2003 Server CA证书与Web服务器SSL安全通信的部署.docxVIP

CA证书与Web服务器SSL安全通信的部署 实验环境：Windows Server 2003 + Internet Explorer 数字证书 数字证书是用于在Internet上建立人们身份和电子资产的数据文件。它们保证了安全、加密的在线通信并常常被用于保护在线交易。 数字证书由被称为认证中心(CA)的可信赖的第三方来发放。CA认证证书持有者的身份并“签署”证书来证明证书不是伪造的或没有以任何方式篡改。 当一个证书由CA进行数字签署时，其持有者可以使用它作为证明自己身份的电子护照。它可以向Web站点、网络或要求安全访问的个人出示。 内嵌在证书中的身份信息包括持有者的姓名和电子邮件地址、发证CA的名称、序列号以及证书的有效或失效期。当一位用户的身份为CA所确认后，证书使用持有者的公共密钥来保护这一数据。 一台Web服务器用来向用户浏览器证实自己真实性的证书也可以使用公共密钥。当用户打算向Web服务器发送保密信息(如用于一次在线交易信用卡号)时，用户浏览器将索取服务器数字证书中的公共密钥来证实Web站点的身份。 公共密钥加密体制的作用 公共密钥是为数字证书提供基础的公共密钥加密体制中所使用的密钥对中的一半密钥。 公共密钥加密体制利用对应的公共密钥和私有密钥进行加密和解密。这些密钥有着某种数字值，加密算法使用这类数字值来加密信息，使信息只能为拥有相应解密密钥的用户所读懂。 使用数据证书的Web服务器可以利用私有密钥来解密在Internet上发送给它的保密信息。 Web服务器的证书由一个标识发证CA的自签署CA证书来确认有效。CA证书被预安装在大多数主要Web浏览器中，这些浏览器包括Microsoft Internet Explorer和Netscape Navigator。 CA证书告诉用户当Web服务器的证书出示给浏览器时他们是否可以信任Web服务器的证书。如果Web服务器证书的有效性得到证实的话，证书的公共密钥就被用来为使用安全套接层(SSL)技术的服务器加密信息。 SSL安全协议可以利用数字证书在寻求安全通信的双方之间建立安全的管道。多数主要Web浏览器和商用Web服务器中都使用SSL。 呼叫与握手 如果一位购物者打算与一个采用SSL加密的Web站点建立连接的话，他的浏览器向这Web服务器发出客户机呼叫信息，请求一次SSL加密会话。这Web服务器通过向购物者发送服务器的证书进行答复。 购物者的浏览器将验证服务器的证书是否有效，是否由一个可信赖的CA所签署。这一确认两个实体打算建立一次安全的SSL连接的过程被称为SSL握手。 为了启动这次握手，购物者的浏览器将生成一个用服务器公共密钥进行加密的特殊的一次性会话密钥，并向服务器发送这个加了密的会话密钥。服务器利用私有密钥解密收到的信息，恢复出会话密钥。 这种交换证实了Web站点的身份，保证了只有这个浏览器和这台Web服务器才拥有这个会话密钥。然后，Web服务器使用这个会话密钥向购物者发送加密的信息。 当浏览器在一般模式下时，浏览器右下角的一个钥匙或挂锁的图标看起来是断开或打开的。当建立了SSL连接，浏览器处于安全模式时，这把钥匙就变成完整的钥匙并且挂锁也锁上了。 安装证书(CA)服务组件 要想使用SSL安全机制功能，首先必须为Windows Server 2003系统安装证书服务 1、开始 - 控制面板 - 添加或删除程序 - 添加/删除Windows组件，按以下内容勾选并安装 安装过程需要提供Windows Server 2003安装光盘 2、配置CA的公用名称及有效期限 3、CA类型选择独立根CA，后面的步骤全部下一步即可 为网站创建证书请求文件 完成了证书服务的安装后，就可以为要使用SSL安全机制的网站创建请求证书文件 1、开始 - 控制面板 - 管理工具 - Internet 信息服务(IIS)管理器 展开服务器标签，展开网站标签，右键点击要使用SSL的网站，选择属性。这里使用默认网站 切换到目录安全性标签，点击服务器证书按钮 4、在IIS证书向导中选择新建证书，下一步 5、选择现在准备证书请求，但稍后发送，下一步 6、输入证书的名称及位长，下一步 7、设置证书的单位信息，下一步 8、设置证书的公用名称，下一步 9、设置证书的地理信息，下一步 10、指定证书请求文件的导出路径及文件名，下一步。请记好路径及文件名，等会要用 11、验证配置，完成证书请求文件的创建 申请服务器证书 完成证书申请文件的制作之后，需要把证书申请提交给证书服务器 打开IE浏览器，在地址栏中输入http://localhost/certsrv/打开证书服务Web管理。选择申请一个证书 2、选择高级证书申请 3、选择使用base64编码的CMC或PKCS #10文件提高一个证书申请，或使用base64编码