在IIS中查看此網站的屬性。單擊目錄安全性選項卡。單擊安全通信下的編輯。單擊需要安全通道(SSL)。現在,客戶端必須使用HTTPS瀏覽到這個虛擬目錄。
/re eyan/blog/item/95670 ccaf 8 e 864 f 552664 f9f . html
本文給出了壹種配置IIS通過SSL安全通道訪問的方法,並在此基礎上詳細討論了IIS如何對客戶端提供的客戶端證書設置認證要求。IIS SSL服務器證書的申請和安裝,從而配置SSL安全訪問通道。客戶端證書的申請和安裝,IIS如何將客戶端證書映射到服務器上的windows帳戶等。
壹、測試環境配置
準備三臺機器,都是windows 2003操作系統。每臺機器的功能以及要在其上安裝的服務和配置如下:
1,win2003系統_1
IP:192.168.1.11
計算機名稱:win2003base1
服務器的角色:此服務器用於安裝證書服務,並作為CA提供證書服務。
1.1.安裝IIS以承載CA證書服務。
1.2.安裝證書服務,並將CA的通用名稱設置為TestCA。
在安裝證書服務的過程中,會生成壹個證書服務的證書,頒發給自己的證書將作為這個CA的根證書:
安裝證書服務後,此TestCA證書將保存在證書存儲中的多個位置:
l本地計算機存儲區域中的個人、可信根證書頒發機構和中級證書頒發機構,包括中級證書頒發機構下的證書和證書撤銷列表(為什麽會出現在證書撤銷列表中?)。
l當前用戶存儲中的“個人”。
2、win2003系統_2
IP:192.168.1.12
計算機名稱:win2003base2
服務器的作用:該服務器作為web服務器建立網站,設置為SSL安全通道訪問,需要客戶端證書才能訪問。
2.1.安裝IIS
默認網站用作測試客戶端證書訪問的網站。
3、win2003系統_3
IP:192.168.1.13
機器名稱:win2003base3
機器的功能:本機僅作為簡單的IE客戶端申請客戶端證書,並使用證書訪問web服務器。
二、配置流程
1,win2003 System _2申請並配置IIS的SSL服務器證書。
1.1.生成證書申請文件。
在IIS要訪問的網站的屬性中,單擊目錄安全-服務器證書,並選擇新證書:
下壹步:
下壹步:
向導使用當前網站名稱作為默認名稱。它不在證書中使用,而是作為壹個幫助管理員識別它的友好名稱。下壹步:
單位和部門,這些信息都會放在證書申請中,所以要保證正確無誤。CA將驗證該信息並將其放入證書中。瀏覽您的網站的用戶需要查看這些信息,以決定他們是否接受該證書。下壹步:
通用名稱是證書末尾最重要的信息之壹。它是網站的DNS名稱(即用戶在瀏覽您的站點時鍵入的名稱)。如果證書名稱與站點名稱不匹配,當用戶瀏覽您的站點時,將會報告證書問題。
如果妳的網站在網上,並命名為www.contoso.com,這是妳應該指定的通用名稱。
如果您的站點是內部站點,並且用戶通過計算機名稱瀏覽,請輸入計算機的NetBIOS或DNS名稱。
這裏,因為win2003 system _2服務器的機器名是WIN2003ASE2,* *使用名稱WIN2003ASE2。
下壹步:
下壹步:
將詢問證書應用程序的文件名,這是您的證書應用程序的Base 64編碼表示。該應用程序包含輸入到向導中的信息,以及您的公鑰和用您的私鑰簽名的信息。
將此應用程序文件發送給ca。然後,CA將使用證書應用程序中的公鑰信息來驗證用您的私鑰簽名的信息。CA還驗證應用程序中提供的信息。
當您向CA提交申請時,CA會以文件形式發回證書。然後,您應該重新啟動Web服務器證書向導。
下壹步:
完成應用程序生成過程。
1.2.提交證書申請
現在可以將證書申請發送到CA進行驗證和處理。收到來自CA的證書響應後,您可以再次使用IIS證書向導繼續在Web服務器上安裝證書。
使用記事本打開在前面的過程中生成的證書文件,並將其全部內容復制到剪貼板。
啟動Internet Explorer,導航到http://192.168.1.1/certsrv,指向win2003 system _1的證書服務。
單擊申請證書,然後單擊下壹步。
在“選擇應用程序類型”頁面上,單擊“高級應用程序”,然後單擊“下壹步”。
在“高級證書申請”頁面上,單擊“使用Base64編碼的PKCS#10文件提交證書申請”,然後單擊“下壹步”。
在“提交保存的應用程序”頁面上,單擊“Base64編碼的證書應用程序(PKCS #10或#7)”文本框,按住CTRL+V,然後粘貼之前復制到剪貼板的證書應用程序。
點擊“提交”。
1.3.頒發證書
提交申請後,批準在win2003 system _1機器上的證書頒發機構頒發win2003base2證書。
驗證證書是否顯示在“已頒發的證書”文件夾中,然後雙擊查看它。
在“詳細信息”選項卡上,單擊“復制到文件”將證書保存為Base-64編碼的X.509證書。
關閉證書的屬性窗口。
在1.4上安裝證書。
在IIS中的win2003 System _2網站上,單擊“屬性”,然後單擊“目錄安全性”選項卡。
單擊服務器證書啟動Web服務器證書向導。
單擊處理掛起的請求並安裝證書,然後單擊下壹步。
輸入包含CA響應的文件的路徑和文件名,然後單擊下壹步。
查看證書概述,單擊下壹步,然後單擊完成。
現在,證書已經安裝在Web服務器上。
win2003base2證書將安裝在win2003 system _2計算機上,該證書將安裝在證書存儲的本地計算機存儲中的“個人”上。
1.5.將網站配置為要求SSL訪問。
在IIS中查看此網站的屬性。單擊目錄安全性選項卡。單擊安全通信下的編輯。單擊需要安全通道(SSL)。現在,客戶端必須使用HTTPS瀏覽到這個虛擬目錄。