建立标准CA部署安全的SSL网站

建立标准CA 部署安全的SSL 网站2008-09-06 01:42:30标签：证书CASSL 证书服务器版权声明：原创作品，如需转载，请与作者联系。否则将追究法律责任。概述：随着网络安全的概念日益深

建立标准CA 部署安全的SSL 网站

2008-09-06 01:42:30

标签：证书CASSL 证书服务器

版权声明：原创作品，如需转载，请与作者联系。否则将追究法律责任。

概述：

随着网络安全的概念日益深入人心，公钥架构(PKI)在网络得到越来越广泛的应用。PKI 使用证书进行身份验证，数据加密和数据签名，是目前信息安全保障的一种重要方法。 证书是PKI 的基础，是实现网络安全，进行身份验证以及保证网络信息安全的一种管理手段，有关PKI 与证书更多更深入的知识请参考相关KB ，或参考后继文章!

本文不涉及太多理论知识，以一个完整的例子来阐述如何建立标准CA 服务器，并使用标准CA 申请证书并使用证书部署SSL 网站，详细步骤如下：

一：建立独立CA 服务器

win2003支持两种证书服务器，分别是用于企业内部的企业CA 服务器和用于Internet 上的标准证书服务器，企业证书服务器需要AD 支持，而标准CA 服务器则可以安装在任何Win2003服务器上。因为证书服务器需要Web 服务器支持，以提供Web 界面申请页面证书，所以建立CA 服务器时，需要安装IIS 服务和ASP 组件。安装标准证书服务器很简单，这里只做概括性描述： 1：安装IIS 服务，以提供WEB 界面的证书申请页面.

安装IIS 服务过程略过，但注意一定要选择"Asp.Net" 组件!

2：安装证书服务组件，以提供证书的各种管理.

在安装证书组件时，在"CA 类型" 中，选择" 独立根

CA(S)",

在"CA 识别信息" 对话框，输入这台证书服务器相关信息，其它信息可以根据实际情况输入，也可以选择默认值!

安装完成证书服务后，不需要重启计算机即可使用证书服务。

二：建立IIS 服务器, 发布网站，使用证书，配置网络安全。

标准CA 服务器证书可以用于多个类型，如客户端身份验证，电子邮件，代码签名，IPSec 等，本文只讨论第一种类型证书!

具体步骤

1： 配置网站安全性，使用证书

1) ：安装IIS 服务, 过程略

2) ：建立要配置SSL 访问的网站，例如 CADemoSite,过程略过。

3) ：配置CADemoSite 网站的目录安全性，使用服务器证书向导向CA 服务器申请证书。

在" 目录安全性" 选项页，选择" 服务器证书" 按钮,

在IIS 证书向导过程中，在" 站点公用名称" 界面，请注意站点公用名称必需与您的客户端访问这个站点所使用的名称一致。

如果此时输入的是IP 地址，那么客户端访问该网站时，就只能使用IP 地址访问，如果此时输入的是域名，那么客户端访问该网站时，就只能以域名形式访问。我这里输入的是域名形式。因为我测试的这台IIS 服务器本身也是DNS 服务器，已经建立了相应的区域文件, 可以实现域名到IP 地址的解析!

4) ：申请完成后, 将证书请求保存成为certreq.txt 文件。

2：正式向CA 服务器申请电子证书

1) ：在IIS 服务器上，访问独立证书颁发机构的证书申请站点：

[url]http:///certsrv

2) ：依次选择“申请一个证书", “高级证书申请”?

3) ：“使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请”

4) ：打开第1步保存的certreq.txt 文件，将其中的所有内容复制到“base64编码”窗口中，如下图：

5) ：点击“提交”以提交证书申请请求，确认请求提交后关闭IE 窗口。 3：CA 服务器颁发IIS 服务器申请的电子证书

在独立证书颁发机构上批准这个证书请求, 点" 颁发" ，如下图：

4：IIS 服务器下载CA 服务器颁发的电子证书

1) ：在您的IIS 服务器上，访问独立证书颁发机构的证书申请站点:

[url]http:///certsrv

2) ：选择“查看挂起的证书申请的状态”

3) ：获得批准的证书? “下载证书”并保存为.CER 文件

4) ：安装下载的证书。打开IIS 服务器站点属性，在目录安全性中再次点击“服务器证书”? “处理挂起的请求并安装证书”?

5) ：指定在第3步中获得的CER 文件? 完成向导。在目录安全性中点击“编辑”按钮设置客户端证书访问配置，如下图

5：配置IIS 服务器信任颁发证书的CA 服务器

如果上述过程都正确操作，在IIS 上安装好颁发的电子证书后，仍然会看到如下图所示的错误信息，

主要原因是IIS 服务器此时不信任颁发证书的CA 服务器。解决 办法是将CA 服务器添加到IIS 服务器计算机" 受信任的根证书颁发机构",

具体步骤如下：

1) ：访问独立证书颁发机构的证书申请站点，选择“下载一个 CA 证书，证书链或 CRL”? “下载CA 证书”。

2) ：将获得的CA 证书导入到IIS 服务器的计算机“受信任的根证书颁发机构”容器中，以使得IIS 服务器信任你的独立证书颁发机构, 如下图：

3):导入CA 证书到" 受信任的根证书颁发机构" 后，上述证书不再显示错误信息。

三：配置客户端正常访问SSL 网站。

IIS 服务器上配置好安全访问后，客户端要能正确访问该网站，此时客户端也必须向CA 服务器申请证书! 具体步骤如下：

1：在客户端上，为需要访问此IIS 站点的用户申请一张用户使用的“客户端身份验证证书”。方法同上

2：在独立证书颁发机构上批准此请求并再次到客户端上获得此证书并安装。方法同上 3:配置客户端信任颁发证书的CA 服务器

1) ：访问独立证书颁发机构的证书申请站点，选择“下载一个 CA 证书，证书链或 CRL”? “下载CA 证书”。

2) ：将获得的CA 证书导入到客户端计算机的“受信任的根证书颁发机构”容器中，以使得客户端计算机信任您的独立证书颁发机构。

4:访问网站，经测试, 可以正常访问