IIS部署PKI與證書服務
一、什麼是PKI
PKI(公鑰基礎設施),是通過使用公鑰技術和數字簽名來確定資訊安全,并負責驗證數字證書持有者身份的一種技術。
本次實驗的目的是使用PKI協定中的SSL為了給網頁位址“http”後邊加“S”。浏覽網頁的時候更安全,不必擔心其發送的資訊被非法的第三方截獲。
二、證書頒發機構
證書頒發機構也稱為數字證書認證中心(Certficate Authority,CA),是PKI應用中權威的、可信任的、公正的第三方機構,也是電子交易中信賴的基礎。CA的主要功能是負責生産、配置設定并管理所有參與網上交易的實體所需的身份認證數字證書。
三、實驗要求
随便搭建一個網頁,使用HTTPS(安全超文本傳輸協定)建立安全連接配接。
四、實驗拓撲圖
五、實驗步驟
1、配置完相應的IP位址之後首先來配置證書頒發機構CA(實際工作中CA是不可能自己搭建的,是要像有權威的CA申請證書。)
1.1)、添加伺服器角色,選擇“Active Directory 證書服務”(這裡做的是一台獨立CA。如果做企業CA,需要AD服務)
1.2)、為WEB服務頒發證書需要勾上“證書頒發機構Web注冊”
1.3)、沒有域環境會預設裝成獨立CA。
1.4)、後邊全部選擇預設設定,完成安裝。(此時如果在CA伺服器上沒有安裝過WEB服務,會預設安裝WEB服務。因為要使用網頁來申請證書。)
2、安裝并配置web伺服器
2.1)、安裝WEB伺服器,後邊的配置都選預設的。
2.2)、在C槽下建立一個網頁的根檔案夾。
2.3)、在檔案夾裡建立一個記事本,随便打點字儲存。把檔案名字改為index.html
2.4)、打開IIS伺服器。
2.5)、右擊網站,點選添加網站。名稱随便,實體路徑指向剛才在C槽建立的那個檔案夾
2.6)、先把預設的網站停止,把新建立的網站啟動。
2.7)、用客戶機登入一下看能否通路。
3、網站搭建完畢。開始給網頁加S吧。
3.1)、打開web伺服器IIS管理器,輕按兩下證書服務。
3.2)、點選右側窗格的建立證書申請。
3.3)、這裡由于不是真的網頁,是以沒有真實的資訊就随便填寫
3.4)、加密服務選擇預設的即可。
3.5)、為證書申請一個檔案名,可以選擇桌面,随便起一個名字,以“.txt”格式結尾的文本。(這個檔案不用提前建立好,自動建立。)
3.6)、打開剛才這個檔案,複制裡邊的所有内容。
3.7)、打開浏覽器,輸入CA(證書伺服器)伺服器的ip位址(也可以輸入CA伺服器的計算機名),并且加上“/certsrv”
3.8)、點選添加,并把CA伺服器的位址添加進去。
3.9)、選擇申請證書。
3.10)、再選擇進階證書申請。
3.11)、選擇第二項,使用base64…….證書申請。
3.12)、把剛才複制的那一堆亂碼複制進去,點選送出。
3.13)、顯示證書正在挂起,(獨立CA需要手工頒發證書,企業CA就自動頒發了。)
3.14)、這時候回到CA伺服器上,來頒發證書。
3.15)、選擇挂起的申請,右擊剛才申請的證書,選所有任務,點選頒發。
3.16)、回到WEB伺服器上,在浏覽器中重新登入CA的那個網站,選擇檢視挂起的證書申請的狀态。
3.17)、選擇儲存的申請證書。
3.18)、這是可以看到證書已經頒發,點選Base64編碼,下載下傳證書。
3.19)、選擇一個路徑儲存,這裡儲存到了桌面。
3.20)、打開IIS管理器,進入伺服器證書,點選完成證書申請。
3.21)、選擇剛才儲存的證書。好記名稱随便。
3.22)、右擊網站名,選擇編輯綁定。
3.23)、點選添加,類型選擇“https”,證書選擇剛才添加的“a”
3.24)、輕按兩下“ssl設定”
3.25)、勾選“要求SSL”,點選應用。
4.在客戶機上驗證。
4.1)、輸入web伺服器上建立的網站,前邊輸入https,會彈出“安全報警”,點選确定即可。
4.2)、又提示安全報警。繼續點“是”(因為該證書不是有權威的CA頒發的,是自己做的CA是以不會被浏覽器信任。不過不用擔心。)
4.3)、成功打開網頁,已經成功給網頁加上了“S”。
實驗完畢