在Web服务器上配置SSL来验证CA服务器的搭建过程
2010-01-24 20:23
477 查看
一.搭建CA前的实验环境
winsrv2003A AD+DNS+DHCP IP:192.10.10.253 DNS:gary.com VM1
winsrv2003B 域成员Web服务器 IP:192.10.10.2 主机头为www.gary.com VM1
XP-client 自动获得TCP/IP相关信息; 用于客户端测试 Web 服务器 VM1
说明:在winsrv2003A已经搭建好DHCP/DNS服务,且作为主域控器;通过在客户端XP-client输入http://www.gary.com能访问到Web服务器则实验前准备环境搭建成功!
二.让winsrv2003A作为CA服务器
i.在winsrv2003A上安装IIS组件的同时还得安装asp.net,目的是提供CA在线申请平台.
ii.在安装好IIS等组件后(步骤2)安装证书服务 -->勾选 企业根(CA)-->公钥/私钥对 为默认-->下一步-->此CA的公用名称输入GARY(此项填写没有要求)-->一路点下一步-->到安装完成!
三.向CA申请证书
i.在Web服务器上创建证书申请文件(由于附图太多,请参照附件步骤1.1-1.9).
ii.证书申请.通过在浏览器中输入http://192.10.10.253/certsrv 向CA服务器申请证书;弹出输入用户名密码要求对话框(输入administrator)-->将该网站添加到区域中,就打开了申请证书WEB页面-->点击申请证书-->高级证书申请-->使用base64编码....-->(由于附图太多,请参照附件步骤2.1-2.7).
iii.在Web服务器上安装证书(由于附图太多,请参照附件步骤3.1-3.5).
此步骤遇到问题:在安装完之后再查看证书时,出现“无法将这个证书验证到一个信任的证书颁发机构”吓点了很久,最后按图4.1-4.4步骤成功安装了证书。不过总觉得存在问题,为什么直接安装会出现不受信任关系呢?难道是AD与Web不在同一台服务器上的原因吗?和证书文件一同生成的证书链文件有何作用?
四.客户端测试
i.通过在Web服务器上的IIS控制台gary站点-->属性 -->目录安全性-->编辑-->安全通信窗口可设置"要求安全通道"客户端证书选项包括:忽略客户端证书;接受客户端证书;要求客户端证书等(由于附图太多,请参照附件步骤5.1-5.2)
ii.若在Web服务器上设置的是“要求客户端证书”则还得在winsrv2003A主域控上创建用户,此处创建aa用来验证申请用户证书.
在客户端的浏览器上输入http://192.10.10.253/certsrv 通过输入aa及密码打开申请证书页面.点击-->申请一个证书 -->用户证书 -->提交.接着会弹出一些对话框都点确认是,最后安装证书.就这样客户端aa就申请了一个证书.
也就是说客户端在输入https://www.gary.com就可以浏览了!
最后一个问题:如何在DNS中设置CA平台的主机头,也就不用输入像http://192.10.10.253/certsrv 这样难记的地址了,怎么设置呢?
求助中!
附件:http://down.51cto.com/data/2355041
winsrv2003A AD+DNS+DHCP IP:192.10.10.253 DNS:gary.com VM1
winsrv2003B 域成员Web服务器 IP:192.10.10.2 主机头为www.gary.com VM1
XP-client 自动获得TCP/IP相关信息; 用于客户端测试 Web 服务器 VM1
说明:在winsrv2003A已经搭建好DHCP/DNS服务,且作为主域控器;通过在客户端XP-client输入http://www.gary.com能访问到Web服务器则实验前准备环境搭建成功!
二.让winsrv2003A作为CA服务器
i.在winsrv2003A上安装IIS组件的同时还得安装asp.net,目的是提供CA在线申请平台.
ii.在安装好IIS等组件后(步骤2)安装证书服务 -->勾选 企业根(CA)-->公钥/私钥对 为默认-->下一步-->此CA的公用名称输入GARY(此项填写没有要求)-->一路点下一步-->到安装完成!
三.向CA申请证书
i.在Web服务器上创建证书申请文件(由于附图太多,请参照附件步骤1.1-1.9).
ii.证书申请.通过在浏览器中输入http://192.10.10.253/certsrv 向CA服务器申请证书;弹出输入用户名密码要求对话框(输入administrator)-->将该网站添加到区域中,就打开了申请证书WEB页面-->点击申请证书-->高级证书申请-->使用base64编码....-->(由于附图太多,请参照附件步骤2.1-2.7).
iii.在Web服务器上安装证书(由于附图太多,请参照附件步骤3.1-3.5).
此步骤遇到问题:在安装完之后再查看证书时,出现“无法将这个证书验证到一个信任的证书颁发机构”吓点了很久,最后按图4.1-4.4步骤成功安装了证书。不过总觉得存在问题,为什么直接安装会出现不受信任关系呢?难道是AD与Web不在同一台服务器上的原因吗?和证书文件一同生成的证书链文件有何作用?
四.客户端测试
i.通过在Web服务器上的IIS控制台gary站点-->属性 -->目录安全性-->编辑-->安全通信窗口可设置"要求安全通道"客户端证书选项包括:忽略客户端证书;接受客户端证书;要求客户端证书等(由于附图太多,请参照附件步骤5.1-5.2)
ii.若在Web服务器上设置的是“要求客户端证书”则还得在winsrv2003A主域控上创建用户,此处创建aa用来验证申请用户证书.
在客户端的浏览器上输入http://192.10.10.253/certsrv 通过输入aa及密码打开申请证书页面.点击-->申请一个证书 -->用户证书 -->提交.接着会弹出一些对话框都点确认是,最后安装证书.就这样客户端aa就申请了一个证书.
也就是说客户端在输入https://www.gary.com就可以浏览了!
最后一个问题:如何在DNS中设置CA平台的主机头,也就不用输入像http://192.10.10.253/certsrv 这样难记的地址了,怎么设置呢?
求助中!
附件:http://down.51cto.com/data/2355041
相关文章推荐
- 服务器搭建技术——TortoiseHg配置具体过程
- 服务器项目目录搭建,gradle 搭建项目web目录,source folder,folder相互转换,部署路径配置,
- 阿里云服务器Web项目配置发布全过程(一)
- LVS+Keepalived+IIS 配置过程高可用负载均衡web服务器
- 阿里云服务器Web项目配置发布全过程(五)
- Haproxy做LB负载均衡集群的搭建和配置,可以通过web页面监控web服务器的运行状态
- 忆龙2009:采用SSL握手方式的服务器验证过程
- Ubuntu下搭建Web服务器(Apache+PHP+MySQL)及初始配置
- [服务器] 腾讯云Centos6.6搭建javaweb环境:mysql5.1+jdk1.7+tomcat6完整过程
- Linux中web服务器的搭建与配置
- 默认情况下禁用对此 Web 服务器的访问,因为它受基本身份验证的控制并且不使用安全套接字层(SSL)
- CA(证书颁发机构)服务器配置图解过程(1)
- Tiny HTTPd 开源web服务器搭建过程
- Exchange2010配置实验(四)搭建CA服务器为Exchenge客户端配置安全证书
- Linux下java web服务器搭建(vsftp配置介绍)
- 阿里云服务器Web项目配置发布全过程(三)
- CA(证书颁发机构)服务器配置图解过程(1) 推荐
- Linux下Java Web服务器搭建3(YUM配置)
- 为微信小程序搭建https服务,证书申请及配置。Apache服务器。重点描述request:fail ssl hand shake error 错误
- Centos7 搭建Gitlab服务器并配置项目全过程