部署PKI与证书服务给网页加“s”

          部署PKI与证书服务

一、什么是PKI

PKI(公钥基础设施),是通过使用公钥技术和数字签名来确保信息安全,并负责验证数字证书持有者身份的一种技术。

本次实验的目的是使用PKI协议中的SSL为了给网页地址“http”后边加“S”。浏览网页的时候更安全,不必担心其发送的信息被非法的第三方截获。

 

二、证书颁发机构

证书颁发机构也称为数字证书认证中心(Certficate  Authority,CA),是PKI应用中权威的、可信任的、公正的第三方机构,也是电子交易中信赖的基础。CA的主要功能是负责生产、分配并管理所有参与网上交易的实体所需的身份认证数字证书。

 

三、实验要求

随便搭建一个网页,使用HTTPS(安全超文本传输协议)建立安全连接。

 

四、实验拓扑图

wKiom1maqLSR75xkAACXumgmc6M183.png

 

五、实验步骤

 

1、配置完相应的IP地址之后首先来配置证书颁发机构CA(实际工作中CA是不可能自己搭建的,是要像有权威的CA申请证书。)

 

1.1)、添加服务器角色,选择“Active Directory 证书服务”(这里做的是一台独立CA。如果做企业CA,需要AD服务)

 

wKiom1maqOTx-d3OAAApOjgOkls862.png

 

1.2)、为WEB服务颁发证书需要勾上“证书颁发机构Web注册”

wKioL1maqP2iASVZAAAbgVDL4BU319.png

 

 

1.3)、没有域环境会默认装成独立CA。

wKioL1maqRfzTjVuAAAk6zyv98s704.png

 

1.4)、后边全部选择默认设置,完成安装。(此时如果在CA服务器上没有安装过WEB服务,会默认安装WEB服务。因为要使用网页来申请证书。)

wKioL1maqVCyKiLfAABIkoPYx94338.png

 

2、安装并配置web服务器

2.1)、安装WEB服务器,后边的配置都选默认的。

wKioL1maqXWj6VltAAAedCyTj6E319.png

 

2.2)、在C盘下创建一个网页的根文件夹。

wKiom1maqgnBVDG_AAArhpgth2E067.png

 

2.3)、在文件夹里新建一个记事本,随便打点字保存。把文件名字改为index.html

wKioL1maqhXAdRfUAAAPb9fPhns208.png

2.4)、打开IIS服务器。

wKioL1maqjCR7p5qAABz2AfGm-s925.png

 

2.5)、右击网站,点击添加网站。名称随便,物理路径指向刚才在C盘创建的那个文件夹

wKiom1maqlOw6JgEAAApYxoaw-I322.png

 

2.6)、先把默认的网站停止,把新创建的网站启动。

wKioL1maqmvh5q0jAAB1nrOar0U946.png

 

2.7)、用客户机登录一下看能否访问。

wKioL1maqn-wFjIYAAAz7NOX-9g548.png

3、网站搭建完毕。开始给网页加S吧。

3.1)、打开web服务器IIS管理器,双击证书服务。

wKiom1maqp-zKuSRAACLSMWi4ig578.png

 

3.2)、点击右侧窗格的创建证书申请。

wKioL1maqu6wZZlpAAAf4VEjOYQ019.png

 

3.3)、这里由于不是真的网页,所以没有真实的信息就随便填写

wKiom1maqwihgOE2AAA6s7UujtI857.png

 

3.4)、加密服务选择默认的即可。

wKioL1maqxvz8P21AAAuEth3zto987.png

 

3.5)、为证书申请一个文件名,可以选择桌面,随便起一个名字,以“.txt”格式结尾的文本。(这个文件不用提前创建好,自动创建。)

wKiom1maqz2TwYP1AAAu4FR_3ZU445.png

 

3.6)、打开刚才这个文件,复制里边的所有内容。

wKioL1maq0mBP9LvAACznIseouY793.png

 

3.7)、打开浏览器,输入CA(证书服务器)服务器的ip地址(也可以输入CA服务器的计算机名),并且加上“/certsrv”

wKioL1maq2mAU4tdAADab0JCpbo759.png

3.8)、点击添加,并把CA服务器的地址添加进去。

wKioL1maq5midiPEAAAygMTfZEY824.png

 

3.9)、选择申请证书。

wKiom1maq7TCYRxEAAAwmqZTwwI418.png

3.10)、再选择高级证书申请。

wKiom1maq8iB5y81AAAW8t5WSWc954.png

 

3.11)、选择第二项,使用base64…….证书申请。

wKiom1maq9zz4IeOAAAv7PLOihQ888.png

 

3.12)、把刚才复制的那一堆乱码复制进去,点击提交。板面的做法和配料

wKioL1maq_PwF0RUAAA5Wnd0jjA475.png

3.13)、显示证书正在挂起,(独立CA需要手工颁发证书,企业CA就自动颁发了。)

wKioL1marA-ye-pkAAAs1Ys3-Po856.png

3.14)、这时候回到CA服务器上,来颁发证书。

wKioL1marCmRnM-SAABJvNhD4sA372.png

 

3.15)、选择挂起的申请,右击刚才申请的证书,选所有任务,点击颁发。

wKiom1marEGAH3b2AABVeZ1sK2o805.png

 

3.16)、回到WEB服务器上,在浏览器中重新登录CA的那个网站,选择查看挂起的证书申请的状态。

wKiom1marF6geNAPAACOCsvCs8w913.png

3.17)、选择保存的申请证书。

wKiom1marIDhzmRSAABpHuwyYG4309.png

 

3.18)、这是可以看到证书已经颁发,点击Base64编码,下载证书。

wKioL1marJGBKebHAAAca-a_EfU879.png

3.19)、选择一个路径保存,这里保存到了桌面。

wKiom1marKzQ8jIUAACk-oiXykU113.png

 

3.20)、打开IIS管理器,进入服务器证书,点击完成证书申请。

wKioL1marLzD-slpAABbvjrtCMQ393.png

 

3.21)、选择刚才保存的证书。好记名称随便。

wKiom1marNiB2pIQAAArIRsL71E819.png

 

3.22)、右击网站名,选择编辑绑定。

wKiom1marPSCvh2oAAA4phchGPo501.png

 

3.23)、点击添加,类型选择“https”,证书选择刚才添加的“a”

wKioL1marQHA1rr-AAA9Bg-JfUc736.png

3.24)、双击“ssl设置”

wKiom1marRzjyJYOAAA-vt9av84228.png

 

3.25)、勾选“要求SSL”,点击应用。

wKiom1marS2i3JjVAABcGSVVsr0504.png

 

4.在客户机上验证。

4.1)、输入web服务器上创建的网站,前边输入https,会弹出“安全报警”,点击确定即可。

wKiom1marUWBcS8ZAABRXacf3s4496.png

 

4.2)、又提示安全报警。继续点“是”(因为该证书不是有权威的CA颁发的,是自己做的CA所以不会被浏览器信任。不过不用担心。)

 

4.3)、成功打开网页,已经成功给网页加上了“S”。

wKioL1marXfQm280AAAwMBOKg7c625.png

posted @ 2017-08-21 21:48  小鲜肉1  阅读(1428)  评论(0编辑  收藏  举报