資源描述:
《Windows server 2003 SSL 配置》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1、Windowsserver2003SSL配置SSL(SecuritySocketLayer,安全套接層)是一種在兩臺主機之間提供安全通道的協(xié)議,其目的是通過加密保護傳輸?shù)臄?shù)據(jù)并對通信雙方進行身份驗證,保證兩臺主機之間的通信安全.SSL最早由網(wǎng)景公司開發(fā)的,在目前應用中,廣泛采用標準SSLv3.下面先來部署HTTPS有關(guān)具體的部署可看之前的文章IIS.這里是針對部署的411網(wǎng)站,點其屬性.點服務器證書,開始為網(wǎng)站申請證書.下一步點新建證書.下一步.輸入證書名稱.設(shè)置網(wǎng)站的公用名稱設(shè)置網(wǎng)站所在的地理位置信息指定證書請求的文件名稱點下一步,證書請求文件創(chuàng)建完成然后按照之前CA部署的文
2、章進行使用生成證書請求文件向CA提供證書申請,然后在CA上頒發(fā)證書.?下面來看獲取和安裝網(wǎng)站證書獲取的步驟也參看CA部署文章這個是獲得的網(wǎng)站證書.然后打開網(wǎng)站屬性對話框"目錄安全性"選項卡,單擊服務器證書.現(xiàn)在來處理掛起的請求并安裝證書在此對話框中指定從CA獲得的網(wǎng)站證書的文件名稱.在此對話框中指定HTTPS的端口,標準端口為443顯示了即將安裝的網(wǎng)站證書的基本信息.這樣申請的網(wǎng)站證書安裝就完成了.點查看證書這里有關(guān)證書的詳細信息?下面來看通過HTTPS訪問網(wǎng)站登錄WEB客戶端,并從CA獲取CA證書并點擊安裝下一步這里默認便可以點完成然后單擊開始--運行確定在證書管理控制臺能夠
3、看到安裝的CA證書.單擊開始--控制面板--INTERNET選項,打開INTERNET屬性對話框,單擊內(nèi)容標簽.單擊證書也能夠看到安裝的CA證書下面來配置網(wǎng)站只接受HTTPS訪問在WEB服務器上點安全通信中的編輯,選中"要求安全通道"并忽略客戶端證書.然后在客戶端打開瀏覽器訪問WEB服務器.可以看到要用HTTPS為通信協(xié)議的URL才能成功訪問.配置HTTPS的加密強度并勾選要求128位加密訪問成功配置HTTPS執(zhí)行雙向認證默認情況下,HTTPS單向認證的模式工作,即客戶端通過網(wǎng)站證書來驗證網(wǎng)站的身份,但網(wǎng)站并不驗證客戶端的身份,如果需要通過證書驗證客戶端身份,則可以要求試圖訪問
4、網(wǎng)站的客戶端必須提供證書才能進行訪問,執(zhí)行雙向認證時,網(wǎng)站將只接受HTTPS訪問選擇要求客戶端證書然后要向CA申請WEB瀏覽器證書.點WEB瀏覽器證書中間的過程就省略了,之前文章已介紹過然后點安裝此證書在HTTPS執(zhí)行雙向認證的過程中,默認情況下,網(wǎng)站收到客戶端提供的證書后會檢查CRL以驗證該證書是否被吊銷,如果未能聯(lián)系到CA或未能檢查到CRL,因而無法確認客戶端證書的吊銷狀態(tài),則將拒絕該證書,可以配置指定網(wǎng)站在收到客戶端證書后不檢查CRL.certchechmode的默認值為0,即網(wǎng)站需檢查CRL,將其值設(shè)置為1,則網(wǎng)站不再檢查CRL.通過證書對訪問網(wǎng)站的用戶進行身份驗證通過
5、將客戶端證書映射到WEB服務器上的WINDOWS用戶帳戶,可以建立證書與用戶賬戶關(guān)聯(lián),基于這種關(guān)系,網(wǎng)站通過驗證證書即可驗證該證書使用者的用戶身份,當用戶使用客戶端證書登錄時,WEB服務器就會自動將用戶與相應的WINDOWS用戶賬戶關(guān)聯(lián)起來啟用客戶端證書映射單擊編輯點添加確定配置HTTPS啟用證書信任列表點新建下一步選擇要添加的CA證書下一步輸入名稱點完成完成.