如何使⽹站基于CA认证访问
如何使⽹站基于CA认证访问
Andy Luo
2005-11-22
概要
随着互联⽹技术的发展,⽹站的安全性问题已经越来越重要,本⽂介绍如何通过windows 的“证书颁发机构”功能,使您的⽹站基于CA认证后才能访问。
【SSL】:Security Socket Layer , 加密套接字协议层;
【HTTP】:WWW服务程序所⽤的协议;
【HTTPS】:是⼀个安全通信通道,它基于HTTP开发,⽤于在客户计算机和服务器之间交换信息。它使⽤安全套接字层(SSL)进⾏信息交换,简单来说它是HTTP的安全版。
【操作环境】:Windows 2000 Server企业版
【组件】:IIS5.0, 证书颁发机构(安装windows组件)
【虚拟⽬录】:localhost/kosoft/index.aspx
【说明】:设置⽹站的SSL是基于站点的,⽽不是针对某个虚拟⽬录。
⼀、申请⽂本形式的证书
1.浏览“证书颁发机构”组件(⼀般安装以后会出现在开始---程序---管理⼯具),如图1
(图1)
2.创建新的证书申请
打开IIS,在默认Web站点上右键选择“属性”,点击“⽬录安全性”选项卡,在“安全通信”中点击按钮“服务器证书(S)…”,系统打开了向导。如图2
(图2)
3.选择“创建⼀个新证书(C)”,点击“下⼀步”,“下⼀步”,输⼊名称“KoSoft”,选择位长“1024”位,点击“下⼀步”。
4.系统出现“组织”、“组织部门”,随便填写⼏个相关数据。点击“下⼀步”,出现“站点的公⽤名称”,保持默认,点击“下⼀步”,选择“国家”、“省”、“市”。点击“下⼀步”。
5.系统出现“证书请求⽂件名”页⾯,选择您想要的⽂件名和存放位置。这⾥保持默认。
6.点击“下⼀步”,点击“完成”就申请了⼀个证书。
⼆、⽣成crt⽂件证书
1.打开IE,访问localhost/certsrv/把刚才申请的证书提交证书颁发机构。出现如下的访问页⾯,如图3
(图3)
2.选择“申请证书”,点击“下⼀步”,选择“⾼级申请”,点击“下⼀步”,选择“使⽤base64 编码的PKCS #
免费网站怎么申请10 ⽂件提交⼀个证书申请,或使⽤base64 编码的PKCS #7 ⽂件更新证书申请”。点击“下⼀步”,出现如图4:
(图4)
3.点击“浏览”插⼊刚才⽣成的⽂件内容,或者打开把内容复制,粘贴到这⾥。然后点即“提交”。
4.您可以看到,您申请的证书已经收到,并且现在的状态是挂起。
5.回到“证书颁发机构”组件,点击“待定申请”页,可以看到您刚才的申请单,如图
5
(图5)
6.在证书上,右键选择“所有任务”——颁发,则证书就转移到了“颁发的证书”节点
下,如图6:
到此为⽌,证书已经申请,并且颁发成功。
下边看看如何启⽤这个证书
三、应⽤证书
1.打开IE,访问localhost/certsrv/把刚才申请的证书下载到本地
2.选择“检查挂起的证书”,“下⼀步”,注意选择“Base 64 编码”,把证书下载到本地,⽂件名:
3.打开IIS,在默认Web站点上右键选择“属性”,点击“⽬录安全性”选项卡,在“安全通信”中点击按钮“服务器证书(S)…”,系统打开了向导。点击“下⼀步”,出现如
下图7,注意与第⼀次不同了。
(图7)
4.选择“处理挂起的请求并安装证书”,点击“下⼀步”,出现“证书注册”警告,选择“是”,完成向导。
5.此时可以察看证书,编辑证书。
6.选择“编辑”,打开如下页⾯,注意⼀定要勾选“申请安全通道(SSL)(R)”,点击“确定”。如果客户端需要审核才能访问,在客户证书中选择“申请客户证书“,如下图8
访问localhost/kosoft/index.aspx , 发现,出现如下错误:
请尝试下列操作:
在您要访问的地址前⾯键⼊“https:”,然后重试。
HTTP 403.4 - 禁⽌访问:要求SSL
Internet 信息服务
试试看如下的地址:localhost/kosoft/index.aspx发现,出现如下错误
⽹页要求客户证书
您要查看的⽹页要求使⽤客户证书。
请尝试下列操作:
如果您已经安装了客户证书,请单击刷新按钮重试。
如果您确信应该能够查看该⽬录或⽹页,请与Web 站点管理员
联系,其电⼦邮件地址或电话号码请参阅grd-pec:89主页。
HTTP 403.7 - 禁⽌访问:要求客户证书
Internet 信息服务
7.回到IE,打开localhost/certsrv/,申请⼀个证书,选择“Request a certificate”,点击下⼀步,选择⾼级申请,选
择“Submit a certificate request to this CA using a form.”,点击下⼀步,出现证书申请页⾯,填写姓名,电⼦邮件,等信息,点击提交。系统提⽰如下:证书挂起
您的证书申请已经收到。不过,您必须等待管理员发布您申请的证书。
请在⼀天或两天内回到此 web 站点以检索您的证书。
注意:您必须⽤此 web 浏览器在 10 天内返回以检索您的证书
8.在服务器端,打开证书颁发机构,打开待定申请列表,对申请的证书进⾏颁发。
9.在客户端打开IE,打开localhost/certsrv/,选择Check on a pending certificate,点击下⼀步,到证书已发布页⾯,点击证书安装。
10.关闭IE,然后重新打开IE,输⼊localhost/kosoft/index.aspx,便可以访问。
关于证书的有效⽇期
默认情况下,独⽴证书颁发机构CA 签发的证书的有效期是⼀年。⼀年之后证书即过期,其使⽤将不再受信任。但在某些情况下,您可能必须要覆盖由中介或发证CA 所签发的证书的默认终⽌⽇期。
注册表中定义的有效期限会影响所有由独⽴CA 和企业CA 签发的证书。对于企业CA,默认注册表设置为两年。对于独⽴的CA,默认注册表设置为⼀年。对于由独⽴CA 签发的证书,其有效期限由本⽂稍后介绍的注册表项确定。该值适⽤于所有CA 签发的证书。
对于企业CA 签发的证书,其有效期限硬编码在⽤来创建证书的模板中。Windows 2000 和Windows Server 2003 不⽀持对这些模板的修改。模板有效期限适⽤于所有由企业CA 签发的证书。对于从属CA 证书模板不存在例外。由CA 签发的证书的有效期为下列时间段中的最短者:?本⽂前⾯提到的注册表中定义的有效期。
模板定义的有效期。这只适⽤于企业CA。
CA 证书的终⽌⽇期。
注意:“请求属性”名由伴随此请求并指定有效期限的值字串符对构成。默认情况下,它只能通过针对独⽴CA 的注册表设置启⽤。
更改Windows Server 2003 或Windows 2000 Server 证书颁发机构所签发证书的终⽌⽇期要更改CA 的有效期限设置,请按照下列步骤操作:
1. 单击“开始”,然后单击“运⾏”。
2. 在“打开”框中,键⼊regedit,然后单击“确定”。
3. 到并随后单击下⾯的注册表项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\
4. 在右窗格中,双击“ValidityPeriod”。
5. 在“数值数据”框中,键⼊以下时间单位之⼀,然后单击“确定”:?Days
Weeks
Months
Y ears
6. 在右窗格中,双击“ValidityPeriodUnits”。
7. 在“数值数据”框中,键⼊您希望的数值,然后单击“确定”。例如,键⼊2。
8. 停⽌,然后重新启动“证书服务”服务。为此,请按下列步骤操作:
a. 单击“开始”,然后单击“运⾏”。
b. 在“打开”框中,键⼊cmd,然后单击“确定”。
c. 在命令提⽰符处,键⼊下列命令⾏。在每⼀⾏之后按Enter 键。net stop certsvc
net start certsvc
d. 键⼊exit 退出命令提⽰窗⼝。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论