(9) 单击【下一步】按钮,系统将进行IIS及证书服务组件的配置,如图2-11所示。在服务组件安装过程中,可能会要求插入Windows Server 2003安装光盘,以复制i386目录中的相关文件。
(点击查看大图)图2-10 【证书数据库设置】界面 (点击查看大图)图2-11 【正在配置组件】界面 若先前在如图2-5所示的【万维网服务】对话框中,未选中Active Server Pages复选框,将弹出如图2-12所示的对话框,要求安装Active Server Pages服务功能。 (点击查看大图)图2-12 【Microsoft证书服务】对话框2 (10) 单击【是】按钮,经过系统安装配置后,将弹出如图2-13所示的对话框,告知IIS及证书服务组件已成功安装。 (11) 选择【控制面板】|【管理工具】|【服务】命令,分别选择Certificate Services、IIS Admin Service,并查看其属性,如图2-14所示。系统完成IIS及证书服务组件安装后,启动运行了这两项服务功能。 图2-13 【完成\"Windows组件向导\"】界面 2.3 创建普通的Web站点
以系统管理员身份登录Windows Server 2003,选择【开始】|【程序】|【管理工具】|【计算机管理】命令,或右击【我的电脑】并从弹出的快捷菜单中选择【管理】命令,打开【计算机管理】窗口;展开管理目录树,在【服务和应用程序】下选择【Internet 信息服务(IIS)管理器】。选择【Web服务扩展】,接着在其右侧窗格中选中Active Server Pages,单击【允许】按钮,如图2-15所示。
右击【默认网站(停止)】选项,在弹出的快捷菜单中选择【属性】命令,如图2-16所示。在打开的【默认网站(停止)属性】对话框中,切换到【网站】选项卡。由图2-17所示【网站】选项卡的配置项目可知,使用该选项卡可以设置某个网站的名称、连接限制,以及启用日志记录并配置站点的日志记录格式等内容。
图2-15 【Internet 信息服务(IIS)管理器】管理界面 图2-16 【默认网站( 停止)】右键菜单
在【网站标识】选项组中的【描述】文本框中可输入所配置网站容易识记的名称。例如,本案例可输入类似my_CA_Web站点等描述性语言。该名称将出现在IIS管理器的控制台树中。可从【IP地址】下拉列表框中指定一个IP地址或输入用于访问该站点的IP地址。对于本案例可选择其下拉列表中的10.12.1.109地址。如果没有分配指定的IP地址,即选中【全部未分配】选项,那么此站点将响应分配给该服务器但没有分配给其他站点的所有IP地址,并使它成为默认网站的IP地址。【TCP端口】文本框是必填项目,用于指派运行Web服务的TCP端口号(默认值是80)。如果将该端口号更改成其他的TCP端口号(例如8080),则需预先通知客户端以便其请求时输入相应的URL(例如http://www.test.com:8080)。【SSL端口】文本框是可选项目,用于指派与该网站标识相关联的SSL端口。默认SSL端口号是443。只有使用SSL加密时才需要SSL端口号。也就是说,如果没有为站点启用SSL加密,则【SSL端口】文本框无须输入数值。单击【高级】按钮,可以进一步配置用来访问站点的IP地址、TCP端口号以及主机头值。
【连接】选项组用于以秒为单位设置服务器断开非活动用户连接之前的时间长短,从而确保在HTTP协议无法关闭某个连接时,关闭所有的连接。通常,默认选中【保持HTTP连接】复选框,从而满足客户端的浏览器要求服务器在多个请求中保持连接打开的要求。如果没有它,浏览器将不得不为包含多个元素(如图片、文字等)的页面进行大量的连接请求,增加额外的服务器活动和资源,从而降低服务器的响应效率。
选中【启用日志记录】复选框可以启用网站的日志记录功能,记录关于用户活动的细节并按所选格式创建日志。通常,活动日志格式有Microsoft IIS日志文件格式(一种固定的ASCII格式)、NCSA共用日志文件格式(一种固定的ASCII格式)、ODBC日志记录(一种记录到数据库的固定格式)、W3C扩展日志文件格式(一种可自定义的ASCII格式,默认选择此格式)等。若要使用进程记账,则需选择W3C扩展日志文件格式。
在如图2-18所示的【性能】选项卡中,通过配置给定站点的网络带宽,可以更好地控制该站点允许的流量。【最大带宽】用于配置给定站点可以使用的网络带宽大小,单位为KB/s。当使用IIS管理器将站点配置成使用带宽限制时,系统将自动安装数据包计划程序,并且IIS自动将带宽限制设置成最小值1KB/s。选中【连接限制为】单选按钮可以设置指定网站的特定数目的并发连接。将站点限定在特定的连接数可以保持服务器性能的稳定。
图2-17 【网站】选项卡 图2-18 【性能】选项卡 在如图2-19所示的【主目录】选项卡中,在【本地路径】文本框中可输入存放网站文件的目录路径。例如本案例中,输入E:\\my_CAweb。也可以通过单击【浏览】按钮获得这一目录路径。
在【文档】选项卡中,单击【添加】按钮,在【添加内容页】对话框中输入index.asp。单击【确定】按钮后,选中index.asp,并通过多次单击【上移】按钮使该文档置顶,如图2-20所示。
单击【确定】按钮后,右击【默认网站】选项,在弹出的快捷菜单中选择【启动】命令。然后在如图2-21所示【默认网站】选项右侧窗格中,右击index.asp文档,在弹出的快捷菜单中选择【浏览】命令,如图2-21所示。系统将自动打开IE浏览器,以
http://10.12.1.109/index.asp这一URL显示出事先编辑好的Web页,如图2-22所示。
图2-19 【主目录】选项卡 (点击查看大图)图2-20 【文档】选项卡 (点击查看大图)图2-21 【浏览】命令操作示意图 (点击查看大图)图2-22 Web页示意图 2.4 Web站点证书申请(1)
在IIS管理器窗口中,右击【默认网站】选项,在弹出的快捷菜单中选择【属性】命令。切换到【目录安全性】选项卡,如图2-23所示。在【安全通信】选项组中,单击【服务器证书】按钮。在【欢迎使用Web服务器证书向导】对话框中,单击【下一步】按钮。
在如图2-24所示的【服务器证书】界面中,选中【新建证书】单选按钮。如果用户事先已为当前服务器申请了证书,则可选中【分配现有证书】或【从密钥管理器备份文件导入证书】单选按钮。 依次单击【下一步】按钮,在【名称和安全性设置】界面中,输入一个便于记忆的新建证书的名称(如CA_test),并选择相应的密钥长度(系统默认值为1024位),如图2-25所示。 单击【下一步】按钮,在如图2-26所示的【单位信息】界面中,输入相应的单位和部门名称。 (点击查看大图)图2-23 【目录安全性】选项卡 (点击查看大图)图2-24 【服务器证书】界面 (点击查看大图)图2-25 【名称和安全性设置】界面 (点击查看大图)图2-26 【单位信息】界面 单击【下一步】按钮,系统要求在如图2-27所示【站点公用名称】界面中输入Web站点的公用名称(如该网站的DNS域名,即如果URL是https://www.test.com,则公用名应为www.test.com)。
注意:基于安全方面的考虑,通常在【公用名称】文本框中使用域名申请证书,而不能使用IP地址申请。
单击【下一步】按钮,系统将要求输入CA证书的国家、省/自治区、市/县等地理信息。单击【下一步】按钮,在如图2-28所示的【证书请求文件名】界面中,输入所申请的证书文件名及其存储路径。该文件名及其存储路径必须牢记,后面在向CA机构提交证书文件内容时需要使用到该文件。
单击【下一步】按钮,系统将给出所申请证书的摘要信息,如图2-29所示。 确认前面的操作无误后,单击【下一步】按钮,将弹出如图2-30所示的对话框,告知Web服务器证书已成功申请。
(点击查看大图)图2-27 【站点公用名称】界面 (点击查看大图)图2-28 【证书请求文件名】界面 (点击查看大图)图2-29 【请求文件摘要】界面 (点击查看大图)图2-30 【完成Web服务器证书向导】界面 2.4 Web站点证书申请(2) 进入如图2-28所示【证书请求文件名】界面中,在所申请的证书文件的存储目录中,打开certreq.txt文件。全选该文件内容,选择【编辑】|【复制】命令或按Ctrl+C快捷键,如图2-31所示。 在如图2-32所示的【默认网站】的CertSrv目录中,右击default.asp文档,从弹出的快捷菜单中选择【浏览】命令,打开如图2-33所示的证书申请【欢迎】页面。在IE浏览器地址栏中输入http://10.12.1.109/certsrv,也可打开图2-33所示的证书申请【欢迎】页面。其中,10.12.1.109是安装了证书服务器的计算机IP地址。 (点击查看大图)图2-31 复制certreq.txt文件内容 (点击查看大图)图2-32 CertSrv目录 单击【申请一个证书】链接,进入如图2-34所示的【申请一个证书】页面。 单击【高级证书申请】链接,进入【高级证书申请】页面,如图2-35所示。 单击【使用base64编码的CMC或PKCS #10文件提交一个证书申请,或使用base64编码的PKCS #7文件续订证书申请】链接,进入如图2-36所示的【提交一个证书申请或续订申请】页面。在【保存的申请】选项组中右击,从弹出的快捷菜单中选择【粘贴】命令;或按Ctrl+V快捷键。
(点击查看大图)图2-33 【欢迎】页面 (点击查看大图)图2-34 【申请一个证书】页面 (点击查看大图)图2-35 【高级证书申请】页面 图2-36 【提交一个证书申请或续订申请】页面 单击【提交】按钮,将弹出如图2-37所示的【证书挂起】页面。在向独立证书服务器提交证书申请后,需要该CA服务器的管理员手动颁发用户申请的证书。并且,当申请的证书被批准后,只能使用申请证书的计算机和浏览器在10天内下载。如果用户使用其他计算机,或者使用申请证书的计算机,但用不同的浏览器,或者超过10天,都将不能下载批准后的证书文件,系统将给出\"您没有挂起的证书申请\"的提示信息。 (点击查看大图)图2-37 【证书挂起】页面 2.5 颁发、安装Web站点证书 在独立证书服务器中,选择【开始】|【程序】|【管理工具】|【证书颁发机构】命令,打开【证书颁发机构】窗口。在左侧窗格中选择【挂起的申请】选项,在右侧窗格中,右击用户申请的证书文件。在弹出的快捷菜单中选择【所有任务】|【颁发】命令,如图2-38所示。 (点击查看大图)图2-38 颁发Web站点证书示意图 在申请证书的计算机和相关浏览器中,输入http://10.12.1.109/certsrv,打开如图2-33所示的【欢迎】页面。单击【查看挂起的证书申请的状态】链接,进入如图2-39所示的【查看挂起的证书申请的状态】页面。 单击【保存的申请证书】链接,进入如图2-40所示的【证书已颁发】页面。选中【DER编码】单选按钮,单击【下载证书】链接,打开如图2-41所示的【文件下载-安全警告】对话框。单击【保存】按钮,将certnew.cer证书文件保存到用户指定的文件夹中。 图2-39 【查看挂起的证书申请的状态】页面 图2-40 【证书已颁发】页面 在IIS管理器窗口中,右击【默认网站】选项,在弹出的快捷菜单中选择【属性】命令。切换到【目录安全性】选项卡,如图2-23所示。在【安全通信】选项组中,单击【服务器证书】按钮。 在【欢迎使用Web服务器证书向导】界面中,单击【下一步】按钮。 在如图2-42所示的【挂起的证书请求】界面中,选中【处理挂起的请求并安装证书】单选按钮。 图2-41 【文件下载-安全警告】对话框 (点击查看大图)图2-42 【挂起的证书请求】界面 单击【下一步】按钮,在如图2-43所示的【处理挂起的请求】界面中,单击【浏览】按钮,选择在图2-41中申请的certnew.cer证书文件。 单击【下一步】按钮,在如图2-44所示的【SSL端口】界面中,输入安全套接字协议默认使用的443端口号。 (点击查看大图)图2-43 【处理挂起的请求】界面 (点击查看大图)图2-44 【SSL端口】界面
单击【下一步】按钮,弹出如图2-45所示的【证书摘要】界面,要求再次确认前面的配置信息。
单击【下一步】按钮,打开如图2-46所示的结束配置界面。单击【完成】按钮,将已申请的CA证书应用到网站的安全管理中,并启用SSL功能,从而为网站与用户之间在传送信息时提供身份验证等安全功能。
在该Web服务器的cmd窗口中,运行netstat-aon命令,系统将返回如图2-47所示的TCP/UDP连接信息。其中,TCP 80、TCP 443分别是HTTP、HTTPS协议使用的默认端口号。
(点击查看大图)图2-45 【证书摘要】界面 (点击查看大图)图2-46 【完成Web服务器证书向导】界面 (点击查看大图)图2-47 netstat -aon系统返回信息 2.6 客户端证书申请、颁发与安装(1) 在如图2-1所示拓扑结构图IP地址为10.12.1.192的客户机中,在IE浏览器地址栏中输入http://10.12.1.109/certsrv,打开如图2-33所示的证书申请【欢迎】页面。单击【申请一个证书】链接,进入如图2-48所示的【申请一个证书】页面。 图2-48 【申请一个证书】页面 单击【Web浏览器证书】链接,进入【Web浏览器证书-识别信息】页面,如图2-49所示。在该页面中输入申请证书时所需的姓名、电子邮件、公司、部门、市/县、省、国家(地区)等基本信息。也可单击【更多选项】链接,选择一个加密服务提供程序和申请格式,以及是否启用强私钥保护等内容。 单击【提交】按钮,将弹出如图2-50所示的【潜在的脚本冲突】对话框。 (点击查看大图)图2-49 【Web浏览器证书-识别信息】页面 (点击查看大图)图2-50 【潜在的脚本冲突】对话框 单击【是】按钮,打开如图2-51所示的【证书挂起】页面,并记住其中的\"申请ID为4\"这一信息。
在10.12.1.109独立证书服务器中,选择【开始】|【程序】|【管理工具】|【证书颁发机构】命令,打开【证书颁发机构】窗口。在左侧窗格中选择【挂起的申请】选项,在右侧窗格中右击申请ID为4的用户证书申请文件。在弹出的快捷菜单中选择【所有任务】【颁发】|命令,如图2-52所示。 (点击查看大图)图2-51 【证书挂起】页面 (点击查看大图)图2-52 颁发客户机证书示意图 2.6 客户端证书申请、颁发与安装(2)
进入如图2-28所示【证书请求文件名】界面中,在所申请的证书文件的存储目录中,打开certreq.txt文件。全选该文件内容,选择【编辑】|【复制】命令或按Ctrl+C快捷键,如图2-31所示。 在如图2-32所示的【默认网站】的CertSrv目录中,右击default.asp文档,从弹出的快捷菜单中选择【浏览】命令,打开如图2-33所示的证书申请【欢迎】页面。在IE浏览器地址栏中输入http://10.12.1.109/certsrv,也可打开图2-33所示的证书申请【欢迎】页面。其中,10.12.1.109是安装了证书服务器的计算机IP地址。 (点击查看大图)图2-53 【查看挂起的证书申请的状态】页面 (点击查看大图)图2-54 【证书已颁发】页面 (点击查看大图)图2-55 【潜在的脚本冲突】对话框 (点击查看大图)图2-56 【安全警告】对话框 单击【是】按钮,将弹出如图2-57所示的【证书已安装】页面。
在IE浏览器中选择【工具】|【Internet选项】命令,切换到【内容】选项卡,如图2-58所示。单击【证书】按钮,将弹出如图2-59所示的【证书】对话框,从中可以查看或导出在图2-54中所安装的Web浏览器证书。
(点击查看大图)图2-57 【证书已安装】页面 (点击查看大图)图2-58 【内容】选项卡 (点击查看大图)图2-59 【证书】对话框 2.7 Web安全通信配置与测试(1)
在IIS管理器窗口中,右击【默认网站】选项,从弹出的快捷菜单中选择【属性】命令。切换到【目录安全性】选项卡,在【安全通信】选项组中,单击【编辑】按钮,如图2-60所示。将弹出如图2-61所示的【安全通信】对话框。使用该对话框可以为加密通信配置安全套接字层(SSL)设置。当支持安全通信的Web浏览器连接到配置成使用SSL(以https://开头的URL)的网站时,安全连接将保护传输的数据。
(点击查看大图)图2-60 【目录安全性】选项卡 (点击查看大图)图2-61 【安全通信】对话框1 图2-61中的默认配置是:不要求安全通道(SSL)且忽略客户端证书。其中,\"忽略客户端证书\"是指允许用户不必提供客户端证书就可访问该Web站点。 如果在图2-61中选中【接受客户端证书】单选按钮,但不选中【要求安全通道(SSL)】复选框,依次单击两次【确定】按钮,则该Web服务器既可以接收HTTP请求,也可以接收HTTPS请求。换言之,选中该单选按钮后,允许具有客户端证书的用户访问该Web站点,但证书不是必需的。具有客户端证书的用户可以被映射;没有客户端证书的用户可以使用其他身份验证方法。 在IP地址为10.12.1.192客户机的IE浏览器地址栏中,输入http://10.12.1.109,系统将直接显示如图2-62所示的Web页面。 (点击查看大图)图2-62 Web测试页面示意图1 若输入https://10.12.1.109,将弹出如图2-63所示的【安全警报】对话框。向用户告知,其所访问的Web站点的安全证书在有效期内等信息。
单击【是】按钮,将弹出如图2-64所示的【选择数字证书】对话框。选中名称为test的证书,单击【确定】按钮,将弹出如图2-65所示的【安全信息】对话框。单击【是】按钮,将显示如图2-66所示的Web页面。 若先将如图2-59所示【证书】对话框中名为test的客户端证书删除,然后在客户机输入访问地址https://10.12.1.109,则弹出无任何客户端证书的【选择数字证书】对话框,如图2-67所示。单击【确定】按钮后,系统仍能显示如图2-66所示的Web页面。 图2-63 【安全警报】对话框 图2-64 【选择数字证书】对话框1 图2-65 【安全信息】对话框 (点击查看大图)图2-66 Web测试页面示意图2 2.7 Web安全通信配置与测试(2) 如果在图2-68中选中【要求安全通道(SSL)】和【要求128位加密】复选框,并选中【忽略客户端证书】单选按钮,则Web服务器可不要求客户端提供数字证书,只接收https请求,并要求在客户端浏览器和Web服务器之间实现128位加密。其中,选中【要求安全通道(SSL)】复选框,可以要求客户端浏览器通过加密通信来访问该网站。换言之,当选择该选项时,发送到该网站以及从该网站发送的所有数据都使用证书进行身份验证。若不选中【要求128位加密】复选框,则客户端浏览器和Web服务器之间只进行证书的身份验证,不进行128位加密通信。 (点击查看大图)图2-67 【选择数字证书】对话框2 (点击查看大图)图2-68 【安全通信】对话框2 此时,在地址为10.12.1.192客户机的IE浏览器地址栏中,输入http://10.12.1.109,将弹出错误号为403.4的禁止访问页面,如图2-69所示。
若输入https://10.12.1.109,将弹出如图2-63所示的【安全警报】对话框。单击【是】按钮,将直接弹出如图2-65所示的【安全信息】对话框,没有了如图2-64(或图2-67)所示的【选择数字证书】对话框。单击【是】按钮,将显示如图2-66所示的Web页面。 如果选中【要求安全通道(SSL)】和【要求128位加密】复选框,并选中【接受客户端证书】单选按钮,如图2-70所示,则客户端访问Web服务器的显示效果类似于选中【要求安全通道(SSL)】、【要求128位加密】复选框和【忽略客户端证书】单选按钮,只是多了个如图2-64(或图2-67)所示的【选择数字证书】对话框。 (点击查看大图)图2-69 错误号为403.4的禁止访问页面 (点击查看大图)图2-70 【安全通信】对话框3 如果选中【要求安全通道(SSL)】和【要求128位加密】复选框,并选中【要求客户端证书】单选按钮,如图2-71所示,那么Web服务器将对客户端证书进行强制认证。其中,【要求客户端证书】单选按钮在选中【要求安全通道(SSL)】复选框后才被激活。选择该选项后,则具有有效客户端证书的用户才能访问该Web站点,没有有效客户端证书的用户将被拒绝访问该站点。
此时,在地址为10.12.1.192客户机的IE浏览器地址栏中,输入http://10.12.1.109,将弹出错误号为403.4的禁止访问页面,如图2-69所示。若客户机未申请或未安装10.12.1.109证书服务器的证书文件,输入https://10.12.1.109,将弹出如图2-63所示的【安全警报】对话框。单击【是】按钮,将弹出如图2-67所示的【选择数字证书】对话框。单击【确定】按钮,将弹出错误号为403.7的禁止访问页面,如图2-72所示。
若客户机已成功安装了10.12.1.109证书服务器颁发的证书文件,则输入https://10.12.1.109后,系统显示信息分别类似于图2-63~图2-66。
(点击查看大图)图2-71 【安全通信】对话框4 (点击查看大图)图2-72 错误号为403.7的禁止访问页面 在图2-71中,若选中【启用客户端证书映射】复选框,则可以将服务器配置成使用有效客户端证书对登录的用户进行身份验证。客户端证书映射可以将包含在客户端证书中的信息与Windows用户账户信息相匹配。单击【编辑】按钮,可以编辑客户端证书映射。如果没有证书映射,则创建客户端证书映射。如果用户使用证书登录网站,则其权限与证书映射到的用户账户相匹配。
在图2-71中,证书信任列表(CTL)是用于特定网站的已核准的证书颁发机构列表,并且仅在网站级别可用。
因篇幅问题不能全部显示,请点此查看更多更全内容