創建標準CA部署安全的SSL網站

概述：       

    隨着網絡安全的概念日益深刻人心，公鑰架構(PKI)在網絡獲得愈來愈普遍的應用。PKI使用證書進行身份驗證，數據加密和數據簽名，是目前信息安全保障的一種重要方法。      

    證書是PKI的基礎，是實現網絡安全，進行身份驗證以及保證網絡信息安全的一種管理手段，有關PKI與證書更多更深刻的知識請參考相關KB，或參考後繼文章!   

    本文不涉及太多理論知識，以一個完整的例子來闡述如何創建標準CA服務器，並使用標準CA申請證書並使用證書部署SSL網站，詳細步驟以下：

 

一：創建獨立CA服務器

     win2003支持兩種證書服務器，分別是用於企業內部的企業CA服務器和用於Internet上的標準證書服務器，企業證書服務器須要AD支持，而標準CA服務器則能夠安裝在任何Win2003服務器上。由於證書服務器須要Web服務器支持，以提供Web界面申請頁面證書，因此創建CA服務器時，須要安裝IIS服務和ASP組件。安裝標準證書服務器很簡單，這裏只作歸納性描述：
    1：安裝IIS服務，以提供WEB界面的證書申請頁面.

       安裝IIS服務過程略過，但注意必定要選擇"Asp.Net"組件!

              
    2：安裝證書服務組件，以提供證書的各類管理.

        在安裝證書組件時，在"CA類型"中，選擇"獨立根CA(S)",

          

     在"CA識別信息"對話框，輸入這臺證書服務器相關信息，其它信息能夠根據實際狀況輸入，也能夠選擇默認值!

     安裝完成證書服務後，不須要重啓計算機便可使用證書服務。

 

 

二：創建IIS服務器,發佈網站，使用證書，配置網絡安全。

      標準CA服務器證書能夠用於多個類型，如客戶端身份驗證，電子郵件，代碼簽名，IPSec等，本文只討論第一種類型證書!

    具體步驟
      1： 配置網站安全性，使用證書
       1)：安裝IIS服務,過程略
       2)：創建要配置SSL訪問的網站，例如 CADemoSite,過程略過。

       3)：配置CADemoSite網站的目錄安全性，使用服務器證書嚮導向CA服務器申請證書。

           在"目錄安全性"選項頁，選擇"服務器證書"按鈕, 
                

 

                  在IIS證書嚮導過程當中，在"站點公用名稱"界面，請注意站點公用名稱必需與您的客戶端訪問這個站點所使用的名稱一致。

        若是此時輸入的是IP地址，那麼客戶端訪問該網站時，就只能使用IP地址訪問，若是此時輸入的是域名，那麼客戶端訪問該網站時，就只能以域名形式訪問。我這裏輸入的是域名形式。由於我測試的這臺IIS服務器自己也是DNS服務器，已經創建了相應的區域文件,能夠實現域名到IP地址的解析!

                

                   4)：申請完成後,將證書請求保存成爲certreq.txt文件。

           

       2：正式向CA服務器申請電子證書
           1)：在IIS服務器上，訪問獨立證書頒發機構的證書申請站點：

              [url]http://<CA[/url] server name or IP address>/certsrv 
           2)：依次選擇「申請一個證書",「高級證書申請」?
           3)：「使用 base64 編碼的 CMC 或 PKCS #10 文件提交 一個證書申請，或使用 base64 編碼的 PKCS #7 文件續訂證書申請」
           4)：打開第1步保存的certreq.txt文件，將其中的全部內容複製到「base64編碼」窗口中，以下圖：

                    

                  5)：點擊「提交」以提交證書申請請求，確認請求提交後關閉IE窗口。

     3：CA服務器頒發IIS服務器申請的電子證書
           在獨立證書頒發機構上批准這個證書請求,點"頒發"，以下圖：

                    

      4：IIS服務器下載CA服務器頒發的電子證書
        1)：在您的IIS服務器上，訪問獨立證書頒發機構的證書申請站點:

           [url]http://<CA[/url] server name or IP address>/certsrv 
        2)：選擇「查看掛起的證書申請的狀態」
        3)：得到批准的證書?「下載證書」並保存爲.CER文件
        4)：安裝下載的證書。打開IIS服務器站點屬性，在目錄安全性中再次點擊「服務器證書」?「處理掛起的請求並安裝證書」?
        5)：指定在第3步中得到的CER文件?完成嚮導。在目錄安全性中點擊「編輯」按鈕設置客戶端證書訪問配置，以下圖

               

                

       5：配置IIS服務器信任頒發證書的CA服務器

         若是上述過程都正確操做，在IIS上安裝好頒發的電子證書後，仍然會看到以下圖所示的錯誤信息，

               

 

             主要緣由是IIS服務器此時不信任頒發證書的CA服務器。解決 辦法是將CA服務器添加到IIS服務器計算機"受信任的根證書頒發機構",

         具體步驟以下：

            1)：訪問獨立證書頒發機構的證書申請站點，選擇「下載一個 CA 證書，證書鏈或 CRL」?「下載CA證書」。
            2)：將得到的CA證書導入到IIS服務器的計算機「受信任的根證書頒發機構」容器中，以使得IIS服務器信任你的獨立證書頒發機構,以下圖：

                 

 

          

        3):導入CA證書到"受信任的根證書頒發機構"後，上述證書再也不顯示錯誤信息。

 

                  

     

三：配置客戶端正常訪問SSL網站。

     IIS服務器上配置好安全訪問後，客戶端要能正確訪問該網站，此時客戶端也必須向CA服務器申請證書!具體步驟以下： 
       1：在客戶端上，爲須要訪問此IIS站點的用戶申請一張用戶使用的「客戶端身份驗證證書」。方法同上 
       2：在獨立證書頒發機構上批准此請求並再次到客戶端上得到此證書並安裝。方法同上

       3:配置客戶端信任頒發證書的CA服務器 
         1)：訪問獨立證書頒發機構的證書申請站點，選擇「下載一個 CA 證書，證書鏈或 CRL」?「下載CA證書」。 
         2)：將得到的CA證書導入到客戶端計算機的「受信任的根證書頒發機構」容器中，以使得客戶端計算機信任您的獨立證書頒發機構。

         

       4:訪問網站，經測試,能夠正常訪問

               

                

 

   至此，一個完整的使用標準CA服務器實現安全的SSL網站案例已經實現,徹底知足實際的商業應用需求!

 

注：在客戶端訪問SSL網站所使用的站點名稱必定要與IIS服務器在申請證書過程當中的站點公共名稱保持一致，纔可能避免出現彈出」安全警報「窗口，提示」安全證書的名稱無效或與站點名稱不匹配「的信息。