关于SSL配置的报告
生活随笔
收集整理的這篇文章主要介紹了
关于SSL配置的报告
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
作者:網際浪子專欄(曾用名littlehb)?
http://blog.csdn.net/littlehb/
一,服務器上裝有CA(Certificate Server)
1,服務器上安裝CA
Win2000中帶有CA的安裝程序。單擊Start,Control Pannel Add/Remove Programs兵單擊Add/Remove Windows Compenents。當Windows Component Wizard出現時,選擇證書服務(Certificate Services)。下一步中,安裝需要指出服務器授權的類型,一般作為一個獨立的Web服務器,選擇Stand-alone root CA。然后,需要指定共享文件夾,這作為證書服務的配置數據存儲位置,單擊Next,安裝完畢。
注意:自己建立CA 機構時,所給CA機構起的名是自己定義的,在客戶端的IE中,在一開始并不屬于客戶端信任的根證書頒發機構,如果,客戶端沒有把該CA機構加為自己所信任的根證書頒發機構,那么在客戶端訪問該服務器上的網站時,會出現安全警告信息。
2,建立并安裝一個站點證書
步驟如下:
A, 打開IIS,選定要安裝證書的站點,單擊右鍵,選擇彈出菜單中的properties,在彈出的對話框中,單擊directory security屬性頁,單擊Server Certificate按鈕,出現IIS Certificate Wizard對話框,這一步的操作,所完成的功能是生成一個向CA申請數字證書的密鑰文件,文件以.txt的格式存于本機目錄下。
B, 通過Certificate Server Enrollment的頁面訪問注冊控件和它的表格:
在安裝了Certificate Service的機器上可以從位于 http://localhost/certsrv 的Certificate Server Administration Tools Web頁面可以訪問該注冊控件。選擇request a certificate 選項,在下一頁面中選擇advance request,這里需要注意的是,如果是給網站申請數字證書時必須選擇該項,因為賦予網站的數字證書需要使用a步驟中所產生的特定的密鑰文件,這樣才能生成屬于該網站的唯一的數字證書。而一般User certificate request 是針對需要訪問該網站的客戶設計的,分別有web browser certificate 和E-Mail Protection certificate 兩種方式。客戶采用web browser certificate方式申請對有SSL保護的網站的訪問,而E-Mail Protection certificate是保護客戶收發email時的信息傳送。接下去頁面的Advanced Certificate Requests 中我們選擇Submit a certificate request using a base64 encoded PKCS #10 file or a renewal request using a base64 encoded PKCS #7 file。因為這種格式和在a步驟中所產生的密鑰文件的加密格式一致。然后,可以通過browse把存在本機上的.txt密鑰文件上載至網頁上,遞出申請。在最后的界面中,會被告知請求已經被接到并正在等待證書授權機構的批準。
C, 微軟的Certificate Service可以使用MMC來管理:
服務器提出的要求數字驗證的請求傳遞到CA機構中,打開Start/Program/Administrative tools/Certification Authority后,可以看到pending request文件夾,這個文件夾包含了所有等待root授權機構批準的證書請求。如果CA認證機構覺得該網站的申請可行,則單擊右鍵選擇issue,這樣,該文件就被移到了issued Certificates,表示申請成功,這個節點包含了所有被證書服務的管理員批準并被發布的證書。反之如果CA機構覺得該申請不可行,則選擇Deny,該文件被轉移到Failed request,表示申請失敗,這個節點包含了所有被拒絕的證書請求。對申請成功并發布的數字證書而言,如果CA機構想取消該證書,可以單擊右鍵選擇revoke,則已申請成功的數字證書被移到revoke certificates文件夾內,這個節點包含了所有被發布但是又被撤銷的證書。
D, 提交數字驗證的網站在等待一定時間后,依然可以通過 http://localhost/certsrv來查看自己所申請的數字驗證的進行情況。選擇Check On A Pending Certificate選項并單擊Next 按鈕繼續。從選項框中選擇候選的請求,單擊Next按鈕繼續。為下載該文件選擇Base64 encoding并單擊Download CA Certificate鏈接以開始下載過程。這樣就從證書授權機構接到了服務器證書文件。打開IIS,選定已經得到數字驗證的網站,單擊右鍵后選擇properties,在屬性頁directory security中,單擊Server Certificate 按鈕以啟動Web服務證書向導,選擇Process A Pending Request and Install Certificate選項。選擇上一步驟中download下來的數字證書(即.cer文件)的存放路徑,開始安裝。安裝成功后,directory security屬性頁中的view certificate和edit按鈕由disable變為enable。整個網站的數字驗證過程完畢。
3,關于certificate的屬性設置
點擊directory security屬性頁的edit按鈕,可以進行網站數字驗證屬性的設置。首先,如果選擇了require secure channel(SSL)復選框,則http的形式將無法訪問該站點,只有采用https的方式進行訪問。如果不選擇該項的話,則http和https兩種方式并存,都可以進行對此網站的訪問。如果選擇了該項,則又有三種方式可供選擇,分別是ignore client certificate,accept client certificate 以及require client certificate。Ignore client certificate表示不接受客戶證書(默認):如果客戶瀏覽器安裝了客戶證書,會返回一個Access Denied消息。Accept client certificate表示接受證書:不管客戶是否安裝了客戶證書對服務器沒有區別,訪問在兩種情況下都是允許的。Ignore client certificate表示需要客戶證書:除非客戶有一個被root CA(這里是證書服務器)授予的合法證書,否則訪問被拒絕。客戶要訪問網站,必須得先從服務器得到數字驗證,也即,客戶端必須首先向要訪問的網站提出要求數字驗證的申請,在得到服務器端發回的用于兩者間信息交互的數字證書后,才可以對該網站進行訪問,否則,網站將拒絕該客戶的訪問。
不同的網站可以針對這三個屬性進行不同的設置。
4,客戶端SSL的配置
在瀏覽器和Web站點之間開始SSL通信之前,客戶端必須能夠認出服務器的證書是合法的。要做到這一點,客戶端必須和服務器的證書授權機構取得聯系,在這種情況下是本地的證書服務器。如果沒能實現前面的步驟,直接連到SSL站點,會首先接到安全警告信息。客戶瀏覽器需要在瀏覽器的Trusted Root Store中安裝證書。要安裝證書,在安全警告對話框出現時,單擊View Certificate按鈕,就會出現一個對話框,該對話框中包含了證書的信息。單擊Install Certificate 按鈕以啟動證書導入向導。
對客戶而言,SSL的配置就相對比較簡單,客戶可以選擇申請數字證書,也可以不用,只是,如果客戶所訪問的某個網站設定了require client certificate屬性,則客戶必須在得到了該網站的數字驗證后,才能對此進行訪問,換言之,客戶想得到訪問權,就必須先向網站提出申請。
客戶通過訪問 http://servername/certsrv來申請數字驗證,它的操作過程和網站申請數字驗證基本雷同,只是它不是選擇Advance request這一項,而是使用User certificate request 下的web browser certificate選項,只要填寫客戶的一些相應信息后,就能遞出申請,而當CA機構認證后,也是從網上直接下載相對應的數字證書至本機。這樣,每當訪問該網站,當彈出要求客戶端數字驗證的消息框后,客戶選擇已經下載過的數字證書,就可以進行對網站的訪問了。
一,服務器上裝有CA(Certificate Server)
1,服務器上安裝CA
Win2000中帶有CA的安裝程序。單擊Start,Control Pannel Add/Remove Programs兵單擊Add/Remove Windows Compenents。當Windows Component Wizard出現時,選擇證書服務(Certificate Services)。下一步中,安裝需要指出服務器授權的類型,一般作為一個獨立的Web服務器,選擇Stand-alone root CA。然后,需要指定共享文件夾,這作為證書服務的配置數據存儲位置,單擊Next,安裝完畢。
注意:自己建立CA 機構時,所給CA機構起的名是自己定義的,在客戶端的IE中,在一開始并不屬于客戶端信任的根證書頒發機構,如果,客戶端沒有把該CA機構加為自己所信任的根證書頒發機構,那么在客戶端訪問該服務器上的網站時,會出現安全警告信息。
2,建立并安裝一個站點證書
步驟如下:
A, 打開IIS,選定要安裝證書的站點,單擊右鍵,選擇彈出菜單中的properties,在彈出的對話框中,單擊directory security屬性頁,單擊Server Certificate按鈕,出現IIS Certificate Wizard對話框,這一步的操作,所完成的功能是生成一個向CA申請數字證書的密鑰文件,文件以.txt的格式存于本機目錄下。
B, 通過Certificate Server Enrollment的頁面訪問注冊控件和它的表格:
在安裝了Certificate Service的機器上可以從位于 http://localhost/certsrv 的Certificate Server Administration Tools Web頁面可以訪問該注冊控件。選擇request a certificate 選項,在下一頁面中選擇advance request,這里需要注意的是,如果是給網站申請數字證書時必須選擇該項,因為賦予網站的數字證書需要使用a步驟中所產生的特定的密鑰文件,這樣才能生成屬于該網站的唯一的數字證書。而一般User certificate request 是針對需要訪問該網站的客戶設計的,分別有web browser certificate 和E-Mail Protection certificate 兩種方式。客戶采用web browser certificate方式申請對有SSL保護的網站的訪問,而E-Mail Protection certificate是保護客戶收發email時的信息傳送。接下去頁面的Advanced Certificate Requests 中我們選擇Submit a certificate request using a base64 encoded PKCS #10 file or a renewal request using a base64 encoded PKCS #7 file。因為這種格式和在a步驟中所產生的密鑰文件的加密格式一致。然后,可以通過browse把存在本機上的.txt密鑰文件上載至網頁上,遞出申請。在最后的界面中,會被告知請求已經被接到并正在等待證書授權機構的批準。
C, 微軟的Certificate Service可以使用MMC來管理:
服務器提出的要求數字驗證的請求傳遞到CA機構中,打開Start/Program/Administrative tools/Certification Authority后,可以看到pending request文件夾,這個文件夾包含了所有等待root授權機構批準的證書請求。如果CA認證機構覺得該網站的申請可行,則單擊右鍵選擇issue,這樣,該文件就被移到了issued Certificates,表示申請成功,這個節點包含了所有被證書服務的管理員批準并被發布的證書。反之如果CA機構覺得該申請不可行,則選擇Deny,該文件被轉移到Failed request,表示申請失敗,這個節點包含了所有被拒絕的證書請求。對申請成功并發布的數字證書而言,如果CA機構想取消該證書,可以單擊右鍵選擇revoke,則已申請成功的數字證書被移到revoke certificates文件夾內,這個節點包含了所有被發布但是又被撤銷的證書。
D, 提交數字驗證的網站在等待一定時間后,依然可以通過 http://localhost/certsrv來查看自己所申請的數字驗證的進行情況。選擇Check On A Pending Certificate選項并單擊Next 按鈕繼續。從選項框中選擇候選的請求,單擊Next按鈕繼續。為下載該文件選擇Base64 encoding并單擊Download CA Certificate鏈接以開始下載過程。這樣就從證書授權機構接到了服務器證書文件。打開IIS,選定已經得到數字驗證的網站,單擊右鍵后選擇properties,在屬性頁directory security中,單擊Server Certificate 按鈕以啟動Web服務證書向導,選擇Process A Pending Request and Install Certificate選項。選擇上一步驟中download下來的數字證書(即.cer文件)的存放路徑,開始安裝。安裝成功后,directory security屬性頁中的view certificate和edit按鈕由disable變為enable。整個網站的數字驗證過程完畢。
3,關于certificate的屬性設置
點擊directory security屬性頁的edit按鈕,可以進行網站數字驗證屬性的設置。首先,如果選擇了require secure channel(SSL)復選框,則http的形式將無法訪問該站點,只有采用https的方式進行訪問。如果不選擇該項的話,則http和https兩種方式并存,都可以進行對此網站的訪問。如果選擇了該項,則又有三種方式可供選擇,分別是ignore client certificate,accept client certificate 以及require client certificate。Ignore client certificate表示不接受客戶證書(默認):如果客戶瀏覽器安裝了客戶證書,會返回一個Access Denied消息。Accept client certificate表示接受證書:不管客戶是否安裝了客戶證書對服務器沒有區別,訪問在兩種情況下都是允許的。Ignore client certificate表示需要客戶證書:除非客戶有一個被root CA(這里是證書服務器)授予的合法證書,否則訪問被拒絕。客戶要訪問網站,必須得先從服務器得到數字驗證,也即,客戶端必須首先向要訪問的網站提出要求數字驗證的申請,在得到服務器端發回的用于兩者間信息交互的數字證書后,才可以對該網站進行訪問,否則,網站將拒絕該客戶的訪問。
不同的網站可以針對這三個屬性進行不同的設置。
4,客戶端SSL的配置
在瀏覽器和Web站點之間開始SSL通信之前,客戶端必須能夠認出服務器的證書是合法的。要做到這一點,客戶端必須和服務器的證書授權機構取得聯系,在這種情況下是本地的證書服務器。如果沒能實現前面的步驟,直接連到SSL站點,會首先接到安全警告信息。客戶瀏覽器需要在瀏覽器的Trusted Root Store中安裝證書。要安裝證書,在安全警告對話框出現時,單擊View Certificate按鈕,就會出現一個對話框,該對話框中包含了證書的信息。單擊Install Certificate 按鈕以啟動證書導入向導。
對客戶而言,SSL的配置就相對比較簡單,客戶可以選擇申請數字證書,也可以不用,只是,如果客戶所訪問的某個網站設定了require client certificate屬性,則客戶必須在得到了該網站的數字驗證后,才能對此進行訪問,換言之,客戶想得到訪問權,就必須先向網站提出申請。
客戶通過訪問 http://servername/certsrv來申請數字驗證,它的操作過程和網站申請數字驗證基本雷同,只是它不是選擇Advance request這一項,而是使用User certificate request 下的web browser certificate選項,只要填寫客戶的一些相應信息后,就能遞出申請,而當CA機構認證后,也是從網上直接下載相對應的數字證書至本機。這樣,每當訪問該網站,當彈出要求客戶端數字驗證的消息框后,客戶選擇已經下載過的數字證書,就可以進行對網站的訪問了。
注意事項:如果網站的端口號不是默認的80,而是自己定義的話,則相應的也要給SSL Port 設定一個端口號,以示區別,而訪問http和https時,所輸入的端口號是不一致的。如果網站使用默認的80端口,則SSL也不需要配置特定的端口號,它的默認端口號為443。
二,服務器和裝有CA(Certificate Server)的計算機獨立
網站申請數字證書的過程和前面部分一樣。只是,上一部分的操作因為CA和服務器設在同一臺機器上,所以,訪問本機的http://localhost/certsrv就可以了,而這一部分,因為CA和服務器的計算機獨立,所以,申請的時候也和客戶端一樣,遠程訪問http://CAname/certsrv ,其中的具體操作和上一部分一樣。只是,在這種情況下,該網站如果設置了require client certificate,則客戶就很難訪問該網站了,因為客戶端無法向該網站發出要求數字驗證的申請。一般而言,最好采用accept client certificate。
總結
以上是生活随笔為你收集整理的关于SSL配置的报告的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: DataGrid中自带的分页功能的使用
- 下一篇: Asp.net动态生成html页面