Windows server 2003 SSL 配置
2013-05-02 19:06
246 查看
tag: Windows server 2003 SSL 配置
原文传送门
SSL(Security Socket Layer,安全套接层)是一种在两台主机之间提供安全通道的协议,其目的是通过加密保护传输的数据并对通信双方进行身份验证,保证两台主机之间的通信安全.SSL最早由网景公司开发的,在目前应用中,广泛采用标准SSLv3.
下面先来部署HTTPS
有关具体的部署可看之前的文章IIS.
![](http://img1.51cto.com/attachment/200810/200810071223378705140.jpg)
这里是针对部署的411网站,点其属性.
![](http://img1.51cto.com/attachment/200810/200810071223378767171.jpg)
点服务器证书,开始为网站申请证书.
![](http://img1.51cto.com/attachment/200810/200810071223378822453.jpg)
下一步
![](http://img1.51cto.com/attachment/200810/200810071223378871218.jpg)
点新建证书.
![](http://img1.51cto.com/attachment/200810/200810071223378908578.jpg)
下一步.
![](http://img1.51cto.com/attachment/200810/200810071223378964828.jpg)
输入证书名称.
![](http://img1.51cto.com/attachment/200810/200810071223379010921.jpg)
设置网站的公用名称
![](http://img1.51cto.com/attachment/200810/200810071223379054734.jpg)
设置网站所在的地理位置信息
![](http://img1.51cto.com/attachment/200810/200810071223379085250.jpg)
指定证书请求的文件名称
![](http://img1.51cto.com/attachment/200810/200810071223379111375.jpg)
点下一步
![](http://img1.51cto.com/attachment/200810/200810071223379137171.jpg)
证书请求文件创建完成
然后按照之前CA部署的文章进行使用生成证书请求文件向CA提供证书申请,然后在CA上颁发证书.
下面来看获取和安装网站证书
获取的步骤也参看CA部署文章
![](http://img1.51cto.com/attachment/200810/200810071223379283265.jpg)
这个是获得的网站证书.
然后打开网站属性对话框"目录安全性"选项卡,单击服务器证书.
![](http://img1.51cto.com/attachment/200810/200810071223379469109.jpg)
现在来处理挂起的请求并安装证书
![](http://img1.51cto.com/attachment/200810/200810071223379504078.jpg)
在此对话框中指定从CA获得的网站证书的文件名称.
![](http://img1.51cto.com/attachment/200810/200810071223379550609.jpg)
在此对话框中指定HTTPS的端口,标准端口为443
![](http://img1.51cto.com/attachment/200810/200810071223379588468.jpg)
显示了即将安装的网站证书的基本信息.
![](http://img1.51cto.com/attachment/200810/200810071223379637250.jpg)
点完成
这样早请的网站证书安装就完成了.
![](http://img1.51cto.com/attachment/200810/200810071223379760484.jpg)
点查看证书
![](http://img1.51cto.com/attachment/200810/200810071223379784515.jpg)
这里有关证书的详细信息
下面来看通过HTTPS访问网站
登录WEB客户端,并从CA获取CA证书
![](http://img1.51cto.com/attachment/200810/200810071223379850171.jpg)
并点击安装
![](http://img1.51cto.com/attachment/200810/200810071223379882765.jpg)
下一步
![](http://img1.51cto.com/attachment/200810/200810071223379899984.jpg)
这里默认便可以
![](http://img1.51cto.com/attachment/200810/200810071223379916937.jpg)
点完成
然后单击开始--运行
![](http://img1.51cto.com/attachment/200810/200810071223379952359.jpg)
确定
![](http://img1.51cto.com/attachment/200810/200810071223379970625.jpg)
在证书管理控制台能够看到安装的CA证书.
单击开始--控制面板--INTERNET选项,打开INTERNET属性对话框,单击内容标签.
![](http://img1.51cto.com/attachment/200810/200810071223380077906.jpg)
单击证书
![](http://img1.51cto.com/attachment/200810/200810071223380100828.jpg)
也能够看到安装的CA证书
下面来配置网站只接受HTTPS访问
![](http://img1.51cto.com/attachment/200810/200810071223381297218.jpg)
在WEB服务器上点安全通信中的编辑,选中"要求安全通道"并忽略客户端证书.
![](http://img1.51cto.com/attachment/200810/200810071223381403187.jpg)
然后在客户端打开浏览器访问WEB服务器.
![](http://img1.51cto.com/attachment/200810/200810071223381445625.jpg)
可以看到要用HTTPS为通信协议的URL才能成功访问.
配置HTTPS的加密强度
![](http://img1.51cto.com/attachment/200810/200810071223381520921.jpg)
并勾选要求128位加密
![](http://img1.51cto.com/attachment/200810/200810071223381560093.jpg)
访问成功
配置HTTPS执行双向认证
默认情况下,HTTPS单向认证的模式工作,即客户端通过网站证书来验证网站的身份,但网站并不验证客户端的身份,如果需要通过证书验证客户端身份,则可以要求试图访问网站的客户端必须提供证书才能进行访问,执行双向认证时,网站将只接受HTTPS访问
![](http://img1.51cto.com/attachment/200810/200810071223381770375.jpg)
选择要求客户端证书
![](http://img1.51cto.com/attachment/200810/200810071223381819640.jpg)
然后要向CA申请WEB浏览器证书.
![](http://img1.51cto.com/attachment/200810/200810071223381920734.jpg)
点WEB浏览器证书
中间的过程就省略了,之前文章已介绍过
![](http://img1.51cto.com/attachment/200810/200810071223381972109.jpg)
然后点安装此证书
![](http://img1.51cto.com/attachment/200810/200810071223381995515.jpg)
点是
![](http://img1.51cto.com/attachment/200810/200810071223382032359.jpg)
在HTTPS执行双向认证的过程中,默认情况下,网站收到客户端提供的证书后会检查CRL以验证该证书是否被吊销,如果未能联系到CA或未能检查到CRL,因而无法确认客户端证书的吊销状态,则将拒绝该证书,可以配置指定网站在收到客户端证书后不检查CRL.
![](http://img1.51cto.com/attachment/200810/200810071223382213687.jpg)
certchechmode的默认值为0,即网站需检查CRL,将其值设置为1,则网站不再检查CRL.
通过证书对访问网站的用户进行身份验证
通过将客户端证书映射到WEB服务器上的WINDOWS用户帐户,可以建立证书与用户账户关联,基于这种关系,网站通过验证证书即可验证该证书使用者的用户身份,当用户使用客户端证书登录时,WEB服务器就会自动将用户与相应的WINDOWS用户账户关联起来
![](http://img1.51cto.com/attachment/200810/200810071223382847218.jpg)
启用客户端证书映射
单击编辑
![](http://img1.51cto.com/attachment/200810/200810071223382881640.jpg)
点添加
![](http://img1.51cto.com/attachment/200810/200810071223382956015.jpg)
确定
配置HTTPS启用证书信任列表
![](http://img1.51cto.com/attachment/200810/200810071223383077093.jpg)
点新建
![](http://img1.51cto.com/attachment/200810/200810071223383094609.jpg)
下一步
![](http://img1.51cto.com/attachment/200810/200810071223383122125.jpg)
选择要添加的CA证书
![](http://img1.51cto.com/attachment/200810/200810071223383155390.jpg)
下一步
![](http://img1.51cto.com/attachment/200810/200810071223383176687.jpg)
输入名称
![](http://img1.51cto.com/attachment/200810/200810071223383193500.jpg)
点完成
![](http://img1.51cto.com/attachment/200810/200810071223383210968.jpg)
完成.
原文传送门
SSL(Security Socket Layer,安全套接层)是一种在两台主机之间提供安全通道的协议,其目的是通过加密保护传输的数据并对通信双方进行身份验证,保证两台主机之间的通信安全.SSL最早由网景公司开发的,在目前应用中,广泛采用标准SSLv3.
下面先来部署HTTPS
有关具体的部署可看之前的文章IIS.
![](http://img1.51cto.com/attachment/200810/200810071223378705140.jpg)
这里是针对部署的411网站,点其属性.
![](http://img1.51cto.com/attachment/200810/200810071223378767171.jpg)
点服务器证书,开始为网站申请证书.
![](http://img1.51cto.com/attachment/200810/200810071223378822453.jpg)
下一步
![](http://img1.51cto.com/attachment/200810/200810071223378871218.jpg)
点新建证书.
![](http://img1.51cto.com/attachment/200810/200810071223378908578.jpg)
下一步.
![](http://img1.51cto.com/attachment/200810/200810071223378964828.jpg)
输入证书名称.
![](http://img1.51cto.com/attachment/200810/200810071223379010921.jpg)
设置网站的公用名称
![](http://img1.51cto.com/attachment/200810/200810071223379054734.jpg)
设置网站所在的地理位置信息
![](http://img1.51cto.com/attachment/200810/200810071223379085250.jpg)
指定证书请求的文件名称
![](http://img1.51cto.com/attachment/200810/200810071223379111375.jpg)
点下一步
![](http://img1.51cto.com/attachment/200810/200810071223379137171.jpg)
证书请求文件创建完成
然后按照之前CA部署的文章进行使用生成证书请求文件向CA提供证书申请,然后在CA上颁发证书.
下面来看获取和安装网站证书
获取的步骤也参看CA部署文章
![](http://img1.51cto.com/attachment/200810/200810071223379283265.jpg)
这个是获得的网站证书.
然后打开网站属性对话框"目录安全性"选项卡,单击服务器证书.
![](http://img1.51cto.com/attachment/200810/200810071223379469109.jpg)
现在来处理挂起的请求并安装证书
![](http://img1.51cto.com/attachment/200810/200810071223379504078.jpg)
在此对话框中指定从CA获得的网站证书的文件名称.
![](http://img1.51cto.com/attachment/200810/200810071223379550609.jpg)
在此对话框中指定HTTPS的端口,标准端口为443
![](http://img1.51cto.com/attachment/200810/200810071223379588468.jpg)
显示了即将安装的网站证书的基本信息.
![](http://img1.51cto.com/attachment/200810/200810071223379637250.jpg)
点完成
这样早请的网站证书安装就完成了.
![](http://img1.51cto.com/attachment/200810/200810071223379760484.jpg)
点查看证书
![](http://img1.51cto.com/attachment/200810/200810071223379784515.jpg)
这里有关证书的详细信息
下面来看通过HTTPS访问网站
登录WEB客户端,并从CA获取CA证书
![](http://img1.51cto.com/attachment/200810/200810071223379850171.jpg)
并点击安装
![](http://img1.51cto.com/attachment/200810/200810071223379882765.jpg)
下一步
![](http://img1.51cto.com/attachment/200810/200810071223379899984.jpg)
这里默认便可以
![](http://img1.51cto.com/attachment/200810/200810071223379916937.jpg)
点完成
然后单击开始--运行
![](http://img1.51cto.com/attachment/200810/200810071223379952359.jpg)
确定
![](http://img1.51cto.com/attachment/200810/200810071223379970625.jpg)
在证书管理控制台能够看到安装的CA证书.
单击开始--控制面板--INTERNET选项,打开INTERNET属性对话框,单击内容标签.
![](http://img1.51cto.com/attachment/200810/200810071223380077906.jpg)
单击证书
![](http://img1.51cto.com/attachment/200810/200810071223380100828.jpg)
也能够看到安装的CA证书
下面来配置网站只接受HTTPS访问
![](http://img1.51cto.com/attachment/200810/200810071223381297218.jpg)
在WEB服务器上点安全通信中的编辑,选中"要求安全通道"并忽略客户端证书.
![](http://img1.51cto.com/attachment/200810/200810071223381403187.jpg)
然后在客户端打开浏览器访问WEB服务器.
![](http://img1.51cto.com/attachment/200810/200810071223381445625.jpg)
可以看到要用HTTPS为通信协议的URL才能成功访问.
配置HTTPS的加密强度
![](http://img1.51cto.com/attachment/200810/200810071223381520921.jpg)
并勾选要求128位加密
![](http://img1.51cto.com/attachment/200810/200810071223381560093.jpg)
访问成功
配置HTTPS执行双向认证
默认情况下,HTTPS单向认证的模式工作,即客户端通过网站证书来验证网站的身份,但网站并不验证客户端的身份,如果需要通过证书验证客户端身份,则可以要求试图访问网站的客户端必须提供证书才能进行访问,执行双向认证时,网站将只接受HTTPS访问
![](http://img1.51cto.com/attachment/200810/200810071223381770375.jpg)
选择要求客户端证书
![](http://img1.51cto.com/attachment/200810/200810071223381819640.jpg)
然后要向CA申请WEB浏览器证书.
![](http://img1.51cto.com/attachment/200810/200810071223381920734.jpg)
点WEB浏览器证书
中间的过程就省略了,之前文章已介绍过
![](http://img1.51cto.com/attachment/200810/200810071223381972109.jpg)
然后点安装此证书
![](http://img1.51cto.com/attachment/200810/200810071223381995515.jpg)
点是
![](http://img1.51cto.com/attachment/200810/200810071223382032359.jpg)
在HTTPS执行双向认证的过程中,默认情况下,网站收到客户端提供的证书后会检查CRL以验证该证书是否被吊销,如果未能联系到CA或未能检查到CRL,因而无法确认客户端证书的吊销状态,则将拒绝该证书,可以配置指定网站在收到客户端证书后不检查CRL.
![](http://img1.51cto.com/attachment/200810/200810071223382213687.jpg)
certchechmode的默认值为0,即网站需检查CRL,将其值设置为1,则网站不再检查CRL.
通过证书对访问网站的用户进行身份验证
通过将客户端证书映射到WEB服务器上的WINDOWS用户帐户,可以建立证书与用户账户关联,基于这种关系,网站通过验证证书即可验证该证书使用者的用户身份,当用户使用客户端证书登录时,WEB服务器就会自动将用户与相应的WINDOWS用户账户关联起来
![](http://img1.51cto.com/attachment/200810/200810071223382847218.jpg)
启用客户端证书映射
单击编辑
![](http://img1.51cto.com/attachment/200810/200810071223382881640.jpg)
点添加
![](http://img1.51cto.com/attachment/200810/200810071223382956015.jpg)
确定
配置HTTPS启用证书信任列表
![](http://img1.51cto.com/attachment/200810/200810071223383077093.jpg)
点新建
![](http://img1.51cto.com/attachment/200810/200810071223383094609.jpg)
下一步
![](http://img1.51cto.com/attachment/200810/200810071223383122125.jpg)
选择要添加的CA证书
![](http://img1.51cto.com/attachment/200810/200810071223383155390.jpg)
下一步
![](http://img1.51cto.com/attachment/200810/200810071223383176687.jpg)
输入名称
![](http://img1.51cto.com/attachment/200810/200810071223383193500.jpg)
点完成
![](http://img1.51cto.com/attachment/200810/200810071223383210968.jpg)
完成.
相关文章推荐
- Windows server 2003 SSL 配置 推荐
- Windows server 2003 SSL 配置
- Windows server 2003 SSL 配置
- Windows server 2003 SSL 配置
- WINDOWS SERVER 2003从入门到精通之配置DHCP服务器(下)
- Windows Server 2003 安全配置
- 配置 Windows Server 2003 -- IIS 6
- 在 Windows Server 2003 企业服务器中如何配置 IPv6 协议
- windows server 2003 IIS网站的配置
- 在 Windows Server 2003 上的 IIS 6.0 中使用 IIS 5 隔离模式时,如何为 ASP.NET 1.1 的 ASPNET 帐户配置进程标识
- Windows Server 2003 IIS配置: HTTP错误 404 - 文件或目录未找到[可以解析aspx,但不能
- Windows Server 2003 Active Directory 配置指南
- Windows Server 2003 安全配置
- 在 Windows Server 2003 中配置 DNS 动态更新
- Windows Server 2003 DNS服务安装配置
- 在Windows server 2003上配置DHCP服务
- Windows server 2003 IP路由配置
- Windows Server 2003 虚拟主机的安全配置