Windows Server 2008 PKI相关操作(部署HTTPS服务器、部署SSL服务器、启用SSL、Microsoft Active Directory证书服务)
目录
****实验名称:部署HTTPS服务器/部署SSL服务器****
一、基础知识
1.1、PKI概述
名称:Public Key Infra...公钥基础设施
作用:通过加密技术和数字签名保证信息的安全
组成:公钥加密技术、数字证书、CA、RA(Registration Authority)
RA(Registration Authority) 是专门负责受理用户申请证书的机构。根据分工, RA并不签发证书,丽是负责对证书申请人的合法性进行认证,并决定是批准或拒绝证书申请。
证书的签发由CA进行。RA的主要功能如下:
①接收证书申请人的注册信息,并对其合法性进行认证;
②批准或拒绝证书的申请;
③批准或控绝恢复**的申请;
④批准或拒绝撤销证书的申请。
对于一个小范围的系统,由CA兼管RA的职能是可以的。但随着用户的增多, CA与RA应当职责分开。申请注册有不同的方式,有在线的方式和离线的方式。在Internet环境中可以Web浏览器方式进行在线注册。注册的过程是用户与CA建立信任关系的一个重要步骤。
1.2、信息安全三要素(C.I.A)
Confidentiality(保密性)、Integrity(完整性)、Availability(可用性)
1.3、哪些IT领域用到PKI:
1)SSL/HTTPS
2)IPsec v*n
3)部分远程访问v*n
1.4、公钥加密技术
作用:实现对信息加密、数字签名等安全保障
加密算法:
1)对称加密算法
加解密的**一致!
DES 3DES AES
2)非对称加密算法
*通信双方各自产生一对公私钥。
*双方各自交换公钥
*公钥和私钥为互相加解密关系!
*公私钥不可互相逆推!
RSA DH
eg:
x+5=y(对称加密算法)
x是原数据/原文
y是密文
5是key / **
HASH算法:MD5 SHA (验证完整性)
HASH值可逆么?不可逆!
HASH值 = 摘要 = 杂凑函数
数字签名:
用自己的私钥对摘要加密得出的密文就是数字签名
1.5、证书:
证书用于保证公密的合法性
证书格式遵循X.509标准
数字证书包含信息:
使用者的公钥值
使用者标识信息(如名称和电子邮件地址)
有效期(证书的有效时间)
颁发者标识信息
颁发者的数字签名
数字证书由权威公正的第三方机构即CA签发
CA是权威证书颁发机构,为了公正“公钥”的合法性!
机密性:使用对方的公钥加密!
身份验证/数字签名:使用自己的私钥!
===========================================
以上这么些东西真正想要深入建议学习密码学。
****实验名称:部署HTTPS服务器/部署SSL服务器****
实验环境:
1)win2008作为https服务器:10.1.1.1/24
2)win7作为客户机:10.1.1.7/24
3)桥接到虚拟网络vmnet3
实验步骤:
1.配置服务器IP地址10.1.1.1/24。
2.安装IIS服务 并建立一个站点。(必须使用域名)并配置DNS服务器,并初步验证访问http://www.flower.com一下。
3.安装CA组件
4.打开IIS,先生成证书申请文件
5.向CA申请证书:
打开网页http://10.1.1.1/certsrv并向CA发送web服务器申请文件
6.CA颁发证书
7.在web服务器上下载并完成安装
8.在web服务器上启用SSL443
9.要求用户必须使用443访问,不能使用80访问!
二、实验过程
具体流程参考这篇文章搭建一个可以正常用网址访问的网站: https://blog.****.net/Drifter_Galaxy/article/details/108080509(写的真好????)
2.1 搭建网站
server端:
安装完了IIS和DNS之后,配置IIS以添加网站。(网站文件夹不要放在桌面,不然win7访问会出现500错误)
在【默认文档】里面配置
因为首页是
接下来配置DNS:
win7端:
win7只需要配置server为DNS服务器即可通过域名访问该网址》
2.2 安装CA组件
现在开始正式实验。之前的实验都是在复习之前的内容。可以看到网站使用的协议是http,通过80端口。而不是https、通过443端口。
因为检测到这台机器没有配置域,所以无法选择企业。
这是CA自己的证书名字。【qf-CA】
五年是CA这个证书服务器的有效期。
安装好咧!
2.3 打开IIS,先生成证书申请文件
双击进入。CA已经在了,现在要证书需要写个申请。
由于CA与服务器在一起,这是自己给自己颁发的证书、
生成好了打开开瞅瞅:
2.5、向CA申请证书:
server打开网页http://10.1.1.1/certsrv并向CA发送web服务器申请文件
提示:windows server自带的ie浏览器打开网址时候有个增强安全配置组织啥啥啥的,点击添加-添加-关闭才可以访问
这个增强安全模式可以按照下图步骤关闭
我打开浏览器发现进不去这个网址,排查了好几秒钟才发现我个憨憨把default web site关了!而default web site包含sertsrv。
成功进去之后。
2.6、CA颁发证书
现在再回到证书颁发机构管理。进行颁发。
2.7、在web服务器上下载并完成安装
再次回到浏览器。
下载好了给www.rapid.com颁发的证书后,去IIS控制台。
上面一行是公安局给公安局的证书,下面的是公安局给我这个服务器的证书。下面有效期只有一年。现在去给网站绑定一下颁发的证书,这样就可以https访问啦!
2.8、在web服务器上启用SSL443
再去这个地方设置一下SSL。要求用户必须使用443访问,不能使用80访问!(把要求SSL勾选上!)
2.9 回到win7访问验证
为什么自己创建的qf-CA不受Win7信任。而同样使用Https的百度就可以呢》因为浏览器内置了信任的证书颁发机构。
在
- win7采用http方式
- 客户端没有证书而服务器SSL设置里为必须
两种情况下,win7访问该网址会提示
2.10、win7客户端申请证书
win7需要证书是在SSL设置为这样的时候。
win7访问10.1.1.1/certsrv
emmmm还得给这个网站配置https。又要来一套。。。
假设我已经配置好了https访问certsrv。然后只需要填写好下表、然后提交,等待CA颁发证书。(以下用http访问证书服务的步骤是在XP上做的,是不规范不安全的,仅仅作示范用,在win7上必须用HTTPS才能访问证书服务)
假设现在证书已经颁发去certsrv网址的这里
安装成功后即可访问SSL限制为必须的网站。