由于我們是集團公司,伺服器放在JS省,50多家分公司的員工要通路此伺服器時,經過WAN考慮到不安全,故需要使用https協定通路網站。
拓撲圖如下所示:
<a target="_blank" href="http://blog.51cto.com/attachment/201209/140720705.jpg"></a>
準備工作:
通過為Web站點/OA申請證書,進而使用SSL(Secure Sockets Layer,安全套接字層)通信協定,可以實作Web/OA伺服器和浏覽器之間的身份認證和加密資料傳輸。
驗證網站/OA能否正确通路,如下圖所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_13484878076S6z.jpg"></a>
由上可知,通路正常!
一、安裝證書:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487808x7lo.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487809DLzm.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487810rRxV.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_134848781001YH.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487811mjlm.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487812JH9Y.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487812kx6a.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487813nDi0.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_13484878145NXj.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487814Bhnc.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487815HsDy.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487816K8xj.jpg"></a>
下面我們打開 證書頒發機構管理器,如下圖所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_13484878168rEZ.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487817iUwr.jpg"></a>
二、證書服務的應用:
1、證書的申請與頒發
1)生成證書申請:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487818sTyi.png"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487819IUpw.png"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487820PRiq.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487821eFdd.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487821W5X3.jpg"></a>
2)送出證書申請:
打開證書申請檔案C:\certificate.txt ,且複制其内容,如下圖所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487822KMJu.jpg"></a>
上面證書申請檔案是Base-64編碼!
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487823FgDc.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487824E28A.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487824NnDo.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487825gfnH.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487826tnuU.jpg"></a>
2、頒發證書:
我們打開 證書頒發機構管理器 且 頒發之,如下圖所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_13484878276t9K.jpg"></a>
驗證是否頒發成功,
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487827Ewyq.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487828LtkN.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487828wMdA.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487829wbDB.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487830msnh.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487830nbjH.jpg"></a>
将證書儲存到本地,如下圖所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487831GTtW.jpg"></a>
三、在Web伺服器上安裝證書及應用:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487832fgsX.png"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_134848783350Ob.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487833iRbG.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487834RTxc.jpg"></a>
配置安全通道(SSL):
綁定需要使用證書的網站/OA,如下圖所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487835qIqI.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487835iswO.jpg"></a>
修改網站/OA的SSL設定,如下圖所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_134848783620vK.jpg"></a>
重點:
選 要求SSL ,則網站無論是否綁定https類型,都隻能以https方式通路該網站。
客戶證書:
忽略:無論使用者是否擁有證書,都将被授予通路權限。用戶端不需要申請和安裝用戶端證書。
接受:使用者可以使用用戶端證書通路資源,但證書并不是必須的。用戶端不需要申請和安裝用戶端證書。
必須:伺服器在将使用者與資源連接配接之前要驗證用戶端證書。用戶端必須申請和安裝用戶端證書,如: “使用者”證書。
此處,我們選擇 第2項 接受 ,如下圖所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487837iDUb.png"></a>
四、使用https協定通路網站,在用戶端 win 7 / XP上,如下圖所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_134848783861Ja.png"></a>
例子:下面是建立的網站OA,綁定SSL證書為OA ,其他資訊如下圖所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487839otiz.png"></a>
下面我們測試哈 OA網站 ,在Win XP上,如下圖所示 :
為何不能通路呢?Web/OA伺服器Win Server 2008 R2的防火牆阻止了,故需開啟8000端口!具體參考本文後面!
五、我們來安裝用戶端證書,如下圖所示:
配置用戶端正常通路網站:
1)配置用戶端信任頒發證書的CA伺服器(我們集團是獨立根CA),如下圖所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_13484878413gNl.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487842uE4R.jpg"></a>
将 CA憑證 下載下傳儲存到 桌面 且輕按兩下CA憑證導入到用戶端計算機的“受信任的根證書頒發機構”容器中,以使得用戶端計算機信任我們的獨立證書頒發機構,如下圖所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487842oUEt.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487843ZZnD.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487844CKUl.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487844zQBp.jpg"></a>
2、在用戶端申請證書,如下圖所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487845iwQO.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_13484878467kc1.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487846kp15.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_13484878472R6p.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487848m2zD.jpg"></a>
3、我們再到伺服器上打開 證書頒發機構 管理器,如下圖所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348489539El5o.png"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487849qpD6.jpg"></a>
4、查檢視是否已經頒發成功了,如下圖所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487850MbPk.jpg"></a>
5、然後,到用戶端下載下傳安裝證書,如下圖所示: 重點:在下面網頁面操作!
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487850WZuJ.jpg"></a>
到伺服器端 , 打開 證書頒發機構 管理器且頒發之!(略)
<a target="_blank" href="http://blog.51cto.com/attachment/201209/110601591.jpg"></a>
<a target="_blank" href="http://blog.51cto.com/attachment/201209/110635118.jpg"></a>
<a target="_blank" href="http://blog.51cto.com/attachment/201209/110713504.jpg"></a>
<b>六、驗證上面的配置是否正确:</b>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487851Jgky.png"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487852GNO4.png"></a>
重點:
在Web網站伺服器端開啟端口号8010,具體如下面所示:
舊指令:
win + R --- cmd 回車,輸入如下所示:
netsh firewall add portopening tcp 8010 MywebPort
新指令:
netsh advfirewall firewall add rule name="MyWebPort 8010" dir=in action=allow protocol=TCP localport=8010
檢視打開的端口号:
netsh firewall show portopening
删除已啟用的端口号:
delete portopening protocol=tcp port=8010
至此,《為Windows Server 2008 R2 Web 站點啟用HTTPS》已完畢!謝謝!
![(1)如何快速的在指定檔案夾打開指令行?(1)如何快速的在指定檔案夾打開指令行?[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)