現(xiàn)在許多企業(yè)與個人，都擁有屬于自己的網(wǎng)站，并且發(fā)布在Internet供朋友、合作伙伴或其他人所訪問，但是，在許多情況下，某些發(fā)布到Internet的網(wǎng)站，只想讓指定的用戶或指定的人來訪問，那么應(yīng)該怎么辦呢？我想，可能的方法有：

ü 限制客戶端的IP地址

ü 在網(wǎng)站中，取消匿名訪問權(quán)限，只讓擁有用戶名與密碼的人訪問

ü 搭建證書服務(wù)器為指定的用戶頒發(fā)證書只讓擁有證書的客戶端訪問

在這三種方法中，各有利弊：

（1）對于某些用戶來說，IP地址可能是經(jīng)常要變的。另外，如果訪問的用戶比較多，就需要頻繁的維護一張列表，當用戶IP地址更改時需要在服務(wù)器上修改。

（2）取消“允許匿名訪問”權(quán)限的方法最簡單，但用戶名與密碼可能很容易“泄露”。

（3）使用證書方法最安全，但需要維護證書服務(wù)器。

本節(jié)介紹配合證書服務(wù)器、讓指定用戶訪問網(wǎng)站的方法，網(wǎng)絡(luò)拓撲如圖1所示。

圖1 網(wǎng)絡(luò)拓撲牢圖

在圖1中，證書服務(wù)器、網(wǎng)站服務(wù)器、內(nèi)網(wǎng)用戶在同一個局域網(wǎng)中，網(wǎng)站服務(wù)器中有一個測試網(wǎng)站，通過防火墻發(fā)布到Internet，對外服務(wù)地址是https://61.x.x.6:6688，Internet網(wǎng)絡(luò)用戶可以使用該地址訪問“網(wǎng)站服務(wù)器”發(fā)布的網(wǎng)站，而內(nèi)網(wǎng)用戶，可以直接通過IP地址https://192.168.1.8（或端口或內(nèi)部域名）訪問該網(wǎng)站。

在這個案例中，各服務(wù)器的主要配置步驟如下：

（1）在“證書服務(wù)器”上安裝“標準證書服務(wù)器”。

（2）在“網(wǎng)站服務(wù)器”上配置網(wǎng)站，并從“證書服務(wù)器”申請用于網(wǎng)站的“服務(wù)器”證書。

（3）使用“防火墻”發(fā)布“網(wǎng)站服務(wù)器”與“證書服務(wù)器”到Internet，例如，可以將證書服務(wù)器用TCP的432端口發(fā)布，將網(wǎng)站服務(wù)器用TCP的6688端口發(fā)布。即將61.x.x.6的TCP的432端口轉(zhuǎn)發(fā)到192.168.1.35的80端口，將61.x.x.6的TCP的6688端口轉(zhuǎn)發(fā)到192.168.1.8的443端口。

（4）“內(nèi)網(wǎng)用戶”從“證書服務(wù)器”申請證書，“Internet網(wǎng)絡(luò)用戶”通過http://61.x.x.6:432/certsrv申請證書。申請的證書類型為“客戶端身份驗證證書”，如圖2所示。

圖2 申請“客戶端身份驗證證書”

（4）管理員登錄“證書服務(wù)器”，進入“證書頒發(fā)機構(gòu)”，頒發(fā)用戶與服務(wù)器申請的證書。

（5）在“網(wǎng)站服務(wù)器”，從“證書服務(wù)器”獲得并安裝證書，然后配置網(wǎng)站，要求客戶端證書（在網(wǎng)站“目錄安全性→安全通信→編輯”進入“安全通信”對話框，選中“要求安全通通（SSL）”與“要求客戶端證書”選項），如圖3所示。

圖3 要求客戶端證書

（6）客戶端獲得并安裝證書，并“信任”證書頒發(fā)機構(gòu)，然后登錄https://61.x.x.6:6688，在彈出的對話框中，選擇安裝的用戶證書（如圖4所示），就可以瀏覽使用證書保護的網(wǎng)站了。

圖4 選擇用戶證書

這樣就達到了我們的目的。對于管理員來說，如果不想讓某個用戶繼續(xù)訪問網(wǎng)站，則在“證書服務(wù)器”上“吊銷”該用戶的證書并發(fā)布證書吊銷列表即可。

在上述配置中，一個特別注意的問題就是：“網(wǎng)站服務(wù)器”必須要能訪問“證書服務(wù)器”的吊銷列表，否則，當用戶訪問網(wǎng)站時會出現(xiàn)“HTTP 403.13 禁止訪問： 客戶證書己在web服務(wù)器上吊銷”的錯誤，如圖5所示。

圖5 出現(xiàn)HTTP403.13錯誤

當出現(xiàn)這個錯誤時，用戶首先想到的可能就是客戶端證書已經(jīng)被吊銷，但許多情況下，并不是用戶證書被吊銷，而是網(wǎng)站服務(wù)器無法訪問證書服務(wù)器的證書吊銷列表 (CRL)導(dǎo)致無法檢查證書的吊銷狀態(tài)時，也會發(fā)生該錯誤消息。那么，怎樣檢查網(wǎng)站服務(wù)器能否訪問證書吊銷列表呢？你可以通過如下的方式驗證。

在網(wǎng)站服務(wù)器上，登錄證書申請頁面http://192.168.1.35/certsrv，單擊“下載一個 CA 證書，證書鏈或 CRL”鏈接，在“下載 CA 證書、證書鏈或 CRL”頁，單擊“下載最新的基 CRL ”鏈接，在彈出的“文件下載”對話框中單擊“打開”按鈕，打開“證書吊銷列表”，在“發(fā)行的CRL位置”，查看“CN＝”后面的名字，例如，本例中名稱是“std-ca.sjqlq.gov.cn”，如圖6所示。

圖6 查看CRL地址

然后用http:// std-ca.sjqlq.gov.cn/certsrv的方式，看能否打開證書申請網(wǎng)站，如果不能打開，表示當前的網(wǎng)站服務(wù)器不能訪問證書吊銷列表，這通常是名稱解析造成的問題，你可以修改網(wǎng)站服務(wù)器本地的hosts文件（通常在c:\WINDOWS\system32\drivers\etc\目錄中），添加如下一行：

192.168.1.35 std-ca.sjqlq.gov.cn

以正確的解析該名稱。

其中“std-ca.sjqlq.gov.cn”這個名稱是你安裝“標準證書服務(wù)器”時設(shè)置的名稱，如果你想采用其他的名稱頒發(fā)證書吊銷列表，你可以登錄到“證書服務(wù)器→證書頒發(fā)機構(gòu)”，右擊“證書服務(wù)器名稱”，在彈出的對話框中選擇“屬性”，在“擴展”選項卡中，通過添加“CRL分發(fā)點”來達到這個目的，如圖7所示。

圖7 添加CRL分發(fā)點位置

其中 ，CRL分發(fā)點的格式如“http://std-ca.sjqlq.gov.cn/certenroll/std-ca.sjqlq.gov.cn.crl”，其中std-ca.sjqlq.gov.cn是證書服務(wù)器的名稱。

如果你想修改證書吊銷列表的頒發(fā)周期，可以通過右擊“吊銷的證書→屬性”，在“CRL發(fā)布參數(shù)”修改CRL發(fā)布間隔，如圖8所示。

圖8 修改CRL發(fā)布間隔

《新程序員》：云原生和全面數(shù)字化實踐50位技術(shù)專家共同創(chuàng)作，文字、視頻、音頻交互閱讀

總結(jié)

以上是生活随笔為你收集整理的使用证书保护网站--兼谈证书服务器吊销列表的使用的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。