IIS+https客户端证书访问配置.docxVIP

一、测试环境配置11、win2003系统_111.1.安装IIS以承载CA证书服务11.2.安装证书服务，CA的公用名称设置为TestCA12、win2003系统_222.1.安装IIS23、win2003系统_32二、配置过程31、win2003系统_2申请并配置IIS 的SSL的服务端证书31.1.生成证书申请文件31.2.提交证书申请81.3.颁发证书81.4.上安装证书91.5.将web站点配置为要求 SSL 访问111.6.测试IE使用SSL浏览112、win2003系统_3申请安装客户端证书ClientCert2003123、在win2003系统_2上设置客户证书映射123.1.Web服务器上导入客户端证书123.2.导入客户端证书的根证书133.3.设置IIS中网站的客户端证书映射163.4.Web网站读取客户端映射的windows账户18三、测试18?本文给出了如何配置IIS通过SSL安全通道进行访问的方法，并在此基础上详细讨论了IIS如何设置要求对客户端提供客户端证书进行身份验证。IIS端SSL服务器证书申请和安装，从而配置SSL安全访问通道。客户端证书的申请和安装，IIS端如何映射客户端证书到服务器上的windows账户等等。?一、? 测试环境配置准备三台机器，都是windows 2003操作系统，每台机器的作用，和其上需要安装的服务和配置如下：1、win2003系统_1ip：1机器名：win2003base1服务器作用：这个服务器是用来安装证书服务，作为一个CA提供证书服务。1.1.?? 安装IIS以承载CA证书服务1.2.?? 安装证书服务，CA的公用名称设置为TestCA在安装证书服务过程中会生成一个证书服务的证书，一个自己颁给自己的证书作为这个CA的根证书：在安装了证书服务后，会把这个TestCA证书保存证书存储区的多个位置：?? 本地计算机存储区中的“个人”、“受信任的根证书颁发机构”、“中级证书颁发机构”，其中在“中级证书颁发机构”下的“证书”和“证书吊销列表”中都有（为什么会出现在“证书吊销列表”中？）。?? 当前用户存储区的“个人”。?2、win2003系统_2ip：2机器名：win2003base2服务器作用：这个服务器是用来作为web server，建立一个网站，设置为SSL安全通道访问，并需要客户端证书进行访问。2.1.?? 安装IIS默认网站作为测试客户端证书访问的web站点。?3、win2003系统_3ip：3机器名：win2003base3机器作用：这个机器只是作为一个单纯的IE客户端，用来申请客户端证书并使用证书访问web server。??二、? 配置过程1、win2003系统_2申请并配置IIS 的SSL的服务端证书1.1.?? 生成证书申请文件在IIS要访问的那个网站的属性中，“目录安全性”--“服务器证书”，选新建证书：下一步：下一步：向导使用当前 Web 站点名称作为默认名称。它不在证书中使用，但作为友好名称以助于管理员识别。下一步：单位和部门，这些信息将放在证书申请中，因此应确保它的正确性。CA 将验证这些信息并将其放在证书中。浏览您的 Web 站点的用户需要查看这些信息，以便决定他们是否接受证书。下一步：公用名是证书最后的最重要信息之一。它是 Web 站点的 DNS 名称（即用户在浏览您的站点时键入的名称）。如果证书名称与站点名称不匹配，当用户浏览到您的站点时，将报告证书问题。如果您的站点在 Web 上并且被命名为 ，这就是您应当指定的公用名。如果您的站点是内部站点，并且用户是通过计算机名称浏览的，请输入计算机的 NetBIOS 或 DNS 名称。这里因为win2003系统_2服务器的机器名是win2003base2，所以共用名称设为win2003base2。下一步：下一步：会要求证书申请的文件名，这是您的证书申请的 Base 64 编码表示形式。申请中包含输入到向导中的信息，还包括您的公钥和用您的私钥签名的信息。将此申请文件发送到 CA。然后 CA 会使用证书申请中的公钥信息验证用您的私钥签名的信息。CA 也验证申请中提供的信息。?当您将申请提交到 CA 后，CA 将在一个文件中发回证书。然后您应当重新启动 Web 服务器证书向导。下一步：?完成生成申请过程。1.2.?? 提交证书申请证书申请现在可以发送到 CA 进行验证和处理。当您从 CA 收到证书响应以后，可以再次使用 IIS 证书向导，在 Web 服务器上继续安装证书。?使用“记事本”打开在前面的过程中生成的证书文件，将它的整个内容复制到剪贴板。启动 Internet Explorer，导航到1/certsrv，指向win2003系统_1的证书服务。单击“申请一个证书”，然后单击“下一步”。在“选择申请类