本地服务器证书认证工具centos7搭建 服务器如何设置证书为1.2
转载
关于2003系统中证书服务(CA)
|
以下请自己参考!
下面就以Windows .NET为例,step by step介绍如何为IIS开启SSL通道。 1.单击"开始",指向"程序",指向"管理工具",然后单击"Internet服务管理器"。 2.扩展域节点。选择"缺省Web页面",然后右击。在子菜单中单击"属性"。 3.显示"缺省Web站点属性"对话框。单击"目录安全"选项卡。 注意在"安全通信"下面的"编辑"按钮现在不可用。这将会持续到您请求一个Web服务器证书。 4.单击"服务器证书"按钮。 5.启动Web服务器证书向导。单击"下一步"。 6.选择"创建一个新证书"选项,单击"下一步"。如果IIS已经有一个证书了,您将看见一个不同的对话框。 7.选择"立即发送请求到在线证书机构"按纽。 (假设在域中已经有一个配置成发布证书的企业CA,关于如何设置CA服务,请详细参考一下文档:
在WIN2000SERVER/.NET中部署公共密钥CA中心
在讨论PKI/CA之前,我想除了了解相关概念之外,有必要亲手搭建一个CA系统,实践一下,那是最好的。
微软的触角真是无处不在,因为在其WIN2000SERVER中,已经提供了很好的PKI架构,其中就是包含了内置Certificate Authority组件,而且也提供了非常完备的CryptoAPI编程接口。当然,在微软新一代服务器.NET中继续提供对PKI的完全支持。
下面,我就介绍一下如何在Windows2000server/.NET中开启CA服务。 1、首先请确认您的服务器已经安装配置了Active Directory服务,这样您就可以给域中的用户颁发数字证书。当然AD服务不是安装CA服务的必要条件,如果仅仅左测试使用,您可以不安装AD服务; 2、确保在您的Windows2000server/.NET中开启IIS服务,并且支持ASP,这样您的CA服务可以通过WEB在INTERNET/INTRANET发布; 3、开始-->设置-->控制面板-->添加/删除程序-->添加/删除Windows组件-->选中证书服务; 4、然后选择合适的CA类型,这里我们选择独立的根CA; 5、如果你要改变微软的默认密钥设置,你可以选中高级选项;一般,我们直接进入下一步; 6、在这里输入您这个CA的详细信息; 7、然后指定存储配置数据、数据库和日志的位置; 8、完成安装向导,系统开始安装CA服务;
然后,您可以通过如下方式访问认证服务器: http://安装认证服务器IP地址/certsrv 在这里,您可以申请一张证书,查看证书请求状态还有下载根证书。
当您完成证书申请之后,您可以通过打开IE-->工具-->INTERNET选项-->内容-->证书-->个人查看您个人证书。
当然你也可以通过把证书服务加入到MMC来进行证书服务管理,方法如下: 开始-->运行-->mmc-->文件-->添加/删除插件-->添加-->证书
)。单击"下一步"。 8.在名字和安全设置对话框中,接受缺省选项。单击"下一步"。 9.在下一个页面上, 输入您的信息,单击"下一步"。 10.在"通用名"文本框中输入您的服务器名字。它可以是DNS名、NetBIOS名称或LOCALHOST。输入您的选择,单击"下一步"。 11.在下一个页面上,输入您的信息,单击"下一步"。 12.如果在域里面已经有了企业CA,并且您可以从那里申请到Web服务器证书,那么您将可以看到它列在那里。 (如果没有CA,如果CA没有配置成可以发布Web服务器证书,或如果您没有权限申请一个Web服务器证书,列表将会是空的。您必须有一个CA来完成这个部分。)选择您要使用的CA,单击"下一步"。 13.就会出现证书请求提交页面。单击"下一步"。 14.单击"完成"。现在服务器就有了一个WEB服务器证书。 15.您将注意到在"安全通信"下面的"编辑"可以使用了,单击"编辑"。 16.进入安全通信对话框,在需要安全通道(SSL)前打上勾。 17.如果你希望以后客户端浏览器和WEB通信的时候需要128位对称加密,那么你就在需要128位加密前打上勾。 18.在客户端证书中有三种选择:忽略客户证书、接收客户证书和申请客户证书。选择第一第二种仅仅是开启SSL单向认证,选择第三种着开启SSL双向认证。 19.选择"接受客户端证书","接受客户端证书"设置需要在客户端证书和浏览器之间进行协商。您也必须选中"申请安全通道(SSL)"选项框。如果失败了,它不允许退回到另一个验证方法。需要安全通道意味着Web站点将不能通过HTTP协议进行访问,只可以通过HTTPS协议进行访问。单击"确定"。单击"应用"并且单击"确定"。 20.单击确定,好了,您的SSL通道开启了。 以后你就可以通过https访问WEB服务了。
**************************************
|
获得证书 要开始进行获得证书的过程,必须生成一个 CSR。您需要通过 IIS 管理控制台生成 CSR,所以必须首先安装 IIS。从本质上说,CSR 就是一个在您的服务器上生成的证书,当您向第三方证书颁发机构申请证书时,它可以验证有关您的服务器的计算机特定信息。CSR 就是一条用公钥/私钥对加密的文本消息。
通常在生成的 CSR 中将包含下列有关您计算机的信息: • 单位 • 部门 • 国家/地区 • 省 • 县市 • 公用名称注意:公用名称通常由您的主机名称和它所属的域组成,如 xyz.com。这里,计算机是 .com 域的一部分,其名称为 XYZ。这可以是您公司域的根服务器,或仅为一个网站。
生成 CSR 1. 访问 IIS Microsoft 管理控制台 (MMC)。为此,请右键单击我的电脑,单击管理。这将打开计算机管理控制台。展开服务和应用程序部分。找到 Internet 信息服务,展开 IIS 控制台。 2. 选择您希望安装服务器证书的特定网站。右键单击站点,然后单击属性。 3. 单击目录安全性选项卡。在安全通信部分,单击服务器证书。这将启动 Web 服务器证书向导。单击下一步。 4. 选择创建一个新证书,单击下一步。 5. 选择现在准备请求,但稍侯发送,然后单击下一步。 6. 在名称字段输入一个您可以记住的名称。该名称将默认为您为其生成 CSR 的网站的名称。注意:生成 CSR 时,您需要指定位长。加密密钥的位长决定了您发送给第三方证书颁发机构的加密证书的加密效果。位长越长,加密效果越好。大多数第三方证书颁发机构希望位长至少为 1024 位。 7. 在单位信息部分,输入您的单位和单位部门信息。该信息必须准确无误,因为您将把这些凭证提供给第三方证书颁发机构,而您必须符合他们的证书授权。单击下一步进入站点的公用名称部分。 8. 站点的公用名称部分负责将证书绑定到您的网站。对于 SSL 证书,输入主机名称和域名称。对于 Intranet 服务器,可以使用寄存站点的计算机的 NetBIOS 名称。单击下一步进入地理信息。 9. 输入您的国家/地区、州或省及国家或地区信息。完全拼出您的州或省和国家或地区,不要使用缩写。单击下一步。 10. 将文件保存为 .txt 文件。当您实际向证书颁发机构发送请求时,必须将该文件的内容粘贴到请求中。该文件将被加密,并包含内容的标题和脚注。请求证书时必须同时包含标题和脚注。 11. 确认您的请求的细节。单击下一步完成,并退出 Web 服务器证书向导。
申请证书 提交申请有多种方法。与您选择的证书提供者联系,申请并接收证书,同时确定符合您要求的最佳证书等级。
http://安装认证服务器IP地址/certsrv
申请一个证书-->高级证书申请-->使用base64编码的CMC或PKCS#10文件提交一个证书申请...将CSR内容复制到请求中,选择Web服务器证书模版,并提交-->下载证书到本地
安装证书 一旦第三方证书颁发机构完成了您的服务器证书请求,您将通过电子邮件或下载站点接收到您的证书。证书必须安装在您希望提供安全通信的网站上。
要安装证书,请执行下列步骤: 1. 密钥只能用您早些时候生成的私钥加密。复制证书密钥的文本(它应该与您早些时候生成的密钥十分相似),并将其粘贴到一个 .txt 文档中。确保包含证书的标题和脚注。将文件保存为 Cert.txt。 2. 按“生成 CSR”一节中所描述的步骤打开 IIS MMC。 3. 进入要在上面安装证书的网站的属性对话框。 4. 单击目录安全性选项卡,然后单击服务器证书。这将启动 Web 服务器证书向导。单击下一步。 5. 选择处理挂起的请求并安装证书,然后单击下一步。 6. 浏览到您在第 1 步保存的文本文件。单击两次下一步,然后单击完成。
实施 SSL 连接 安装了服务器证书后,您便可以对 Web 服务器的客户实施 SSL 安全通道通讯。首先,您需要启用端口 443,以便在网站上进行安全通信。为此,请按照下列步骤操作: 1. 从计算机管理控制台中,右键单击您希望实施 SSL 的网站,然后单击属性。 2. 单击 Web 站点选项卡。在 Web 站点标识部分,验证 SSL 端口字段是否填充着数值 443。 3. 单击高级。您应该看到两个字段。IP 地址和网站的端口应该已经在此 Web 站点有多个标识字段中列出。如果没有列出端口 443,则在此 Web 站点有多个 SSL 标识字段下,单击添加。选择服务器的 IP 地址,在 SSL 端口字段中键入数值 443。单击确定。 启用了端口 443 后,您便可以实施 SSL 连接了。为此,请按照下列步骤操作: 1. 单击目录安全性选项卡。在安全通信部分,请注意编辑现在已可用。单击编辑。 2. 选择需要安全通道(SSL)。注意:如果您指定 128 位加密,则使用 40 位或 56 位强度浏览器的客户端将无法与您的站点通信,除非他们升级加密强度。 3. 打开浏览器,试着用标准 http:// 协议连接您的 Web 服务器。如果实施了 SSL,您将收到如下错误消息: The page must be viewed over a secure channel The page you are trying to view requires the use of "https" in the address. Please try the following:Try again by typing https:// at the beginning of the address you are attempting to reach.HTTP 403.4 - Forbidden:SSL required Internet Information Services Technical Information (for support personnel) Background:This error indicates that the page you are trying to access is secured with Secure Sockets Layer (SSL). 现在您只能使用 https:// 协议连接网站。
|
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。