國(guó)的一家很著名提供智能信息基礎(chǔ)設(shè)施服務(wù)的服務(wù)商。 Class 3 Extended Validation,即為第三代擴(kuò)展驗(yàn)證 SGC SSL :SGC即Server Gated Cryptography,是在現(xiàn)有的SSL標(biāo)準(zhǔn)基礎(chǔ)上增加的一種增強(qiáng)密鑰用法(EKU)。 OK,我們今天實(shí)驗(yàn)的目的就是想實(shí)現(xiàn)類似的功能 1、使用https協(xié)議來(lái)訪問(wèn)我們的測(cè)試站點(diǎn) 2、出現(xiàn)如上圖的小鎖圖標(biāo),并可以查看證書信息。 ? 二、為Web站點(diǎn)申請(qǐng)CA證書并測(cè)試SSL(兩種方法) ? 第一種方法: ? 基礎(chǔ)工作 1、已安裝IIS組件 (此文還在編輯中,稍后放出) 2、已安裝CA組件(請(qǐng)參考SSL應(yīng)用系列之一:CA證書頒發(fā)機(jī)構(gòu)(中心)安裝圖文詳解) 1) 建立測(cè)試站點(diǎn) ? 1、我在F盤上建了一個(gè)testweb文件夾,里面有一個(gè)臨時(shí)站點(diǎn),目錄為Errpage。 里面有2個(gè)文件,這就是我們今天要測(cè)試的網(wǎng)頁(yè)。 OK,下面我們到IIS里將這個(gè)站點(diǎn)應(yīng)用起來(lái)。(具體過(guò)程非本節(jié)重點(diǎn),故在此省略) 經(jīng)過(guò)一些簡(jiǎn)單的設(shè)置后,我們可以在IIS中順利瀏覽測(cè)試頁(yè)面。 本機(jī)的IP為10.0.0.252,下面是在IE7里的訪問(wèn)頁(yè)面,大家可以看到此時(shí)并沒(méi)有https及安全鎖標(biāo)記。 ? 為測(cè)試網(wǎng)站申請(qǐng)證書,也就是為我們的IIS Web服務(wù)器申請(qǐng)一個(gè)CA證書。我們有兩種辦法來(lái)完成證書的申請(qǐng),我們來(lái)一一演示。 2) 通過(guò)Web網(wǎng)頁(yè)申請(qǐng)網(wǎng)站證書。 ? 第一步,申請(qǐng)請(qǐng)求文件。 ? 使用這種辦法申請(qǐng)證書,那么首先需要為指定的站點(diǎn)申請(qǐng)一份請(qǐng)求證書文件,打開(kāi)IIS,找到特定的站點(diǎn),我們這里是testweb, 在這個(gè)站點(diǎn)上右擊,選擇【屬性】,再選擇【目錄安全性】選項(xiàng)卡 點(diǎn)擊紅色方框處的【服務(wù)器證書】,然后【Next】 上圖中的設(shè)置一般我們不作修改,默認(rèn)即可。點(diǎn)擊【Next】繼續(xù) 紅框的內(nèi)容可以自己填寫,此處無(wú)關(guān)緊要,點(diǎn)擊【Next】繼續(xù) ????????這里的Common name是一個(gè)很重要的地方,默認(rèn)是本機(jī)的計(jì)算機(jī)名,這里填寫的內(nèi)容將直接影響后續(xù)的訪問(wèn)過(guò)程,如果你的網(wǎng)站要在外部訪問(wèn),那么一定要寫上外網(wǎng)的訪問(wèn)地址,比如[url]www.mypage.com[/url]這樣的地址,當(dāng)然不一定非要用www開(kāi)頭,只要是輸入的地址已經(jīng)做好的相應(yīng)的解析記錄就行,比如web.mypage.com,其中,mypage.com是你申請(qǐng)的外網(wǎng)域名。我們這里暫且用計(jì)算機(jī)名代替,后面還會(huì)說(shuō)到這個(gè)問(wèn)題。點(diǎn)擊【Next】繼續(xù) 紅框的內(nèi)容可以自己填寫,此處無(wú)關(guān)緊要,點(diǎn)擊【Next】繼續(xù) ???????certreq.txt就是針對(duì)這個(gè)站點(diǎn)生成的請(qǐng)求文件,為什么說(shuō)是針對(duì)這個(gè)站點(diǎn)呢?還記得輸入common name的那一步嗎?我們輸入的common name已經(jīng)包含在請(qǐng)求文件里,稍后會(huì)用到這個(gè)文件來(lái)制作證書。默認(rèn)存放在C盤根目錄下,我們也可以手工指定。點(diǎn)擊【Next】繼續(xù) 查看證書的基本信息,如果確認(rèn)無(wú)誤,點(diǎn)擊【Next】繼續(xù) OK,至此,證書的請(qǐng)求文件制作完畢。 第二步,提交請(qǐng)求文件。 在C盤目錄下,找到剛才生成的請(qǐng)求文件下certreq.txt,如下圖 這是經(jīng)過(guò)加密后的文件,不用理會(huì)里面的內(nèi)容,也用不著理會(huì),ctrl+A全選并復(fù)制。然后打開(kāi)證書的web申請(qǐng)頁(yè)面,由于CA也裝在10.0.0.252這臺(tái)服務(wù)器上,為了方便訪問(wèn),我在本地網(wǎng)卡上添加了另一個(gè)IP地址 10.0.0.253來(lái)作為證書服務(wù)的訪問(wèn)地址,直接在瀏覽器里輸入10.0.0.253/certsrv來(lái)訪問(wèn)CA證書Web申請(qǐng)頁(yè)面: 此時(shí)彈出一個(gè)提示框,讓我們輸入用戶和密碼,這里我們輸入本機(jī)帳戶信息 確定后,就可以看到證書申請(qǐng)頁(yè)面了 如上圖所示,選擇第一個(gè)Request a certificate 如上圖所示,選擇advanced certificate request 因?yàn)槲覀円呀?jīng)有了一份證書請(qǐng)求文件,所以選擇第二項(xiàng), 請(qǐng)注意兩個(gè)地方: 1、第一個(gè)紅框需要填入的內(nèi)容就是我們剛才復(fù)制的那一長(zhǎng)串字符;在下方有一個(gè)Browse for a file to insert,也可以點(diǎn)擊直接導(dǎo)入certreq.txt的文件,這2種方法都可以。 2、最下方,有一個(gè)證書模板,我們需要選擇Web Server 類型。 操作完畢后,點(diǎn)擊右下角的Submit完成提交。 當(dāng)出現(xiàn)上面圖示時(shí),表明證書申請(qǐng)完畢,這里有2兩種編碼格式可供選擇,一般選擇Base 64 encoded。 下面有兩個(gè)鏈接,一個(gè)是申請(qǐng)到的證書文件,另一個(gè)是證書鏈。 有個(gè)概念,什么是證書鏈? 其實(shí),證書鏈里面包含2個(gè)文件,一個(gè)是當(dāng)前的證書,一個(gè)是CA的根證書。 現(xiàn)在我們只需要證書文件,所以點(diǎn)擊Download certificate后,出現(xiàn)如下提示: 點(diǎn)擊save,任選一個(gè)位置保存下來(lái),這個(gè)文件就是我們?yōu)閠estweb站點(diǎn)申請(qǐng)的證書。 OK,至此,Web證書制作完畢。 第三步,導(dǎo)入Web證書。 ? 打開(kāi)testweb站點(diǎn)的屬性,找到【目錄安全性】,如下圖: 我們這里選擇第一個(gè)選項(xiàng),意思是處理一個(gè)掛起的請(qǐng)求并安裝證書。 此時(shí)需要把我們剛才保存好的證書文件導(dǎo)入進(jìn)去,點(diǎn)擊Browse進(jìn)行瀏覽。點(diǎn)擊【Next】繼續(xù) 上圖中的443就是SSL默認(rèn)的端口,我們不建議修改,默認(rèn)即可。點(diǎn)擊【Next】繼續(xù) 這個(gè)是一個(gè)概覽信息,若無(wú)誤,點(diǎn)擊【Next】繼續(xù) OK,至此,Web證書導(dǎo)入完畢。 第四步,測(cè)試SSL網(wǎng)站。 ? ?????在測(cè)試SSL之前,我們還需要設(shè)置一個(gè)地方。依然找到【目錄安全性】,如下圖選擇,并更改相應(yīng)設(shè)置 這樣設(shè)置是為了開(kāi)啟此站點(diǎn)的SSL功能,否則SSL也不會(huì)正式生效。 OK,一切就緒。我們開(kāi)始測(cè)試SSL站點(diǎn)是否成功。 我們先按照之前的習(xí)慣來(lái)訪問(wèn)一下,如下圖: 請(qǐng)注意上面2個(gè)標(biāo)記紅框的地方,很明顯,如果依然使用http協(xié)議訪問(wèn),就會(huì)失敗,并出現(xiàn)提示,告訴我們需要使用https進(jìn)行訪問(wèn)。
OK,我們輸入[url]https://10.0.0.252[/url]來(lái)試一下 我已經(jīng)改成了https訪問(wèn),此時(shí)彈出一個(gè)對(duì)話框,第一個(gè)嘆號(hào)說(shuō)明證書本地并不信任這個(gè)證書的CA,如果想讓我的計(jì)算機(jī)信任此證書,就需要把ca01上的根證書導(dǎo)入到本機(jī)的受信任的證書頒發(fā)機(jī)構(gòu)中才可以。 這個(gè)是我做了此操作后的效果,第一個(gè)嘆號(hào)已經(jīng)沒(méi)有了。 下面我們重點(diǎn)說(shuō)一下第二個(gè)嘆號(hào)。為什么是這個(gè)提示? 大家是否還記得,我們?cè)谏暾?qǐng)證書請(qǐng)求文件的時(shí)候填入的common name 是什么嗎? 對(duì)了,是 DC01,而且我也說(shuō)過(guò),我們?cè)L問(wèn)地址里的名稱一定要和common name 一致。請(qǐng)仔細(xì)觀察下面兩張圖,看有什么異同: 請(qǐng)大家仔細(xì)觀察2張圖內(nèi)標(biāo)記紅色框的地方。 ????????? 解釋:下面的那張圖的訪問(wèn)地址和之前的都不一樣,使用的是dc01,而這個(gè)名稱正好和common name 一致,所以就不會(huì)彈出證書提示框,也就是說(shuō)此時(shí),安全證書的名稱和站點(diǎn)名稱相匹配,所以會(huì)直接進(jìn)入頁(yè)面。在地址欄的右側(cè)也可以看到一個(gè)黃色的小鎖。 OK,至此第一種申請(qǐng)網(wǎng)站證書的辦法已經(jīng)演示完畢,并做了測(cè)試。 ------------------------------------------------------------------------------------------------------ 第二種方法: ? 1) 移除當(dāng)前網(wǎng)站證書。 我們來(lái)討論一下申請(qǐng)證書的第二種方法,為了避免干擾。我們先把剛才做得證書移除掉。 依然找到【目錄安全性】,點(diǎn)擊【服務(wù)器證書】,【Next】后,進(jìn)入以下畫面: 選擇,移除當(dāng)前的證書,點(diǎn)擊【Next】 如果確認(rèn),點(diǎn)擊【Next】,即可完成證書移除。 此時(shí),再通過(guò)[url]https://10.0.0.252/[/url]這個(gè)地址將無(wú)法網(wǎng)站。 2) 建立測(cè)試站點(diǎn)。 方便起見(jiàn),亦然用之前站點(diǎn)作為測(cè)試對(duì)象,所以此步驟省略,同上。 3) 通過(guò)IIS申請(qǐng)證書 依然找到【目錄安全性】,點(diǎn)擊【服務(wù)器證書】,【Next】后,進(jìn)入以下畫面: 與第一種方法不同,我們這里選擇第二個(gè),即發(fā)送請(qǐng)求到一個(gè)在線CA Common Name ,這個(gè)地方我們依然默認(rèn)為dc01 4) 測(cè)試SSL網(wǎng)站 ???我們還需要做一下簡(jiǎn)單設(shè)置,如下圖: 至此,第二種申請(qǐng)網(wǎng)站證書的辦法描述完畢,測(cè)試的細(xì)節(jié)和要點(diǎn)和第一種方式一樣,這里就不再細(xì)說(shuō)了。 三、小插曲:討論訪問(wèn)證書服務(wù)器時(shí)為何需要輸入用戶和密碼? 大家可以發(fā)現(xiàn),這時(shí)會(huì)彈出一個(gè)對(duì)話框,讓你輸入用戶和密碼,其實(shí)也就是本機(jī)管理員的帳戶和密碼,輸入正確即可訪問(wèn)。 細(xì)心的朋友可能要問(wèn)了,為什么這里會(huì)出現(xiàn)這個(gè)提示讓我們輸入驗(yàn)證信息呢?是的,簡(jiǎn)單回答,就是為了保證CA服務(wù)器的安全性,那我們是否可以去掉呢??答案是,完全可以。其實(shí),這里面有一個(gè)知識(shí)點(diǎn),請(qǐng)大家注意certsrv這個(gè)目錄,如圖: 就是這個(gè)目錄,我們看一下它的屬性,關(guān)鍵是【目錄安全】這個(gè)選項(xiàng)卡。 我們可以看到藍(lán)色選項(xiàng)卡里有一個(gè)勾,并未選中,如果選中后,我們?cè)俅嗽L問(wèn)10.0.0.253/certsrv的時(shí)候就可以直接訪問(wèn),而無(wú)需輸入任何身份信息。為什么呢? 因?yàn)镮USR_DC01是在IIS安裝完成后自動(dòng)建立的一個(gè)特殊的用戶,默認(rèn)情況下,當(dāng)我們?cè)L問(wèn)IIS下的某一站點(diǎn)時(shí)候,IIS在處理訪問(wèn)請(qǐng)求的時(shí)候都是通過(guò)IUSR_DC01這個(gè)用戶來(lái)進(jìn)行驗(yàn)證并返回結(jié)果的。而在創(chuàng)建CA的時(shí)候默認(rèn)這個(gè)勾就被取消,所以我們?cè)L問(wèn)的時(shí)候就會(huì)出現(xiàn)輸入用戶信息的提示。 只要把勾打上,以后再訪問(wèn)就不會(huì)有什么提示了。但建議大家還是不要去更改默認(rèn)設(shè)置,安全還是要放在首位的。
SSL應(yīng)用系列之三:去掉討厭的證書提示警告(多圖精解) 2009-03-25 12:14:14 標(biāo)簽:證書?CA?警告?提示窗口?曬文章 原創(chuàng)作品,允許轉(zhuǎn)載,轉(zhuǎn)載時(shí)請(qǐng)務(wù)必以超鏈接形式標(biāo)明文章?原始出處?、作者信息和本聲明。否則將追究法律責(zé)任。http://jeffyyko.blog.51cto.com/28563/142280 其實(shí),本節(jié)討論的內(nèi)容應(yīng)該歸屬于CA系列的,但其中涉及到的內(nèi)容和SSL應(yīng)用系列之二比較緊密,在之二一文中未能詳細(xì)描述,所以就把這個(gè)內(nèi)容作為SSL應(yīng)用系列之三來(lái)講解了,其實(shí),SSL、CA、IIS等這些東西都是相互關(guān)聯(lián),很難獨(dú)立存在。 廢話不多說(shuō),今天主要和大家討論一下為什么會(huì)有證書提示警告及如何取消。 閱讀本文,你將了解到以下內(nèi)容 ◆為什么會(huì)有證書提示窗口 ◆什么情況下會(huì)出現(xiàn)提示窗口 ◆2種導(dǎo)入根證書的方法 ◆如何取消窗口提示 本文導(dǎo)讀目錄 ? 一、分析證書出現(xiàn)提示框的原因 二、分三種情況進(jìn)行討論 三、依據(jù)三個(gè)提示分析解決步驟 ???????? 第一個(gè)提示:證書不被信任,分析與解決 第二個(gè)提示:證書時(shí)間過(guò)期,分析與解決 第三個(gè)提示:證書名稱無(wú)效或不匹配,分析與解決 ? 我們還是以SSL應(yīng)用系列之二里的一個(gè)website的例子作為開(kāi)始。????? 一、為什么會(huì)有證書提示窗口 我們知道,在證書提示窗口上,一共會(huì)體現(xiàn)出三個(gè)信息如圖: 第一個(gè)提示:此證書是否由受信任的證書頒發(fā)機(jī)構(gòu)頒發(fā) 如果是,則為綠色√,否則就會(huì)出現(xiàn)黃色嘆號(hào) 第二個(gè)提示:此證書是否在有效期內(nèi) 如果是,則為綠色√,否則就會(huì)出現(xiàn)黃色嘆號(hào) 第三個(gè)提示:證書上的名稱與站點(diǎn)名稱是否匹配 如果是,則為綠色√,否則就會(huì)出現(xiàn)黃色嘆號(hào) OK,如果三個(gè)提示的結(jié)果均為綠色√,那么就直接解析后面的網(wǎng)頁(yè),而不會(huì)有任何提示。反之,有任何一個(gè)不滿足,則會(huì)出現(xiàn)類似上述的提示。 現(xiàn)在大家應(yīng)該知道,為什么會(huì)出現(xiàn)提示了吧,其實(shí)這也是微軟處于安全考慮的一項(xiàng)措施,因?yàn)槿绻覀兒雎赃@些提示,一樣可以順利的訪問(wèn)網(wǎng)站。 OK,現(xiàn)在我們就上面的提示,一個(gè)個(gè)來(lái)講解。 第一個(gè)提示: 為什么會(huì)有此提示? 其實(shí),在我們安裝好Windows后,系統(tǒng)就會(huì)內(nèi)置100多個(gè)證書,其實(shí)這些證書都是世界知名公司、企業(yè)、或機(jī)構(gòu)的根證書,我們?cè)谠L問(wèn)某些由 這部分證書頒發(fā)機(jī)構(gòu)頒發(fā)的證書加密的網(wǎng)站時(shí),就不會(huì)出現(xiàn)第一個(gè)提示錯(cuò)誤的情況,為什么這么說(shuō)?因?yàn)楸緳C(jī)里的受信任根證書頒發(fā)機(jī)構(gòu)里有了這些根證書,也就相當(dāng)于,本機(jī)信任這些根證書機(jī)構(gòu)頒發(fā)的證書。 不知道大家有沒(méi)有理解這句話?。我來(lái)舉個(gè)例子,比如證書頒發(fā)機(jī)構(gòu)相當(dāng)于公安部,每個(gè)人的身份證則相當(dāng)于自己的一份獨(dú)有的證書,在很多場(chǎng)合或環(huán)境下,為了表明自己的身份,就需要出示自己的身份證,因?yàn)樯厦嬗形覀兊囊恍┖芑拘畔?#xff0c;這些信息足以證明我就是本人,對(duì)方在查看身份證的時(shí)候,就類似瀏覽器在檢查某個(gè)證書是否合法,因?yàn)槲覀兌贾郎矸葑C是由公安部這個(gè)權(quán)威部門,由這個(gè)部門頒發(fā)的身份證一定是真實(shí)有效的,所以就自然認(rèn)定你就是本人。類似的,本機(jī)里預(yù)裝的100多個(gè)可信任的根證書頒發(fā)機(jī)構(gòu)就等同于我們的腦海里的公安部。當(dāng)瀏覽器檢測(cè)到一個(gè)新證書時(shí),它回去查看證書的頒發(fā)者是否在自己的信任機(jī)構(gòu)內(nèi),如果是,則就會(huì)信任這份證書,否則就不信任,此時(shí)就會(huì)彈出這樣的提示,告訴你,瀏覽器檢測(cè)到的這份證書并不是受信任的根證書頒發(fā)機(jī)構(gòu)。 說(shuō)了那么一大段,希望可以幫助你理解第一個(gè)提示出現(xiàn)的原因。可能有朋友要問(wèn)怎么查看這些根機(jī)構(gòu)? 其實(shí)很簡(jiǎn)單,打開(kāi)IE瀏覽器,選擇 【工具】/【internet屬性】/【內(nèi)容】/【證書】/【受信任的根證書頒發(fā)機(jī)構(gòu)】,如下圖: 這些便是預(yù)設(shè)的受信任的根證書頒發(fā)機(jī)構(gòu)。 知道原因,問(wèn)題就好解決了。 為了方便實(shí)驗(yàn),我已經(jīng)將環(huán)境搭建完畢,如下圖: 如果我們把根證書加到本機(jī)的受信任的根證書頒發(fā)機(jī)構(gòu)內(nèi),問(wèn)題不就解決了么! OK,這里我會(huì)告訴大家2種方法來(lái)將此證書添加至本地的受信任證書機(jī)構(gòu)內(nèi)。 方法一:證書鏈安裝法 這個(gè)應(yīng)該是最簡(jiǎn)單的方法了,下列是操作步驟: 首先進(jìn)入[url]http://ip/certsrv[/url]? 也就是證書的網(wǎng)頁(yè)申請(qǐng)頁(yè)面,然后依照?qǐng)D示操作: 點(diǎn)擊【Y】之后,根證書就導(dǎo)入到當(dāng)前用戶的證書里了。但請(qǐng)注意,沒(méi)有說(shuō)導(dǎo)入到本地計(jì)算機(jī),而是當(dāng)前用戶,為什么呢?我們知道,默認(rèn)使用certmgr.msc打開(kāi)的就是當(dāng)前用戶的證書管理器,如果想打開(kāi)本地計(jì)算機(jī)的證書管理器,需要用到mmc命令來(lái)添加,具體操作就不詳述了,這個(gè)會(huì)放到CA系列里再講。 我們到證書管理器里看有沒(méi)有這個(gè)證書,用certmgr.msc打開(kāi),然后找到下列位置: 從指紋碼上我們可以看到,這個(gè)就是剛才導(dǎo)入的根證書,我們導(dǎo)入根CA的證書鏈,里面就包含了根證書。 OK,根證書已導(dǎo)入完畢,我們來(lái)看看效果: 大家可以看到,安裝了根證書后,第一個(gè)嘆號(hào)就去掉了。 可能有網(wǎng)友會(huì)問(wèn),當(dāng)前用戶和本地計(jì)算機(jī)有什么區(qū)別呢?一句話,將證書導(dǎo)入到當(dāng)前用戶的根信任區(qū)域只能在此用戶下得到信任,而導(dǎo)入到本地計(jì)算機(jī)則是針對(duì)本機(jī)的,所以是個(gè)應(yīng)用范圍大小的問(wèn)題。 這個(gè)方法有一定的局限性,一般內(nèi)網(wǎng)用的比較多,當(dāng)然你也可以把證書申請(qǐng)頁(yè)面發(fā)布出去,這樣外網(wǎng)也可以直接導(dǎo)入了。 方法二:根證書導(dǎo)入法 獲取根證書的方法有很多,這里只說(shuō)一種,其余方法會(huì)在CA系列里詳述。 我們可以直接到CA頒發(fā)機(jī)構(gòu)里導(dǎo)出根證書。 在【運(yùn)行】輸入certsrv.msc,打開(kāi)CA 右鍵CA名稱,選擇屬性。 點(diǎn)擊【Finish】即可完成證書的導(dǎo)出。 證書導(dǎo)出后,剩下的就是導(dǎo)入的操作了。 點(diǎn)擊【運(yùn)行】,輸入mmc,打開(kāi)控制臺(tái)后 選擇【文件】/【添加/刪除管理單元】,然后依圖所示 之后一直確定即可完成添加。 然后,如下圖: 然后瀏覽到剛才保存的根證書文件,導(dǎo)入即可。 我們來(lái)看一下效果。 OK,這樣第一個(gè)提示嘆號(hào)的問(wèn)題就解決了。 第二個(gè)提示: ?????????這個(gè)應(yīng)該是最不容易出問(wèn)題的了,如果當(dāng)前時(shí)間在證書的有效期內(nèi),就沒(méi)問(wèn)題。這里只想和大家說(shuō)一點(diǎn),就是需要區(qū)分證書頒發(fā)機(jī)構(gòu)的有效期和證書有效期。咋一看很相似,其實(shí)還是有一定區(qū)別的。不知道大家是否記得,在安裝CA的時(shí)候,會(huì)提示讓我們?cè)O(shè)置一個(gè)時(shí)間,如下圖: 這個(gè)時(shí)間就是證書頒發(fā)機(jī)構(gòu)的有效期,默認(rèn)為5年,請(qǐng)注意企業(yè)根CA和獨(dú)立根CA機(jī)構(gòu)的默認(rèn)期限均為5年。但所申請(qǐng)的證書,前者默認(rèn)為2年,后者則默認(rèn)為1年。 第三個(gè)提示: 最后一個(gè)應(yīng)該是老生常談的問(wèn)題了,論壇里也有不少解決辦法,但都很零星,這里做個(gè)小結(jié)希望可以幫到大家。 我們來(lái)舉一個(gè)例子,這里我們來(lái)搭建一個(gè)SSL加密的網(wǎng)站環(huán)境。由于在SSL應(yīng)用之二中已經(jīng)有較詳細(xì)的步驟說(shuō)明,這里就只截取一些重要的圖進(jìn)行講解,望見(jiàn)諒。 首先交代一下環(huán)境 計(jì)算機(jī)名稱:DC01 CA機(jī)構(gòu)名稱:CA01 本機(jī)的一個(gè)IP:10.0.0.25 這里我們用上一篇文章的第二種方法為這個(gè)站點(diǎn)申請(qǐng)證書,如下圖示: 請(qǐng)大家注意紅色框里的內(nèi)容,這里讓我們輸入的是這個(gè)證書的common name,也就是通用名。這個(gè)名稱非常重要,因?yàn)樵谏傻淖C書的Issued to 后面的就是這里的通用名,默認(rèn)為該計(jì)算機(jī)的名稱。請(qǐng)大家記住這里的ca01,后面會(huì)用的到。 這里不做修改,直接繼續(xù),后面的步驟省略。 申請(qǐng)完成后,證書就是這樣的: 頒發(fā)的對(duì)象就是我們?cè)赾ommon name 里填寫的名稱,是一模一樣的。 OK,我們來(lái)試著訪問(wèn)一下。 我們先用[url]https://10.0.0.25[/url]?來(lái)試一下,如下圖: 大家可以看到,此時(shí)出現(xiàn)的這個(gè)提示,就告訴我們安全證書上的名稱無(wú)效,或者與站點(diǎn)名稱不匹配。 為什么會(huì)出現(xiàn)這個(gè)提示呢???? 其實(shí)圖中的提示已經(jīng)說(shuō)的很清楚了。 告訴你。你的安全證書上的名稱無(wú)效、 或者是有效但是與站點(diǎn)名稱不匹配。 其實(shí),上圖中所指的安全證書是的名稱就是Issed to 后面的名稱,即dc01 而站點(diǎn)名稱又是什么呢? 正是我們?cè)诘刂窓诶镙斎氲拿Q,即10.0.0.25 顯然,2個(gè)名稱都有效,只是不匹配而已,那,如果我們都把這個(gè)名稱寫成一樣的,是不是這個(gè)嘆號(hào)就消失了呢? 來(lái)試試吧 由于我的網(wǎng)卡上設(shè)置了2個(gè)IP,如果把地址欄里的改成[url]https://dc01[/url],這樣肯定無(wú)法訪問(wèn)。所以我打算把證書的common name改成和地址欄里的一樣,即把證書頒發(fā)給10.0.0.25。OK,開(kāi)始做吧: 其余步驟省略,證書申請(qǐng)完后,查看到的屬性如下圖: 我們?cè)賮?lái)訪問(wèn)一下,還是以[url]https://10.0.0.25[/url]?作為訪問(wèn)地址,來(lái)看一下訪問(wèn)結(jié)果: OK,大家可以看到,此時(shí)不再提示名稱不匹配,第三個(gè)提示的問(wèn)題搞定了。 當(dāng)然,生產(chǎn)環(huán)境下,一般不使用IP作為通用名稱。 現(xiàn)在大家應(yīng)該知道為什么你的站點(diǎn)?會(huì)有這個(gè)提示了吧,其實(shí)很簡(jiǎn)單,不是么。
說(shuō)明:因?yàn)槲业臏y(cè)試環(huán)境是裝的英文系統(tǒng),所以不少圖都是英文的。還有些中文圖,那是我在客戶端上抓的,請(qǐng)見(jiàn)諒!
與50位技術(shù)專家面對(duì)面20年技術(shù)見(jiàn)證,附贈(zèng)技術(shù)全景圖
OK,我們輸入[url]https://10.0.0.252[/url]來(lái)試一下 我已經(jīng)改成了https訪問(wèn),此時(shí)彈出一個(gè)對(duì)話框,第一個(gè)嘆號(hào)說(shuō)明證書本地并不信任這個(gè)證書的CA,如果想讓我的計(jì)算機(jī)信任此證書,就需要把ca01上的根證書導(dǎo)入到本機(jī)的受信任的證書頒發(fā)機(jī)構(gòu)中才可以。 這個(gè)是我做了此操作后的效果,第一個(gè)嘆號(hào)已經(jīng)沒(méi)有了。 下面我們重點(diǎn)說(shuō)一下第二個(gè)嘆號(hào)。為什么是這個(gè)提示? 大家是否還記得,我們?cè)谏暾?qǐng)證書請(qǐng)求文件的時(shí)候填入的common name 是什么嗎? 對(duì)了,是 DC01,而且我也說(shuō)過(guò),我們?cè)L問(wèn)地址里的名稱一定要和common name 一致。請(qǐng)仔細(xì)觀察下面兩張圖,看有什么異同: 請(qǐng)大家仔細(xì)觀察2張圖內(nèi)標(biāo)記紅色框的地方。 ????????? 解釋:下面的那張圖的訪問(wèn)地址和之前的都不一樣,使用的是dc01,而這個(gè)名稱正好和common name 一致,所以就不會(huì)彈出證書提示框,也就是說(shuō)此時(shí),安全證書的名稱和站點(diǎn)名稱相匹配,所以會(huì)直接進(jìn)入頁(yè)面。在地址欄的右側(cè)也可以看到一個(gè)黃色的小鎖。 OK,至此第一種申請(qǐng)網(wǎng)站證書的辦法已經(jīng)演示完畢,并做了測(cè)試。 ------------------------------------------------------------------------------------------------------ 第二種方法: ? 1) 移除當(dāng)前網(wǎng)站證書。 我們來(lái)討論一下申請(qǐng)證書的第二種方法,為了避免干擾。我們先把剛才做得證書移除掉。 依然找到【目錄安全性】,點(diǎn)擊【服務(wù)器證書】,【Next】后,進(jìn)入以下畫面: 選擇,移除當(dāng)前的證書,點(diǎn)擊【Next】 如果確認(rèn),點(diǎn)擊【Next】,即可完成證書移除。 此時(shí),再通過(guò)[url]https://10.0.0.252/[/url]這個(gè)地址將無(wú)法網(wǎng)站。 2) 建立測(cè)試站點(diǎn)。 方便起見(jiàn),亦然用之前站點(diǎn)作為測(cè)試對(duì)象,所以此步驟省略,同上。 3) 通過(guò)IIS申請(qǐng)證書 依然找到【目錄安全性】,點(diǎn)擊【服務(wù)器證書】,【Next】后,進(jìn)入以下畫面: 與第一種方法不同,我們這里選擇第二個(gè),即發(fā)送請(qǐng)求到一個(gè)在線CA Common Name ,這個(gè)地方我們依然默認(rèn)為dc01 4) 測(cè)試SSL網(wǎng)站 ???我們還需要做一下簡(jiǎn)單設(shè)置,如下圖: 至此,第二種申請(qǐng)網(wǎng)站證書的辦法描述完畢,測(cè)試的細(xì)節(jié)和要點(diǎn)和第一種方式一樣,這里就不再細(xì)說(shuō)了。 三、小插曲:討論訪問(wèn)證書服務(wù)器時(shí)為何需要輸入用戶和密碼? 大家可以發(fā)現(xiàn),這時(shí)會(huì)彈出一個(gè)對(duì)話框,讓你輸入用戶和密碼,其實(shí)也就是本機(jī)管理員的帳戶和密碼,輸入正確即可訪問(wèn)。 細(xì)心的朋友可能要問(wèn)了,為什么這里會(huì)出現(xiàn)這個(gè)提示讓我們輸入驗(yàn)證信息呢?是的,簡(jiǎn)單回答,就是為了保證CA服務(wù)器的安全性,那我們是否可以去掉呢??答案是,完全可以。其實(shí),這里面有一個(gè)知識(shí)點(diǎn),請(qǐng)大家注意certsrv這個(gè)目錄,如圖: 就是這個(gè)目錄,我們看一下它的屬性,關(guān)鍵是【目錄安全】這個(gè)選項(xiàng)卡。 我們可以看到藍(lán)色選項(xiàng)卡里有一個(gè)勾,并未選中,如果選中后,我們?cè)俅嗽L問(wèn)10.0.0.253/certsrv的時(shí)候就可以直接訪問(wèn),而無(wú)需輸入任何身份信息。為什么呢? 因?yàn)镮USR_DC01是在IIS安裝完成后自動(dòng)建立的一個(gè)特殊的用戶,默認(rèn)情況下,當(dāng)我們?cè)L問(wèn)IIS下的某一站點(diǎn)時(shí)候,IIS在處理訪問(wèn)請(qǐng)求的時(shí)候都是通過(guò)IUSR_DC01這個(gè)用戶來(lái)進(jìn)行驗(yàn)證并返回結(jié)果的。而在創(chuàng)建CA的時(shí)候默認(rèn)這個(gè)勾就被取消,所以我們?cè)L問(wèn)的時(shí)候就會(huì)出現(xiàn)輸入用戶信息的提示。 只要把勾打上,以后再訪問(wèn)就不會(huì)有什么提示了。但建議大家還是不要去更改默認(rèn)設(shè)置,安全還是要放在首位的。
SSL應(yīng)用系列之三:去掉討厭的證書提示警告(多圖精解) 2009-03-25 12:14:14 標(biāo)簽:證書?CA?警告?提示窗口?曬文章 原創(chuàng)作品,允許轉(zhuǎn)載,轉(zhuǎn)載時(shí)請(qǐng)務(wù)必以超鏈接形式標(biāo)明文章?原始出處?、作者信息和本聲明。否則將追究法律責(zé)任。http://jeffyyko.blog.51cto.com/28563/142280 其實(shí),本節(jié)討論的內(nèi)容應(yīng)該歸屬于CA系列的,但其中涉及到的內(nèi)容和SSL應(yīng)用系列之二比較緊密,在之二一文中未能詳細(xì)描述,所以就把這個(gè)內(nèi)容作為SSL應(yīng)用系列之三來(lái)講解了,其實(shí),SSL、CA、IIS等這些東西都是相互關(guān)聯(lián),很難獨(dú)立存在。 廢話不多說(shuō),今天主要和大家討論一下為什么會(huì)有證書提示警告及如何取消。 閱讀本文,你將了解到以下內(nèi)容 ◆為什么會(huì)有證書提示窗口 ◆什么情況下會(huì)出現(xiàn)提示窗口 ◆2種導(dǎo)入根證書的方法 ◆如何取消窗口提示 本文導(dǎo)讀目錄 ? 一、分析證書出現(xiàn)提示框的原因 二、分三種情況進(jìn)行討論 三、依據(jù)三個(gè)提示分析解決步驟 ???????? 第一個(gè)提示:證書不被信任,分析與解決 第二個(gè)提示:證書時(shí)間過(guò)期,分析與解決 第三個(gè)提示:證書名稱無(wú)效或不匹配,分析與解決 ? 我們還是以SSL應(yīng)用系列之二里的一個(gè)website的例子作為開(kāi)始。????? 一、為什么會(huì)有證書提示窗口 我們知道,在證書提示窗口上,一共會(huì)體現(xiàn)出三個(gè)信息如圖: 第一個(gè)提示:此證書是否由受信任的證書頒發(fā)機(jī)構(gòu)頒發(fā) 如果是,則為綠色√,否則就會(huì)出現(xiàn)黃色嘆號(hào) 第二個(gè)提示:此證書是否在有效期內(nèi) 如果是,則為綠色√,否則就會(huì)出現(xiàn)黃色嘆號(hào) 第三個(gè)提示:證書上的名稱與站點(diǎn)名稱是否匹配 如果是,則為綠色√,否則就會(huì)出現(xiàn)黃色嘆號(hào) OK,如果三個(gè)提示的結(jié)果均為綠色√,那么就直接解析后面的網(wǎng)頁(yè),而不會(huì)有任何提示。反之,有任何一個(gè)不滿足,則會(huì)出現(xiàn)類似上述的提示。 現(xiàn)在大家應(yīng)該知道,為什么會(huì)出現(xiàn)提示了吧,其實(shí)這也是微軟處于安全考慮的一項(xiàng)措施,因?yàn)槿绻覀兒雎赃@些提示,一樣可以順利的訪問(wèn)網(wǎng)站。 OK,現(xiàn)在我們就上面的提示,一個(gè)個(gè)來(lái)講解。 第一個(gè)提示: 為什么會(huì)有此提示? 其實(shí),在我們安裝好Windows后,系統(tǒng)就會(huì)內(nèi)置100多個(gè)證書,其實(shí)這些證書都是世界知名公司、企業(yè)、或機(jī)構(gòu)的根證書,我們?cè)谠L問(wèn)某些由 這部分證書頒發(fā)機(jī)構(gòu)頒發(fā)的證書加密的網(wǎng)站時(shí),就不會(huì)出現(xiàn)第一個(gè)提示錯(cuò)誤的情況,為什么這么說(shuō)?因?yàn)楸緳C(jī)里的受信任根證書頒發(fā)機(jī)構(gòu)里有了這些根證書,也就相當(dāng)于,本機(jī)信任這些根證書機(jī)構(gòu)頒發(fā)的證書。 不知道大家有沒(méi)有理解這句話?。我來(lái)舉個(gè)例子,比如證書頒發(fā)機(jī)構(gòu)相當(dāng)于公安部,每個(gè)人的身份證則相當(dāng)于自己的一份獨(dú)有的證書,在很多場(chǎng)合或環(huán)境下,為了表明自己的身份,就需要出示自己的身份證,因?yàn)樯厦嬗形覀兊囊恍┖芑拘畔?#xff0c;這些信息足以證明我就是本人,對(duì)方在查看身份證的時(shí)候,就類似瀏覽器在檢查某個(gè)證書是否合法,因?yàn)槲覀兌贾郎矸葑C是由公安部這個(gè)權(quán)威部門,由這個(gè)部門頒發(fā)的身份證一定是真實(shí)有效的,所以就自然認(rèn)定你就是本人。類似的,本機(jī)里預(yù)裝的100多個(gè)可信任的根證書頒發(fā)機(jī)構(gòu)就等同于我們的腦海里的公安部。當(dāng)瀏覽器檢測(cè)到一個(gè)新證書時(shí),它回去查看證書的頒發(fā)者是否在自己的信任機(jī)構(gòu)內(nèi),如果是,則就會(huì)信任這份證書,否則就不信任,此時(shí)就會(huì)彈出這樣的提示,告訴你,瀏覽器檢測(cè)到的這份證書并不是受信任的根證書頒發(fā)機(jī)構(gòu)。 說(shuō)了那么一大段,希望可以幫助你理解第一個(gè)提示出現(xiàn)的原因。可能有朋友要問(wèn)怎么查看這些根機(jī)構(gòu)? 其實(shí)很簡(jiǎn)單,打開(kāi)IE瀏覽器,選擇 【工具】/【internet屬性】/【內(nèi)容】/【證書】/【受信任的根證書頒發(fā)機(jī)構(gòu)】,如下圖: 這些便是預(yù)設(shè)的受信任的根證書頒發(fā)機(jī)構(gòu)。 知道原因,問(wèn)題就好解決了。 為了方便實(shí)驗(yàn),我已經(jīng)將環(huán)境搭建完畢,如下圖: 如果我們把根證書加到本機(jī)的受信任的根證書頒發(fā)機(jī)構(gòu)內(nèi),問(wèn)題不就解決了么! OK,這里我會(huì)告訴大家2種方法來(lái)將此證書添加至本地的受信任證書機(jī)構(gòu)內(nèi)。 方法一:證書鏈安裝法 這個(gè)應(yīng)該是最簡(jiǎn)單的方法了,下列是操作步驟: 首先進(jìn)入[url]http://ip/certsrv[/url]? 也就是證書的網(wǎng)頁(yè)申請(qǐng)頁(yè)面,然后依照?qǐng)D示操作: 點(diǎn)擊【Y】之后,根證書就導(dǎo)入到當(dāng)前用戶的證書里了。但請(qǐng)注意,沒(méi)有說(shuō)導(dǎo)入到本地計(jì)算機(jī),而是當(dāng)前用戶,為什么呢?我們知道,默認(rèn)使用certmgr.msc打開(kāi)的就是當(dāng)前用戶的證書管理器,如果想打開(kāi)本地計(jì)算機(jī)的證書管理器,需要用到mmc命令來(lái)添加,具體操作就不詳述了,這個(gè)會(huì)放到CA系列里再講。 我們到證書管理器里看有沒(méi)有這個(gè)證書,用certmgr.msc打開(kāi),然后找到下列位置: 從指紋碼上我們可以看到,這個(gè)就是剛才導(dǎo)入的根證書,我們導(dǎo)入根CA的證書鏈,里面就包含了根證書。 OK,根證書已導(dǎo)入完畢,我們來(lái)看看效果: 大家可以看到,安裝了根證書后,第一個(gè)嘆號(hào)就去掉了。 可能有網(wǎng)友會(huì)問(wèn),當(dāng)前用戶和本地計(jì)算機(jī)有什么區(qū)別呢?一句話,將證書導(dǎo)入到當(dāng)前用戶的根信任區(qū)域只能在此用戶下得到信任,而導(dǎo)入到本地計(jì)算機(jī)則是針對(duì)本機(jī)的,所以是個(gè)應(yīng)用范圍大小的問(wèn)題。 這個(gè)方法有一定的局限性,一般內(nèi)網(wǎng)用的比較多,當(dāng)然你也可以把證書申請(qǐng)頁(yè)面發(fā)布出去,這樣外網(wǎng)也可以直接導(dǎo)入了。 方法二:根證書導(dǎo)入法 獲取根證書的方法有很多,這里只說(shuō)一種,其余方法會(huì)在CA系列里詳述。 我們可以直接到CA頒發(fā)機(jī)構(gòu)里導(dǎo)出根證書。 在【運(yùn)行】輸入certsrv.msc,打開(kāi)CA 右鍵CA名稱,選擇屬性。 點(diǎn)擊【Finish】即可完成證書的導(dǎo)出。 證書導(dǎo)出后,剩下的就是導(dǎo)入的操作了。 點(diǎn)擊【運(yùn)行】,輸入mmc,打開(kāi)控制臺(tái)后 選擇【文件】/【添加/刪除管理單元】,然后依圖所示 之后一直確定即可完成添加。 然后,如下圖: 然后瀏覽到剛才保存的根證書文件,導(dǎo)入即可。 我們來(lái)看一下效果。 OK,這樣第一個(gè)提示嘆號(hào)的問(wèn)題就解決了。 第二個(gè)提示: ?????????這個(gè)應(yīng)該是最不容易出問(wèn)題的了,如果當(dāng)前時(shí)間在證書的有效期內(nèi),就沒(méi)問(wèn)題。這里只想和大家說(shuō)一點(diǎn),就是需要區(qū)分證書頒發(fā)機(jī)構(gòu)的有效期和證書有效期。咋一看很相似,其實(shí)還是有一定區(qū)別的。不知道大家是否記得,在安裝CA的時(shí)候,會(huì)提示讓我們?cè)O(shè)置一個(gè)時(shí)間,如下圖: 這個(gè)時(shí)間就是證書頒發(fā)機(jī)構(gòu)的有效期,默認(rèn)為5年,請(qǐng)注意企業(yè)根CA和獨(dú)立根CA機(jī)構(gòu)的默認(rèn)期限均為5年。但所申請(qǐng)的證書,前者默認(rèn)為2年,后者則默認(rèn)為1年。 第三個(gè)提示: 最后一個(gè)應(yīng)該是老生常談的問(wèn)題了,論壇里也有不少解決辦法,但都很零星,這里做個(gè)小結(jié)希望可以幫到大家。 我們來(lái)舉一個(gè)例子,這里我們來(lái)搭建一個(gè)SSL加密的網(wǎng)站環(huán)境。由于在SSL應(yīng)用之二中已經(jīng)有較詳細(xì)的步驟說(shuō)明,這里就只截取一些重要的圖進(jìn)行講解,望見(jiàn)諒。 首先交代一下環(huán)境 計(jì)算機(jī)名稱:DC01 CA機(jī)構(gòu)名稱:CA01 本機(jī)的一個(gè)IP:10.0.0.25 這里我們用上一篇文章的第二種方法為這個(gè)站點(diǎn)申請(qǐng)證書,如下圖示: 請(qǐng)大家注意紅色框里的內(nèi)容,這里讓我們輸入的是這個(gè)證書的common name,也就是通用名。這個(gè)名稱非常重要,因?yàn)樵谏傻淖C書的Issued to 后面的就是這里的通用名,默認(rèn)為該計(jì)算機(jī)的名稱。請(qǐng)大家記住這里的ca01,后面會(huì)用的到。 這里不做修改,直接繼續(xù),后面的步驟省略。 申請(qǐng)完成后,證書就是這樣的: 頒發(fā)的對(duì)象就是我們?cè)赾ommon name 里填寫的名稱,是一模一樣的。 OK,我們來(lái)試著訪問(wèn)一下。 我們先用[url]https://10.0.0.25[/url]?來(lái)試一下,如下圖: 大家可以看到,此時(shí)出現(xiàn)的這個(gè)提示,就告訴我們安全證書上的名稱無(wú)效,或者與站點(diǎn)名稱不匹配。 為什么會(huì)出現(xiàn)這個(gè)提示呢???? 其實(shí)圖中的提示已經(jīng)說(shuō)的很清楚了。 告訴你。你的安全證書上的名稱無(wú)效、 或者是有效但是與站點(diǎn)名稱不匹配。 其實(shí),上圖中所指的安全證書是的名稱就是Issed to 后面的名稱,即dc01 而站點(diǎn)名稱又是什么呢? 正是我們?cè)诘刂窓诶镙斎氲拿Q,即10.0.0.25 顯然,2個(gè)名稱都有效,只是不匹配而已,那,如果我們都把這個(gè)名稱寫成一樣的,是不是這個(gè)嘆號(hào)就消失了呢? 來(lái)試試吧 由于我的網(wǎng)卡上設(shè)置了2個(gè)IP,如果把地址欄里的改成[url]https://dc01[/url],這樣肯定無(wú)法訪問(wèn)。所以我打算把證書的common name改成和地址欄里的一樣,即把證書頒發(fā)給10.0.0.25。OK,開(kāi)始做吧: 其余步驟省略,證書申請(qǐng)完后,查看到的屬性如下圖: 我們?cè)賮?lái)訪問(wèn)一下,還是以[url]https://10.0.0.25[/url]?作為訪問(wèn)地址,來(lái)看一下訪問(wèn)結(jié)果: OK,大家可以看到,此時(shí)不再提示名稱不匹配,第三個(gè)提示的問(wèn)題搞定了。 當(dāng)然,生產(chǎn)環(huán)境下,一般不使用IP作為通用名稱。 現(xiàn)在大家應(yīng)該知道為什么你的站點(diǎn)?會(huì)有這個(gè)提示了吧,其實(shí)很簡(jiǎn)單,不是么。
說(shuō)明:因?yàn)槲业臏y(cè)試環(huán)境是裝的英文系統(tǒng),所以不少圖都是英文的。還有些中文圖,那是我在客戶端上抓的,請(qǐng)見(jiàn)諒!
與50位技術(shù)專家面對(duì)面20年技術(shù)見(jiàn)證,附贈(zèng)技術(shù)全景圖
總結(jié)
- 上一篇: sha1withRSA md5withR
- 下一篇: Key usage extensions