由于我们是集团公司,服务器放在JS省,50多家分公司的员工要访问此服务器时,经过WAN考虑到不安全,故需要使用https协议访问网站。
拓扑图如下所示:
<a target="_blank" href="http://blog.51cto.com/attachment/201209/140720705.jpg"></a>
准备工作:
通过为Web站点/OA申请证书,进而使用SSL(Secure Sockets Layer,安全套接字层)通信协议,可以实现Web/OA服务器和浏览器之间的身份认证和加密数据传输。
验证网站/OA能否正确访问,如下图所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_13484878076S6z.jpg"></a>
由上可知,访问正常!
一、安装证书:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487808x7lo.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487809DLzm.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487810rRxV.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_134848781001YH.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487811mjlm.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487812JH9Y.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487812kx6a.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487813nDi0.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_13484878145NXj.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487814Bhnc.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487815HsDy.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487816K8xj.jpg"></a>
下面我们打开 证书颁发机构管理器,如下图所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_13484878168rEZ.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487817iUwr.jpg"></a>
二、证书服务的应用:
1、证书的申请与颁发
1)生成证书申请:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487818sTyi.png"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487819IUpw.png"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487820PRiq.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487821eFdd.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487821W5X3.jpg"></a>
2)提交证书申请:
打开证书申请文件C:\certificate.txt ,且复制其内容,如下图所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487822KMJu.jpg"></a>
上面证书申请文件是Base-64编码!
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487823FgDc.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487824E28A.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487824NnDo.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487825gfnH.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487826tnuU.jpg"></a>
2、颁发证书:
我们打开 证书颁发机构管理器 且 颁发之,如下图所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_13484878276t9K.jpg"></a>
验证是否颁发成功,
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487827Ewyq.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487828LtkN.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487828wMdA.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487829wbDB.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487830msnh.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487830nbjH.jpg"></a>
将证书保存到本地,如下图所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487831GTtW.jpg"></a>
三、在Web服务器上安装证书及应用:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487832fgsX.png"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_134848783350Ob.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487833iRbG.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487834RTxc.jpg"></a>
配置安全通道(SSL):
绑定需要使用证书的网站/OA,如下图所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487835qIqI.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487835iswO.jpg"></a>
修改网站/OA的SSL设置,如下图所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_134848783620vK.jpg"></a>
重点:
选 要求SSL ,则网站无论是否绑定https类型,都只能以https方式访问该网站。
客户证书:
忽略:无论用户是否拥有证书,都将被授予访问权限。客户端不需要申请和安装客户端证书。
接受:用户可以使用客户端证书访问资源,但证书并不是必须的。客户端不需要申请和安装客户端证书。
必须:服务器在将用户与资源连接之前要验证客户端证书。客户端必须申请和安装客户端证书,如: “用户”证书。
此处,我们选择 第2项 接受 ,如下图所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487837iDUb.png"></a>
四、使用https协议访问网站,在客户端 win 7 / XP上,如下图所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_134848783861Ja.png"></a>
例子:下面是新建的网站OA,绑定SSL证书为OA ,其他信息如下图所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487839otiz.png"></a>
下面我们测试哈 OA网站 ,在Win XP上,如下图所示 :
为何不能访问呢?Web/OA服务器Win Server 2008 R2的防火墙阻止了,故需开启8000端口!具体参考本文后面!
五、我们来安装客户端证书,如下图所示:
配置客户端正常访问网站:
1)配置客户端信任颁发证书的CA服务器(我们集团是独立根CA),如下图所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_13484878413gNl.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487842uE4R.jpg"></a>
将 CA证书 下载保存到 桌面 且双击CA证书导入到客户端计算机的“受信任的根证书颁发机构”容器中,以使得客户端计算机信任我们的独立证书颁发机构,如下图所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487842oUEt.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487843ZZnD.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487844CKUl.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487844zQBp.jpg"></a>
2、在客户端申请证书,如下图所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487845iwQO.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_13484878467kc1.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487846kp15.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_13484878472R6p.jpg"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487848m2zD.jpg"></a>
3、我们再到服务器上打开 证书颁发机构 管理器,如下图所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348489539El5o.png"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487849qpD6.jpg"></a>
4、查查看是否已经颁发成功了,如下图所示:
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487850MbPk.jpg"></a>
5、然后,到客户端下载安装证书,如下图所示: 重点:在下面网页面操作!
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487850WZuJ.jpg"></a>
到服务器端 , 打开 证书颁发机构 管理器且颁发之!(略)
<a target="_blank" href="http://blog.51cto.com/attachment/201209/110601591.jpg"></a>
<a target="_blank" href="http://blog.51cto.com/attachment/201209/110635118.jpg"></a>
<a target="_blank" href="http://blog.51cto.com/attachment/201209/110713504.jpg"></a>
<b>六、验证上面的配置是否正确:</b>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487851Jgky.png"></a>
<a href="http://beyondhdf.blog.51cto.com/attachment/201209/24/229452_1348487852GNO4.png"></a>
重点:
在Web网站服务器端开启端口号8010,具体如下面所示:
旧命令:
win + R --- cmd 回车,输入如下所示:
netsh firewall add portopening tcp 8010 MywebPort
新命令:
netsh advfirewall firewall add rule name="MyWebPort 8010" dir=in action=allow protocol=TCP localport=8010
查看打开的端口号:
netsh firewall show portopening
删除已启用的端口号:
delete portopening protocol=tcp port=8010
至此,《为Windows Server 2008 R2 Web 站点启用HTTPS》已完毕!谢谢!
![(1)如何快速的在指定文件夹打开命令行?(1)如何快速的在指定文件夹打开命令行?[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)