使用证书服务建立SL保护的web站点.docVIP

使用证书服务，建立SSL保护的web站点 一、实训说明 现在，国外电子商务网站都是这样做的，但国内绝大部分的网站却没有提供https加密传输。提供SSL加密链接绝对是互联网企业应该立即动手去做的事情。 通常来说，一个网站只需要一台服务器（就是说一个域名）拥有一个证书就足够了。 本实训模拟一个CA，并从该CA申请数字证书，来对我们的web站点提供SSL加密保护。 二、实训环境与准备工作 由两台计算机完成实训项目。可以让两个同学组成一个小组完成，也可以一个同学在本机和虚拟机组成的局域网环境下完成。 1、虚拟机（windows 2003 server） IP地址：，子网掩码：，在虚拟机上配置证书服务器。 2、计算机（本机） IP地址：，子网掩码：，作为一个站点服务器。 三、实训步骤 第一步，在计算机中安装虚拟机。 第二步，在虚拟机中安装windows 2003 server。 第三步，设置虚拟机的IP地址：，子网掩码：。 第四步，在虚拟机中安装IIS。（添加或删除程序添加/删除windows组件应用程序服务） 第五步，在虚拟机中安装与配置证书服务。 1、在“控制面板”窗口中双击“添加或删除程序”选项，打开“添加或删除程序”窗口。然后在左窗格中单击“添加/删除Windows组件”按钮，打开“Windows组件向导”对话框。 2、在“组件”列表中找到并选中“证书服务”选项，然后单击“详细信息”按钮，在打开的“证书服务”对话框中选中“证书服务Web注册支持”和“证书服务颁发机构（CA）”复选框。依次单击“确定”→“下一步”按钮，如图所示。 3、在打开的“CA类型”对话框中选中“独立根（CA）”单选框，单击“下一步”按钮，如图所示。 4、打开“CA识别信息”对话框，输入CA名称等标识信息（如“qhw2012”可以自己随便命名）。在“有效期限”编辑框中设置CA识别信息的有效期限，单击“下一步”按钮，如图所示。 5、打开“证书数据库设置”对话框，建议保持默认路径，并依次单击“下一步”→“完成”按钮。小提示：在安装过程中系统会提示安装向导将停止IIS服务，单击“是”按钮停止继续安装。如果IIS当前没有启用ASP支持，想到将提示用户启用ASP。单击“是”按钮将继续安装。另外在复制文件的过程中会要求用户提供Windows 2003 Server安装光盘或指定安装源，并且在完成安装后证书服务会自动启动。 6、在开始菜单中依次单击“管理工具”→“证书颁发机构”菜单项，打开“证书颁发机构”窗口。在左窗中右键单击“qhw2012”（即证书服务标识）目录，依次选择“所有任务”→“启动服务”命令启动证书服务，（默认是已启动的）如图所示。 第六步，添加本机的IP地址：，子网掩码：。 第七步，在本机中访问证书服务器。 HYPERLINK /certsrv /certsrv，并选择“申请一个证书”。 选择“高级证书申请”。 选择“创建并向此CA提交一个申请”。 填写高级证书内容。注意：需要的证书类型中一定要选择“服务器身份验证证书”和密钥选项中一定要选择“将证书保存在本地计算机存储中”，其它默认值即可，最后提交。 选择“是”。 第八步，登录虚拟机，打开证书颁发机构，单击“挂起的申请”选项，可以看到刚才申请的证书。右击后选择“颁发”命令。 这时选择“颁发的证书”选项中可以看到已颁发的证书。 第九步，在本机中登录： HYPERLINK /certsrv /certsrv，这次选中“查看挂起的证书申请的状态”单选按钮。 选择“服务器身份验证证书”。 单击“安装此证书”。 选择“是”。 第十步，打开本机的IIS，自已建立一个可以访问的网站，并进行相关设置，如：IP、主目录和文档等。 设置完，打开浏览器， HYPERLINK ，确保这时网页是可以访问的。 第十一步，再次打开本机的IIS，右击站点的属性命令，打开“属性”对话框中的“目录安全性”选项卡，再单击“服务器证书”按钮，把数字证书导入到IIS中。 选择“指派现在证书”。 选择刚申请的证书，这里是“qiuhongwei”。 这时“目录安全性”选项卡里的“查看证书”和“编辑”按钮刚才是灰色的，在导入完证书后，都变成可用了。单击“编辑”按钮，就会弹出一个“安全通信”对话框，选中“申请安全通道（SSL）”和“申请128位加密”复选框，单击“确定”按钮即可。 第十二步，打开本机浏览器，登录网址为：，发现不能登录。 这时登录网址改为： HYPERLINK 。同时选择“安全警报”对话框中的“是”选项。