WEB的加密与CA

部署https站点

PKI:公共**基础架构

PKI的功能： 1. 数据加密 2. 数据篡改

 

证书颁发机构：CA服务器

示例： 部署企业内部CA服务器 （在server01上做CA）    
添加角色和功能 ——安装active directory证书服务    

选择如图

部署CA：

下一步

画勾

企业CA：必须在域环境下，可以实现证书的自动颁发

独立CA，可以是域环境也可以工作组环境

下一步

下一步

下一步

配置

验证：    
IIS:    
通过浏览器访问  http://ip/certsrv    
证书颁发机构管理工具

输入域管理员和密码

这样CA就搭建完成了

 

示例： 实现安全的WEB站点 （在server02上）    
通过https://www.baidu.com    
步骤1：WEB服务器端生成证书申请文件    
步骤2：提交证书申请文件到CA服务器    
步骤3：CA服务器颁发证书    
步骤4：WEB服务器安装证书    
步骤5：配置HTTPS访问

步骤1：WEB服务器端生成证书申请文件

打开IIS管理器——服务器证书

创建证书申请

填写信息如下：（通用名称不能写错）

保存到自己能找到的位置

步骤2：提交证书申请文件到CA服务器

申请证书——高级证书申请——使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请。

把C：\证书\certsrv.txt里面的内容复制粘贴到保存的申请——证书模板选择WEB服务器

下载证书

步骤3：CA服务器颁发证书

（在server01上颁发证书，因为我们的环境是域环境，sever01既做域又做CA，所以server02申请的证书是直接颁发的）

   
步骤4：WEB服务器安装证书

打开IIS管理器——完成证书的申请

导入从CA上下载的证书

步骤5：配置HTTPS访问

点击sina——右侧绑定

添加，配置方法如下

验证：在server01*问

这时我们既能访问http协议又能访问https协议

 

示例：只允许https访问，不允许http访问

在server02上：打开IIS管理器——网站——sina——SSL设置——要求SSL画勾——右侧启用

在server01*问

实例：WEB服务器端生成证书申请文件

（server03上工作组状态，）  
1：工作组计算机访问：

l浏览器上输入server01的IP地址/certsrv,

下载CA证书、证书链或CRL

下载CA证书

把证书另存为自己能找到的地方

2：工作组计算机信任CA

打开控制台

点击文件——添加或删除管理单元——证书——添加——计算机账户

添加证书后，点击证书——受信任的根证书颁发机构——证书——右侧空白位置，点击鼠标右键——所有任务——导入

选择下载证书的位置

下一步

完成

之后受信任的根证书颁发机构上就有我们导入的证书了