规划与维护Windowsserver2008网络高级架构1311范冉资料.docxVIP

规划与维护Windows server 2008 网络高级架构 一、什么是数字证书及作用？ 数字证书就是互联网通讯中标志（证明）通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。常用的密钥包括一个公开的密钥和一个私有的密钥即一组密钥对，当信息使用公钥加密并通过网络传输到目标主机后，目标主机必需使用对应的私钥才能解密使用。使用它主要是为了提高IT系统在敏感数据应用领域的安全性，为用户业务提供更高安全保障； 注：数字证书，下面均简称证书； 二、如何搭建证书服务器？ 搭建证书服务器步骤如下： 1、登陆Windows Server 2008服务器； 2、打开【服务器管理器】； （图2） 3、点击【添加角色】，之后点击【下一步】； （图3） 4、找到【Active Directory证书服务】勾选此选项，之后点击【下一步】； （图4） 5、进入证书服务简介界面，点击【下一步】； （图5） 6、将证书颁发机构、证书颁发机构WEB注册勾选上，然后点击【下一步】； （图6） 7、勾选【独立】选项，点击【下一步】；（由于不在域管理中创建，直接默认为：“独立”） (图7) 8、首次创建，勾选【根CA】，之后点击【下一步】； （图8） 9、首次创建勾选【新建私钥】，之后点击【下一步】； （图9） 10、默认，继续点击【下一步】； （图10） 11、默认，继续点击【下一步】； （图11） 12、默认，继续点击【下一步】； （图12） 13、默认，继续点击【下一步】； （图13） 14、点击【安装】； （图14） 15、点击【关闭】，证书服务器安装完成； （图15） Windows Server 2008上使用IIS如何配置WEB服务器上证书应用（SSL应用）？ 此应用用于提高WEB站点的安全访问级别；配置后应用站点可实现安全的服务器至客户端的信道访问；此信道将拥有基于SSL证书加密的HTTP安全通道，保证双方通信数据的完整性，使客户端至服务器端的访问更加安全； 注：以证书服务器创建的WEB站点为示例，搭建WEB服务器端SSL证书应用步骤如下： 1、 打开IIS，WEB服务器，找到【服务器证书】并选中； （图1） 2、点击【服务器证书】，找到【创建证书申请】项； （图2） 3、 单击【创建证书申请】，打开【创建证书申请】后，填写相关文本框，填写中需要注意的是：“通用名称”必需填写本机IP或域名，其它项则可以自行填写； 注：下面的03为示例机IP地址，实际IP地址需根据每人主机IP自行填写；填写完后，单击【下一步】； （图3） 4、 默认，点击【下一步】 ； （图4） 5、 选择并填写需要生成文件的保存路径与文件名, 此文件后期将会被使用；（保存位置、文件名可以自行设定），之后点击【完成】，此配置完成，子界面会关闭； （图5） 6、 接下来，点击IE（浏览器），访问：03/certsrv/；注：此处的03为示例机IP地址，实际IP地址需根据每人主机IP自行填写； （图6-1） 此时会出现证书服务页面；此网站如果点击【申请证书】，进入下一界面点击【高级证书申请】，进入下一界面点击【创建并向此CA提交一个申请】，进入下一界面，此时会弹出一个提示窗口：“为了完成证书注册，必须将该CA的网站配置为使用HTTPS身份验证”；也就是必须将HTTP网站配置为HTTPS的网站，才能正常访问当前网页及功能； （图6-2） 在进行后继内容前，相关术语名词解释： HTTPS（全称：Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。 它是一个URI scheme（抽象标识符体系），句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。 SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全（Transport Layer Security，T