📄 建立标准ca部署安全的ssl网站 - 我儿子真帅! - 51cto技术博客-领先的it技术博客.htm
字号:
<DIV> </DIV>
<DIV>
<FONT face=宋体 size=2>在IIS证书向导过程中,<FONT
color=#ff0000>在"站点公用名称"界面,请注意站点公用名称必需与您的客户端访问这个站点所使用的名称一致</FONT>。</FONT></DIV>
<DIV><FONT face=宋体
size=2> 如果此时输入的是IP地址,那么客户端访问该网站时,就只能使用IP地址访问,如果此时输入的是域名,那么客户端访问该网站时,就只能以域名形式访问。我这里输入的是域名形式。因为我测试的这台IIS服务器本身也是DNS服务器,已经建立了相应的区域文件,可以实现域名到IP地址的解析!</FONT></DIV>
<DIV> <IMG
onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)'
alt=""
src="建立标准CA部署安全的SSL网站 - 我儿子真帅! - 51CTO技术博客-领先的IT技术博客.files/200809061220637270000.gif"
border=0><A
href="http://alligator.blog.51cto.com/attachment/200809/5/36993_1220636128UhK3.gif"></A>
</DIV>
<DIV>
<FONT face=宋体 size=2>4):申请完成后,将证书请求保存成为certreq.txt文件。</FONT></DIV>
<DIV><FONT face=宋体
size=2>
</FONT></DIV>
<DIV><FONT size=2><FONT face=宋体><FONT
color=#ff80ff> 2:正式向CA服务器申请电子证书</FONT>
<BR>
1):在IIS服务器上,访问独立证书颁发机构的证书申请站点:</FONT></FONT></DIV>
<DIV><FONT size=2><FONT
face=宋体> <A
href="http://<ca%20server%20name%20or%20ip%20address>/certsrv" server or
IP address><FONT color=#0000ff> <A href="http://<ca/"
target=_blank>http://<ca/</A> server name or IP
address>/certsrv</FONT></A> <BR>
2):依次选择“申请一个证书",“高级证书申请”?<BR>
3):“使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请,或使用 base64 编码的 PKCS #7
文件续订证书申请” <BR>
4):打开第1步保存的certreq.txt文件,将其中的所有内容复制到“base64编码”窗口中,如下图:</FONT></FONT></DIV>
<DIV> <IMG
onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)'
alt=""
src="建立标准CA部署安全的SSL网站 - 我儿子真帅! - 51CTO技术博客-领先的IT技术博客.files/200809061220637325734.gif"
border=0><A
href="http://alligator.blog.51cto.com/attachment/200809/5/36993_1220636129RrNU.gif"></A>
</DIV>
<DIV>
<FONT face=宋体 size=2>5):点击“提交”以提交证书申请请求,确认请求提交后关闭IE窗口。</FONT></DIV>
<DIV><FONT face=宋体 size=2></FONT></DIV>
<DIV><FONT size=2><FONT face=宋体><FONT
color=#ff80ff> 3:CA服务器颁发IIS服务器申请的电子证书</FONT>
<BR>
在独立证书颁发机构上批准这个证书请求,点"颁发",如下图:</FONT></FONT> </DIV>
<DIV> <IMG
onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)'
alt=""
src="建立标准CA部署安全的SSL网站 - 我儿子真帅! - 51CTO技术博客-领先的IT技术博客.files/200809061220637366000.gif"
border=0><A
href="http://alligator.blog.51cto.com/attachment/200809/5/36993_1220636130fU3Z.gif"></A>
</DIV>
<DIV><FONT color=#ff80ff> <FONT face=宋体
size=2>4:IIS服务器下载CA服务器颁发的电子证书</FONT></FONT> <BR><FONT face=宋体
size=2>
1):在您的IIS服务器上,访问独立证书颁发机构的证书申请站点:</FONT></DIV>
<DIV><FONT face=宋体 size=2>
<A href="http://<ca%20server%20name%20or%20ip%20address>/certsrv"
server or IP address><FONT color=#0000ff> <A href="http://<ca/"
target=_blank>http://<ca/</A> server name or IP
address>/certsrv</FONT></A> <BR>
2):选择“查看挂起的证书申请的状态” <BR>
3):获得批准的证书?“下载证书”并保存为.CER文件 <BR>
4):安装下载的证书。打开IIS服务器站点属性,在目录安全性中再次点击“服务器证书”?“处理挂起的请求并安装证书”?
<BR>
5):指定在第3步中获得的CER文件?完成向导。在目录安全性中点击“编辑”按钮设置客户端证书访问配置,如下图</FONT></DIV>
<DIV> <A
href="http://alligator.blog.51cto.com/attachment/200809/5/36993_12206361304rC7.gif"></A>
</DIV>
<DIV>
<IMG
onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)'
alt=""
src="建立标准CA部署安全的SSL网站 - 我儿子真帅! - 51CTO技术博客-领先的IT技术博客.files/200809061220637441296.gif"
border=0></DIV>
<DIV> <FONT color=#ff80ff><FONT
face=宋体 size=2>5:配置IIS服务器信任颁发证书的CA服务器</FONT></FONT></DIV>
<DIV><FONT face=宋体 size=2>
如果上述过程都正确操作,在IIS上安装好颁发的电子证书后,仍然会看到如下图所示的错误信息,</FONT></DIV>
<DIV> <IMG
onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)'
alt=""
src="建立标准CA部署安全的SSL网站 - 我儿子真帅! - 51CTO技术博客-领先的IT技术博客.files/200809061220637456906.gif"
border=0></DIV>
<DIV><A
href="http://alligator.blog.51cto.com/attachment/200809/5/36993_1220636131Wiz1.gif"></A> </DIV>
<DIV> <FONT face=宋体
size=2> 主要原因是IIS服务器此时不信任颁发证书的CA服务器。解决
办法是将CA服务器添加到IIS服务器计算机"受信任的根证书颁发机构",</FONT></DIV>
<DIV><FONT face=宋体 size=2>
具体步骤如下:</FONT></DIV>
<DIV><FONT face=宋体
size=2>
1):访问独立证书颁发机构的证书申请站点,选择“下载一个 CA 证书,证书链或 CRL”?“下载CA证书”。
<BR>
2):将获得的CA证书导入到IIS服务器的计算机“受信任的根证书颁发机构”容器中,以使得IIS服务器信任你的独立证书颁发机构,如下图:</FONT></DIV>
<DIV><FONT face=宋体
size=2> <IMG
onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)'
alt=""
src="建立标准CA部署安全的SSL网站 - 我儿子真帅! - 51CTO技术博客-领先的IT技术博客.files/200809061220637476890.gif"
border=0></FONT></DIV>
<DIV><A
href="http://alligator.blog.51cto.com/attachment/200809/5/36993_12206361334wfF.gif"><FONT
face=宋体 size=2></FONT></A><FONT face=宋体 size=2></FONT> </DIV>
<DIV><FONT face=宋体
size=2> </FONT></DIV>
<DIV><FONT face=宋体 size=2>
3):导入CA证书到"受信任的根证书颁发机构"后,上述证书不再显示错误信息。</FONT></DIV>
<DIV><FONT face=宋体 size=2></FONT> </DIV>
<DIV><FONT face=宋体
size=2>
<IMG
onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)'
alt=""
src="建立标准CA部署安全的SSL网站 - 我儿子真帅! - 51CTO技术博客-领先的IT技术博客.files/200809061220637510593.gif"
border=0></FONT><A
href="http://alligator.blog.51cto.com/attachment/200809/5/36993_1220636134SReK.gif"><FONT
face=宋体 size=2></FONT></A><FONT face=宋体 size=2> </FONT></DIV>
<DIV><FONT face=宋体 size=2> </FONT></DIV>
<DIV><FONT face=宋体 size=3><STRONG>三:配置客户端正常访问SSL网站。</STRONG></FONT></DIV>
<DIV><FONT face=宋体 size=2>
IIS服务器上配置好安全访问后,客户端要能正确访问该网站,此时客户端也必须向CA服务器申请证书!具体步骤如下: <BR> 1:在客户端上,为需要访问此IIS站点的用户申请一张用户使用的“客户端身份验证证书”。方法同上 <BR> 2:在独立证书颁发机构上批准此请求并再次到客户端上获得此证书并安装。方法同上</FONT></DIV>
<DIV><FONT face=宋体
size=2> 3:配置客户端信任颁发证书的CA服务器 <BR> 1):访问独立证书颁发机构的证书申请站点,选择“下载一个
CA 证书,证书链或
CRL”?“下载CA证书”。 <BR> 2):将获得的CA证书导入到客户端计算机的“受信任的根证书颁发机构”容器中,以使得客户端计算机信任您的独立证书颁发机构。</FONT></DIV>
<DIV><FONT face=宋体 size=2> <IMG
onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)'
alt=""
src="建立标准CA部署安全的SSL网站 - 我儿子真帅! - 51CTO技术博客-领先的IT技术博客.files/200809061220638005187.gif"
border=0> </FONT><FONT face=宋体 size=2> </FONT></DIV>
<DIV><FONT face=宋体
size=2> 4:访问网站,经测试,可以正常访问</FONT></DIV>
<DIV><FONT face=宋体
size=2> <IMG
onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)'
alt=""
src="建立标准CA部署安全的SSL网站 - 我儿子真帅! - 51CTO技术博客-领先的IT技术博客.files/200809061220637546500.gif"
border=0></FONT><A
href="http://alligator.blog.51cto.com/attachment/200809/5/36993_1220636136g7cq.gif"><FONT
face=宋体 size=2></FONT></A><FONT face=宋体 size=2> </FONT></DIV>
<DIV><FONT face=宋体
size=2> </FONT></DIV>
<DIV><FONT face=宋体 size=2><IMG
onclick='window.open("http://blog.51cto.com/viewpic.php?refimg=" + this.src)'
alt=""
src="建立标准CA部署安全的SSL网站 - 我儿子真帅! - 51CTO技术博客-领先的IT技术博客.files/200809061220637564515.gif"
border=0></FONT></DIV>
<DIV> </DIV>
<DIV><FONT face=宋体 size=2></FONT></DIV>
<DIV><FONT face=宋体 size=2>
至此,一个完整的使用标准CA服务器实现安全的SSL网站案例已经实现,完全满足实际的商业应用需求!</FONT></DIV>
<DIV><FONT face=宋体 size=2></FONT> </DIV>
<DIV><FONT face=宋体 color=#ff0000
size=2>注:在客户端访问SSL网站所使用的站点名称一定要与IIS服务器在申请证书过程中的站点公共名称保持一致,才可能避免出现弹出”安全警报“窗口,提示”安全证书的名称无效或与站点名称不匹配“的信息。</FONT></DIV>
<DIV><FONT face=宋体 size=2> </FONT></DIV>
<P>本文出自 “<A href="http://alligator.blog.51cto.com/">我儿子真帅!</A>”
博客,转载请与作者联系!</P><A class=hidden
href="http://alligator.blog.51cto.com/36993/97520">本文出自
51CTO.COM技术博客</A></DIV></TD></TR></TBODY></TABLE></DIV></DIV><BR><BR>
<DIV align=center>上一篇 <A class=operlink title=深入理解AD域环境中操作主机角色
href="http://alligator.blog.51cto.com/36993/97085">深入理解AD域环境中操作主机角色</A> 下一篇 <A
class=operlink title=利用组策略和DFS建立安全的文件服务器
href="http://alligator.blog.51cto.com/36993/97664">利用组策略和DFS建立安全的文件服务器</A>
<BR><BR></DIV>
<DIV align=right><A class=operlink
href="http://alligator.blog.51cto.com/36993/d-2">类别:Windows Server</A> ┆ <A
class=operlink onclick="javascript:joingroups(97520,'alligator');return false;"
href="http://alligator.blog.51cto.com/#">技术圈(
<SCRIPT
src="建立标准CA部署安全的SSL网站 - 我儿子真帅! - 51CTO技术博客-领先的IT技术博客.files/joingroup.htm"></SCRIPT>
)</A> ┆ <A class=operlink href="http://alligator.blog.51cto.com/36993/97520"
alt="建立标准CA部署安全的SSL网站">阅读(
<SCRIPT
src="建立标准CA部署安全的SSL网站 - 我儿子真帅! - 51CTO技术博客-领先的IT技术博客.files/header.htm"></SCRIPT>
)</A> ┆ <A class=operlink href="http://alligator.blog.51cto.com/36993/97520"
alt="建立标准CA部署安全的SSL网站">评论(
<SCRIPT>document.write(replies)</SCRIPT>
)</A> ┆<A class=operlink onclick="javascript:dfanologin();return false;"
href="http://alligator.blog.51cto.com/#">推送到技术圈</A> ┆<A class=operlink
href="http://alligator.blog.51cto.com/">返回首页</A> </DIV>
<DIV class=clear></DIV><BR><BR></DIV></DIV></DIV></DIV>
<DIV class=nouse>
<DIV class=t>
<DIV class=rt></DIV>
<DIV class=lt></DIV>
<DIV class=modHeader>
<DIV class=commenttitle> <B>相关文章</B></DIV></DIV></DIV>
<DIV class=l>
<DIV class=r>
<DIV class=c>
<DIV class=side_sinfo>
<DIV class=related><A title=发布安全Web站点详细攻略:ISA2006系列之十四
href="http://yuelei.blog.51cto.com/202879/88041"
target=_blank>发布安全Web站点详细攻略:ISA2006系列之十四</A></DIV>
<DIV class=related><A title="什么是 SSL 证书?如何检查网址是否部署了 SSL 证书?"
href="http://wosign8.blog.51cto.com/449352/94959" target=_blank>什么是 SSL
证书?如何检查网址是否部署了 S..</A></DIV>
<DIV class=related><A title=SSL和CA基础知识
href="http://wosign8.blog.51cto.com/449352/97404"
target=_blank>SSL和CA基础知识</A></DIV>
<DIV class=related><A title=实现apache的SSL传输
href="http://waringid.blog.51cto.com/65148/59685"
target=_blank>实现apache的SSL传输</A></DIV>
<DIV class=related><A title=Apache配置SSL证书服务器傻瓜步骤
href="http://gzmaster.blog.51cto.com/299556/59171"
target=_blank>Apache配置SSL证书服务器傻瓜步骤</A></DIV>
<DIV class=related><A title="图文并茂为您详解如何配置Domino CA以支持SSL"
href="http://netwalk.blog.51cto.com/173717/68111"
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -