SSL加密服务证书在IIS中的应用.docVIP

SSL加密服务器证书在IIS中的应用配置应用实验 实验目的： 实验内容： 试验方法： 实验步骤： 步骤如下： 登录Windows Server2003，在“控制面板”中安装IIS6.0，如图： 安装并配置证书颁发机构， 也是在“控制面板”中添加“证书服务”功能组件，如图： 下一步： 选择“独立根CA”，下一步： 填写“此CA的公用名称”，下一步： 设置证书数据库的几个文件夹，记住该文件夹所在的位置，下一步： 在安装证书服务的时候我们首先要停止IIS，我们选“是”,直至安装完成。 创建证书请求 Web服务器需要为证书创建一个请求，在这个过程中Web服务器也将为自己创建一个密钥对，而公钥将是证书的一部分。 下面是证书请求的一个过程： 打开IIS管理器，如图： 右击“默认站点”，选择“属性”，选择“目录安全性” 选择“服务器证书”， 这里我们新建一个证书，下一步： 下一步： 设置新证书的名称“chunlin_cer”，位长为默认的1024，下一步： 填写单位的相关信息，以便与其他单位的证书分开，下一步： 使用默认公用名称即可，下一步， 填写地理信息，下一步， 这里是将我们上面证书请求的内容保存为一个文本文件，以作后用，下一步，直至完成。 提交证书请求 将Web服务器证书请求提交到证书服务器。步骤如下： 打开IE浏览器，登录到证书请求服务器中， HYPERLINK http://localhost/certsrv http://localhost/certsrv，如图： 进入证书服务页面，如图： 我们选择“申请一个证书”，然后再选择“高级证书申请”如图： 我们选择其中的第二项，我们进入“提交一个证书申请或续订申请”页面，如图： 我们将前面生成的文本文件c:\certreq.txt文件内容复制到保存申请的文本框中，提交，如图： 至此证书提交过程完成。 5、颁发证书 通常在颁发证书之前有个证书服务器的所有者履行验证过程 进入办法机构页面，如图 选中上图右边窗口中的挂起申请条目，选择任务中的颁发，如图： 这时我们已经将申请确认并颁发成功，选中“颁发的证书”，我们会在右边窗口中看到已经颁发完成的证书记录，如图： 6、下载证书 在IE浏览器中输入 HYPERLINK http://localhost/certsrv http://localhost/certsrv，如图： 选择“查看挂起的证书申请状态”，通过查看证书申请后是不是已经被核实后颁发，如图： 选择“Base 64编码”，点击下载证书，我们将下载已经颁发的证书，如图： 保存命名为“certnew.cer”的证书到桌面，如图： 配置WEB站点安装SSL证书 下面我们来配置默认Web站点安装SSL证书。 在IIS管理器的默认站点属性的目录安全性页面中，选择“服务器证书”，如图： 选择“处理挂起的请求并安装证书”，如图： 选择证书文件，下一步， 为SSL选择使用的端口443，继续下一步， 显示证书的内容摘要，完成。 配置站点使用SSL 在IIS默认站点属性窗口中的“目录安全性”页中，选择“编辑”，如图： 在“安全通信”页中选择“要求安全通道(SSL)”，使该WEB站点在对外服务时将采用SSL加密处理后进行传输。 9、配置客户端IE 我们以windows XP上IE访问该站点为例，在IE输入Web的URL，如 HYPERLINK 52 52，会出现如下页面，如图： 页面显示“该页必须通过安全通道查看”，并提示在访问的地址前键入https://，也就是说被访问的WEB网站采用了SSL安全通道，这是我们再次输入 HYPERLINK 52 52， 这时的页面能够正确的显示，其中的内容在网络传输过程中通过SSL证书密钥进行了加密，数据将不会再被截获而泄密。 利用证书实现IPSEC 利用证书实现IPSEC 利用证书建立IPSEC安全通讯 在讲解IPSEC策略之前，首先必须了解微软预定义的IPSEC策略 1． Client : 这种方式用一句不恰当的比喻：中国在任何情况下不首先谋求使用核武器，即发起通讯的计算机在任何情况下不首先谋求IPSEC通讯，如果对方需要IPSEC，则启用IPSEC。 2．? Server：首先谋求使用IPSEC，如果对方不接受，则转而采用普通的通讯方式。 3．? Secure server: 在任何情况下都谋求使用“核武器” 见下图： 这三种方式各自有各自得使用范围，比如，在高安全环境中，需要使用安全服务器方式，但在另外的环境中，则需要其他的方式：比如两台域控制器分列在企业防火墙的两端，需要进行安全的活动目录复制，我们可以考虑采用IPSEC，但每个服务器又需要接受本地的客户机的安全验证审核，本地的计算机之间并没有采用IPSEC，则在两台服务器上可以采用SERVER方式的IPS