Document

windows server2012之部署HTTPS安全站点

现在的互联网越来越重视网络安全方面的内容,像我们日常生活中浏览的网上银行网站等涉及安全的你都会发现有https 的标志出现,在URL前加https://前缀表明是用SSL加密的。 你的电脑与服务器之间收发的信息传输将更加安全。它实际上是对网站进行了加密保护。Web服务器启用SSL需要获得一个服务器证书并将该证书与要使用SSL的服务器绑定。http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。

HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议要比http协议安全.

SSL(Security Socket Layer)全称是加密套接字协议层,它位于HTTP协议层和TCP协议层之间,用于建立用户与服务器之间的加密通信,确保所传递信息的安全性,同时SSL安全机制是依靠数字证书来实现的。

SSL基于公用密钥和私人密钥,用户使用公用密钥来加密数据,但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下:用户与IIS服务器建立连接后,服务器会把数字证书与公用密钥发送给用户,用户端生成会话密钥,并用公共密钥对会话密钥进行加密,然后传递给服务器,服务器端用私人密钥进行解密,这样,用户端和服务器端就建立了一条安全通道,只有SSL允许的用户才能与IIS服务器进行通信。

提示:SSL网站不同于一般的Web站点,它使用的是“HTTPS”协议,而不是普通的“HTTP”协议。因此它的URL(统一资源定位器)格式为“https://网站域名”。

下面就让我们通过部署CA来实现安全的WEB站点,我们就拿https://www.baidu.com 来进行演示测试:

首先,我们依然准备三台服务器,server01 CA服务器、server02WEB服务器、server03 为工作组计算机。

我们首先在server01上不熟我们的CA服务器,服务器管理器-——添加角色和功能,如图:

clip_image002

下一步,将Active Directory证书服务勾选,添加功能,如图所示:

clip_image004

下一步,将证书颁发机构Web注册勾选上,添加功能,如图所示:

clip_image006

如下图,点击“下一步”:

clip_image008

以下所有都是默认安装的,直接点击“下一步”,如图:

clip_image010

下一步,点击“安装”,完成CA服务器的安装:

clip_image012

安装完成证书服务后,我们开始要部署CA,配置目标服务器上的证书服务,如下图:

clip_image014

出现配置向导,点击“下一步”如图:

clip_image016

下一步,将前两项勾选上,如图,点击下一步:

clip_image018

由于我们是在域环境下配置的,客户端自动信任,我们选择企业CA,如下图:

clip_image020

下一步,CA类型我们选择“根”如图所示:

clip_image022

下一步,我们选择“创建新的私钥”,点击下一步,如下图所示:

clip_image024

以下步骤,我们选择默认安装,如下图:

clip_image026

点击下一步,如下图:

clip_image028

时间自由配置,这里我们保持默认,点击下一步,如图:

clip_image030

数据库默认安装位置,如下图:

clip_image032

下一步,点击“配置”,如下图:

clip_image034

clip_image036

配置成功后,点击关闭:

clip_image038

部署CA后,验证其功能,通过浏览器访问,http://192.168.1.101/certsrv ,并输入与管理员凭证,如下图:

clip_image040

输入凭据后会出现如下图所示,此证明证书服务已经在本台server01机器上安装成功了:

clip_image042

下面,我们来到server02 (WEB服务器)这台机器上面,打开IIS管理器,点击服务器——服务器证书,双击打开,如下图:

clip_image044

点击窗口右侧的“创建证书申请”,如下图:

clip_image046

以下填写信息,注意:通用名称填写客户端访问时的模式,如:我们要访问www.baidu.com,如下图:

clip_image048

下面的位长默认以下数值,点击“下一步”,如图:

clip_image050

下一步,为证书申请制定一个文件名,我在这里起名为certsrv,并指定位置如下图:

clip_image052

下面就是申请证书后所给的编码,用来接下来申请证书用:

clip_image054

下一步,打开这个文本文档,并复制里面的内容,如下图:

clip_image056

复制完内容后,我们通过浏览器访问http://192.168.1.101 如下图:

clip_image058

下一步,我们选择申请证书,如下图:

clip_image060

选择“高级证书申请”,如下图:

clip_image062

选择使用base64编码提交证书申请,如下图:

clip_image064

将之前文档中复制的所有的内容粘贴到文本框中,证书模版选择“WEB服务器”,提交申请,如下图:

clip_image066

提交申请过后,会出现以下界面,我们选择“下载CA证书”,如下图:

clip_image068

将下载证书另存到本地磁盘,如下图:

clip_image070

下一步,我们继续打开IIS管理器,点击“完成证书申请”,如下图:

clip_image072

注意:证书颁发机构相应的文件名指的是下载证书存放的位置,如下图:

clip_image074

证书申请完成后,我们就可以看到服务器证书中多了一个我们添加的站点,如下图:

clip_image076

下一步,我们选择我们要访问的网站,——绑定——添加网站绑定,将类型改为https,端口443,SSL证书选择我们申请的证书,如下图

clip_image078

如下图所示,就出现了https://www.baidu.com :

clip_image080

以上的步骤基本上就可以实现安全站点,https://www.baidu.com

接下来,我们需要通过客户端(server03工作组计算机)来访问该网站,我们需要访问http://192.168.1.101/certsrv 来下载证书,如下图:

clip_image082

选择下载CA证书;将下载的证书另存到本地磁盘:

clip_image084

下一步,我们运行mmc打开控制台窗口,如下图:

clip_image085

选择文件——添加或删除管理单元,如下图:

clip_image087

找到证书,选择“证书”添加,如下图:

clip_image089

添加后,我们选择计算机账户,如下图:

clip_image091

选择本地计算机,如下图,点击完成:

clip_image093

进入证书导入向导,点击下一步:

clip_image095

文件名为下载证书存放的位置,如下图:

clip_image097

证书存储受信任的根证书颁发机构,点击下一步:

clip_image099

点击完成证书导入向导:

clip_image101

下一步,点击证书——受信任的根证书颁发机构——右键——所有任务——导入证书文件,如下图:

clip_image103

下面我们就可以通过server03 的机器访问https://www.baidu.com

clip_image105

我们还可以设置只允许https访问,不允许http访问,操作很简单如下:点击baidu站点,选择SSL设置双击打开,如下图:

clip_image107

下一步,将“要求SSL”勾选,并点击“应用”,如下图:

clip_image109

下面我们再次通过server03 访问http://www.baidu.com,就会出现以下的错误,如下图:

clip_image111

以上的所有内容就是基于CA证书部署https安全站点。配置https://www.baidu.com的访问过程,实验过程步骤比较详细,感谢大家的收看~~么么哒!!

posted @ 2017-06-27 16:08  从未被超越  阅读(9764)  评论(0编辑  收藏  举报