Windowsserver2003SSL配置

技術小胖子發表於2017-11-15
WindowsServer
SSL(Security Socket Layer,安全套接層)是一種在兩臺主機之間提供安全通道的協議,其目的是通過加密保護傳輸的資料並對通訊雙方進行身份驗證,保證兩臺主機之間的通訊安全.SSL最早由網景公司開發的,在目前應用中,廣泛採用標準SSLv3.
下面先來部署HTTPS
有關具體的部署可看之前的文章IIS.
這裡是針對部署的411網站,點其屬性.
點伺服器證書,開始為網站申請證書.
下一步
點新建證書.
下一步.
輸入證書名稱.
設定網站的公用名稱
設定網站所在的地理位置資訊
指定證書請求的檔名稱
點下一步
證書請求檔案建立完成
然後按照之前CA部署的文章進行使用生成證書請求檔案向CA提供證書申請,然後在CA上頒發證書.
 
下面來看獲取和安裝網站證書
獲取的步驟也參看CA部署文章
這個是獲得的網站證書.
然後開啟網站屬性對話方塊”目錄安全性”選項卡,單擊伺服器證書.
現在來處理掛起的請求並安裝證書
在此對話方塊中指定從CA獲得的網站證書的檔名稱.
在此對話方塊中指定HTTPS的埠,標準埠為443
顯示了即將安裝的網站證書的基本資訊.
點完成
這樣早請的網站證書安裝就完成了.
點檢視證書
這裡有關證書的詳細資訊
 
下面來看通過HTTPS訪問網站
登入WEB客戶端,並從CA獲取CA證書
並點選安裝
下一步
這裡預設便可以
點完成
然後單擊開始–執行
確定
在證書管理控制檯能夠看到安裝的CA證書.
單擊開始–控制皮膚–INTERNET選項,開啟INTERNET屬性對話方塊,單擊內容標籤.
單擊證書
也能夠看到安裝的CA證書
下面來配置網站只接受HTTPS訪問
在WEB伺服器上點安全通訊中的編輯,選中”要求安全通道”並忽略客戶端證書.
然後在客戶端開啟瀏覽器訪問WEB伺服器.
可以看到要用HTTPS為通訊協議的URL才能成功訪問.
配置HTTPS的加密強度
並勾選要求128位加密
訪問成功
配置HTTPS執行雙向認證
預設情況下,HTTPS單向認證的模式工作,即客戶端通過網站證書來驗證網站的身份,但網站並不驗證客戶端的身份,如果需要通過證書驗證客戶端身份,則可以要求試圖訪問網站的客戶端必須提供證書才能進行訪問,執行雙向認證時,網站將只接受HTTPS訪問
選擇要求客戶端證書
然後要向CA申請WEB瀏覽器證書.
點WEB瀏覽器證書
中間的過程就省略了,之前文章已介紹過
然後點安裝此證書
點是
在HTTPS執行雙向認證的過程中,預設情況下,網站收到客戶端提供的證書後會檢查CRL以驗證該證書是否被吊銷,如果未能聯絡到CA或未能檢查到CRL,因而無法確認客戶端證書的吊銷狀態,則將拒絕該證書,可以配置指定網站在收到客戶端證書後不檢查CRL.
certchechmode的預設值為0,即網站需檢查CRL,將其值設定為1,則網站不再檢查CRL.
通過證書對訪問網站的使用者進行身份驗證
通過將客戶端證書對映到WEB伺服器上的WINDOWS使用者帳戶,可以建立證書與使用者賬戶關聯,基於這種關係,網站通過驗證證書即可驗證該證書使用者的使用者身份,當使用者使用客戶端證書登入時,WEB伺服器就會自動將使用者與相應的WINDOWS使用者賬戶關聯起來
啟用客戶端證書對映
單擊編輯
點新增
確定
配置HTTPS啟用證書信任列表
點新建
下一步
選擇要新增的CA證書
下一步
輸入名稱
點完成
完成.
     本文轉自yangming1052 51CTO部落格,原文連結:http://blog.51cto.com/ming228/104180,如需轉載請自行聯絡原作者


相關文章