安装好Windows Server 2003 后,如果需要安装域控制器或者加入域,请先完成这一步。然后安装IIS,注意IIS一定要在证书颁发机构安装之前安装,否则证书颁发机构的网页控制台就无法安装了。安装好IIS后再来安装证书颁发机构,一切都装好之后,就可以申请证书了。
打开IIS控制台,打开要使用SSL协议的网站属性,点击“目录安全性”选项卡,单击”服务器证书“按钮,点击下一步新建一个证书请求文件,这里有一个要注意的地方就是”功用名称“的写法。我们的证书是用于web服务的,所以这里一定要填网站的访问域名,比如www.chuiniudi.cn,注意这里如果填chuiniudi.cn,用www.chuiniudi.cn就无法访问,会出现证书不是颁发给该网站之类的提示。
证书请求文件默认保存在c:\certreq.txt,打开 证书颁发机构,右键单击服务器,所有任务-提交一个新的申请,选择刚才生成的申请文件certreq.txt。在”挂起的申请“中,右键单击刚才提交的申请,所有任务-颁发。然后进”颁发的证书,双击刚才颁发的证书,进入“详细信息”选项卡,点击”复制到文件”按钮,保存证书文件到硬盘。
打开网站属性-目录安全性-服务器证书,几个下一步之后选择刚才的证书,然后保存。
客户端直接访问http://www.chuiniudi.cn/certsrv点击”下载一个 CA 证书,证书链或 CRL“然后点击”安装此 CA 证书链。“这样,就在客户端把我们自己做的证书颁发机构添加进受信任的证书颁发机构了。
现在的动态网站一般都有自己的后台,我们可以通过数字证书来实现只允许自己访问网站后台。
在客户端上打开证书颁发机构的申请网站。点击”申请一个证书“,再点”Web 浏览器证书“填写相关信息,国家这里填写英文缩写”cn”。点击”提交”按钮。
在服务器上打开证书颁发机构的控制台,照上文所说的那样颁发刚才申请的证书。
再次用客户端访问刚才的证书颁发机构的网页,点击”查看挂起的证书申请的状态“,再点”Web 浏览器证书 (2009年3月11日 11:08:03) “(此处日期是你申请证书时的日期),再点“安装此证书 ”。这样,客户端就有了一个可以识别身份的证书。
进入服务器,在服务器里面把刚才办法给客户端的证书复制出来。
打开要实现该功能的网站的后台文件夹属性,单击”目录安全性“选项卡,点击”安全通讯“的”编辑”按钮。
勾选“要求安全通道(SSL)”,选择“要求客户端证书”,勾选“启用客户端证书映射”,点击“编辑”按钮,再点击“添加”按钮,选择刚才复制出来的证书,然后输入要映射到的用户名,确定保存。这样,只有客户端的浏览器里面存有刚才服务器颁发的那个证书,才能访问这个网站的后台了。
这个功能还有很多用途,比如有一个网页,只允许给公司里面的经理办公室查看,其他人都无法查看,此时可以把颁发给经理办公室的证书映射到经理办公室电脑的每一个帐户(此时假设安装过活动目录),然后在这个网页上只给经理办公室组读取的权限,这样,就只有经理办公室的人才能够查看该网页了
本文只是讲解了如何配置以及应用证书,如果要更加深入的了解证书,请阅读数字证书的有关原理:
http://www.baidu.com/s?ie=gb2312&bs=%D6%A4%CA%E9%B0%E4%B7%A2%BB%FA%B9%B9&sr=&z=&cl=3&f=8&wd=%CA%FD%D7%D6%D6%A4%CA%E9%D4%AD%C0%ED&ct=0
有任何疑问请在本文章下方留言,我会尽量解答。