Windows server 2003 SSL 配置

SSL(Security Socket Layer,安全套接層)是一種在兩台主機之間提供安全通道的協定,其目的是通過加密保護傳輸的資料并對通信雙方進行身份驗證,保證兩台主機之間的通信安全.SSL最早由網景公司開發的,在目前應用中,廣泛采用标準SSLv3.

下面先來部署HTTPS

有關具體的部署可看之前的文章IIS.

這裡是針對部署的411網站,點其屬性.

點伺服器證書,開始為網站申請證書.

下一步

點建立證書.

下一步.

輸入證書名稱.

設定網站的公用名稱

設定網站所在的地理位置資訊

指定證書請求的檔案名稱

點下一步

證書請求檔案建立完成

然後按照之前CA部署的文章進行使用生成證書請求檔案向CA提供證書申請,然後在CA上頒發證書.

下面來看擷取和安裝網站證書

擷取的步驟也參看CA部署文章

這個是獲得的網站證書.

然後打開網站屬性對話框"目錄安全性"頁籤,單擊伺服器證書.

現在來處理挂起的請求并安裝證書

在此對話框中指定從CA獲得的網站證書的檔案名稱.

在此對話框中指定HTTPS的端口,标準端口為443

顯示了即将安裝的網站證書的基本資訊.

點完成

這樣早請的網站證書安裝就完成了.

點檢視證書

這裡有關證書的詳細資訊

下面來看通過HTTPS通路網站

登入WEB用戶端,并從CA擷取CA憑證

并點選安裝

這裡預設便可以

然後單擊開始--運作

确定

在證書管理控制台能夠看到安裝的CA憑證.

單擊開始--控制台--INTERNET選項,打開INTERNET屬性對話框,單擊内容标簽.

單擊證書

也能夠看到安裝的CA憑證

下面來配置網站隻接受HTTPS通路

在WEB伺服器上點安全通信中的編輯,選中"要求安全通道"并忽略用戶端證書.

然後在用戶端打開浏覽器通路WEB伺服器.

可以看到要用HTTPS為通信協定的URL才能成功通路.

配置HTTPS的加密強度

并勾選要求128位加密

通路成功

配置HTTPS執行雙向認證

預設情況下,HTTPS單向認證的模式工作,即用戶端通過網站證書來驗證網站的身份,但網站并不驗證用戶端的身份,如果需要通過證書驗證用戶端身份,則可以要求試圖通路網站的用戶端必須提供證書才能進行通路,執行雙向認證時,網站将隻接受HTTPS通路

選擇要求用戶端證書

然後要向CA申請WEB浏覽器證書.

點WEB浏覽器證書

中間的過程就省略了,之前文章已介紹過

然後點安裝此證書

點是

在HTTPS執行雙向認證的過程中,預設情況下,網站收到用戶端提供的證書後會檢查CRL以驗證該證書是否被吊銷,如果未能聯系到CA或未能檢查到CRL,因而無法确認用戶端證書的吊銷狀态,則将拒絕該證書,可以配置指定網站在收到用戶端證書後不檢查CRL.

certchechmode的預設值為0,即網站需檢查CRL,将其值設定為1,則網站不再檢查CRL.

通過證書對通路網站的使用者進行身份驗證

通過将用戶端證書映射到WEB伺服器上的WINDOWS使用者帳戶,可以建立證書與使用者賬戶關聯,基于這種關系,網站通過驗證證書即可驗證該證書使用者的使用者身份,當使用者使用用戶端證書登入時,WEB伺服器就會自動将使用者與相應的WINDOWS使用者賬戶關聯起來

啟用用戶端證書映射

單擊編輯

點添加

配置HTTPS啟用證書信任清單

點建立

選擇要添加的CA憑證

輸入名稱

完成.

     本文轉自yangming1052 51CTO部落格，原文連結：http://blog.51cto.com/ming228/104180，如需轉載請自行聯系原作者