Web CA服務(wù)器的建立、訪問、權(quán)限等設(shè)置

1、計算機科學與技術(shù)學院網(wǎng)站建設(shè)與管理Web服務(wù)器的建立題 目 Web服務(wù)器的建立 學生姓名 馮守領(lǐng) 學 號 2010121233 專業(yè)班級 10級科技二班 指導老師 劉 仁 山 Web服務(wù)器的建立一、建立Web工作站的原理1、web工作原理web本意是蜘蛛網(wǎng)和網(wǎng)的意思?，F(xiàn)廣泛譯作網(wǎng)絡(luò)、互聯(lián)網(wǎng)等技術(shù)領(lǐng)域。表現(xiàn)為三種形式，即超文本（hypertext）、超媒體（hypermedia）、超文本傳輸協(xié)議（HTTP）等。 當你想進入一個網(wǎng)頁, 或者其他網(wǎng)絡(luò)資源的時候，通常你要首先在你的瀏覽器上鍵入你想訪問網(wǎng)頁的統(tǒng)一資源定位符（Uniform Resource Locator)，或者通過超鏈接方式鏈接到那個

2、網(wǎng)頁或網(wǎng)絡(luò)資源。這之后的工作首先是URL的服務(wù)器名部分，被名為域名系統(tǒng)的分布于全球的因特網(wǎng)數(shù)據(jù)庫解析，并根據(jù)解析結(jié)果決定進入哪一個IP地址(IP address)。 接下來的步驟是為所要訪問的網(wǎng)頁，向在那個IP地址工作的服務(wù)器發(fā)送一個HTTP請求。在通常情況下，HTML文本、圖片和構(gòu)成該網(wǎng)頁的一切其他文件很快會被逐一請求并發(fā)送回用戶。 網(wǎng)絡(luò)瀏覽器接下來的工作是把HTML、CSS和其他接受到的文件所描述的內(nèi)容，加上圖像、鏈接和其他必須的資源，顯示給用戶。這些就構(gòu)成了你所看到的“網(wǎng)頁”。 大多數(shù)的網(wǎng)頁自身包含有超鏈接指向其他相關(guān)網(wǎng)頁，可能還有下載、源文獻、定義和其他網(wǎng)絡(luò)資源。像這樣通過超鏈接，把有

3、用的相關(guān)資源組織在一起的集合，就形成了一個所謂的信息的“網(wǎng)”。這個網(wǎng)在因特網(wǎng)上被方便使用，就構(gòu)成了最早在1990年代初蒂姆·伯納斯-李所說的萬維網(wǎng)。2 、HTTP的工作原理由于HTTP協(xié)議是基于請求/響應范式的(相當于客戶機/服務(wù)器)。一個客戶機與服務(wù)器建立連接后，發(fā)送一個請求給服務(wù)器，請求方式的格式為：統(tǒng)一資源標識符(URL)、協(xié)議版本號，后邊是MIME信息包括請求修飾符、客戶機信息和可能的內(nèi)容。服務(wù)器接到請求后，給予相應的響應信息，其格式為一個狀態(tài)行，包括信息的協(xié)議版本號、一個成功或錯誤的代碼，后邊是MIME信息包括服務(wù)器信息、實體信息和可能的內(nèi)容。許多HTTP通訊是由一個用戶代

4、理初始化的并且包括一個申請在源服務(wù)器上資源的請求。最簡單的情況可能是在用戶代理和服務(wù)器之間通過一個單獨的連接來完成。在Internet上，HTTP通訊通常發(fā)生在TCP/IP連接之上。缺省端口是TCP80，但其它的端口也是可用的。但這并不預示著HTTP協(xié)議在Internet或其它網(wǎng)絡(luò)的其它協(xié)議之上才能完成。HTTP只預示著一個可靠的傳輸。這個過程就好像我們打電話訂貨一樣，我們可以打電話給商家，告訴他我們需要什么規(guī)格的商品，然后商家再告訴我們什么商品有貨，什么商品缺貨。這些，我們是通過電話線用電話聯(lián)系(HTTP是通過TCP/IP)，當然我們也可以通過傳真，只要商家那邊也有傳真。以上簡要介紹了HTT

5、P協(xié)議的宏觀運作方式，下面介紹一下HTTP協(xié)議的內(nèi)部操作過程。在www中，“客戶”與“服務(wù)器”是一個相對的概念，只存在于一個特定的連接期間，即在某個連接中的客戶在另一個連接中可能作為服務(wù)器。基于HTTP協(xié)議的客戶/服務(wù)器模式的信息交換過程，它分四個過程：建立連接、發(fā)送請求信息、發(fā)送響應信息、關(guān)閉連接。這就好像上面的例子，我們電話訂貨的全過程。其實簡單說就是任何服務(wù)器除了包括HTML文件以外，還有一個HTTP駐留程序，用于響應用戶請求。你的瀏覽器是HTTP客戶，向服務(wù)器發(fā)送請求，當瀏覽器中輸入了一個開始文件或點擊了一個超級鏈接時，瀏覽器就向服務(wù)器發(fā)送了HTTP請求，此請求被送往由IP地址指定的U

6、RL。駐留程序接收到請求，在進行必要的操作后回送所要求的文件。在這一過程中，在網(wǎng)絡(luò)上發(fā)送和接收的數(shù)據(jù)已經(jīng)被分成一個或多個數(shù)據(jù)包(packet)，每個數(shù)據(jù)包包括：要傳送的數(shù)據(jù)；控制信息，即告訴網(wǎng)絡(luò)怎樣處理數(shù)據(jù)包。TCP/IP決定了每個數(shù)據(jù)包的格式。如果事先不告訴你，你可能不會知道信息被分成用于傳輸和再重新組合起來的許多小塊。也就是說商家除了擁有商品之外，它也有一個職員在接聽你的電話，當你打電話的時候，你的聲音轉(zhuǎn)換成各種復雜的數(shù)據(jù)，通過電話線傳輸?shù)綄Ψ降碾娫挋C，對方的電話機又把各種復雜的數(shù)據(jù)轉(zhuǎn)換成聲音，使得對方商家的職員能夠明白你的請求。這個過程你不需要明白聲音是怎么轉(zhuǎn)換成復雜的數(shù)據(jù)的。3、加/解

7、密原理Web工作站的加解密工作原理也就是PKI的工作原理。在當今高度信息化、數(shù)字化的社會里，隨著互聯(lián)網(wǎng)的發(fā)展和信息技術(shù)的普及，人們已經(jīng)開始習慣于通過各種先進的通信手段傳遞重要的數(shù)據(jù)、圖像和話音等信息進行各種交流，網(wǎng)絡(luò)給人們的工作和生活帶來了前所未有的便利。同時，人們對網(wǎng)絡(luò)和信息的安全性提出了越來越高的要求。然而，由于互聯(lián)網(wǎng)所具有的廣泛性和開放性，決定了互聯(lián)網(wǎng)不可避免地存在著信息安全隱患。因此，信息的安全問題成為人們關(guān)注的焦點，引起了世界各國政府以及商業(yè)機構(gòu)的高度重視。為了防范信息安全風險，許多新的安全技術(shù)和規(guī)范不斷的出現(xiàn)，公鑰基礎(chǔ)設(shè)施PKI(Public Key Infrastructure，

8、簡稱PKI)即是其中重要一員。 正如電子商務(wù)的基礎(chǔ)設(shè)施之一是網(wǎng)絡(luò)基礎(chǔ)設(shè)施，借助于網(wǎng)絡(luò)基礎(chǔ)設(shè)施可使不同的網(wǎng)絡(luò)節(jié)點之間互相交換數(shù)據(jù)，共享網(wǎng)絡(luò)資源。建立網(wǎng)絡(luò)基礎(chǔ)設(shè)施的目的就是使不同的實體只要需要，就可以方便地使用基礎(chǔ)設(shè)施提供的服務(wù)。安全基礎(chǔ)設(shè)施與網(wǎng)絡(luò)基礎(chǔ)設(shè)施遵循同樣的原則，安全基礎(chǔ)設(shè)施為整體應用系統(tǒng)提供安全基本框架，它可以被應用系統(tǒng)中任何需要安全應用的對象使用。因此，其在設(shè)計上必須具有一般性和通用性。只有這樣，那些需要使用這種基礎(chǔ)設(shè)施的對象在使用安全服務(wù)時，才不會遇到困難。PKI就是這樣一種安全基礎(chǔ)設(shè)施，利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。用戶可利用PKI平臺提供的服務(wù)

9、進行安全通信。 公鑰加密技術(shù) 公鑰加解密技術(shù)的結(jié)構(gòu)：每個網(wǎng)絡(luò)用戶有兩個密鑰，稱為公鑰和私鑰。在信息的發(fā)送和接受過程中，使用一個密鑰加密，使用另一個密鑰解密，同一個用戶的兩個密鑰可以互相加解密，但這兩個密鑰相互之間很難相互推導得出。公鑰：稱為公開密鑰，可以向其他用戶公開私鑰：稱為私有密鑰，是用戶自己擁有，不能公開。二、建立IIS Web網(wǎng)站的過程1、IIS安裝配置IIS是Windows操作系統(tǒng)自帶的組件。如果在安裝操作系統(tǒng)的時候沒有安裝IIS，請打開“控制面板”->“添加或刪除程序”->“添加/刪除Windows組件”->應用程序服務(wù)器(如圖1)詳細信息Internet信息服務(wù)

10、(如圖2)。然后單擊“下一步”，按向?qū)е甘?，完成對IIS的安裝。圖1圖2啟動Internet信息服務(wù)（IIS）。Internet信息服務(wù)簡稱為IIS，單擊Windows開始菜單-所有程序-管理工具-Internet信息服務(wù)（IIS）管理器，即可啟動“Internet信息服務(wù)”管理工具（如圖3）圖3Internet信息服務(wù)（IIS）管理器IIS安裝后，系統(tǒng)自動創(chuàng)建了一個默認的Web站點，該站點的主目錄默認為C:Inetpubwww.root。用鼠標右鍵單擊“默認Web站點”，在彈出的快捷菜單中選擇“屬性”，此時就可以打開站點屬性設(shè)置對話框，（如圖4）在該對話框中，可完成對站點的全部配置。圖4默認

11、Web站點的主目錄2、建立Web站點在Internet信息服務(wù)（IIS）管理器中點擊“網(wǎng)站”右鍵“新建網(wǎng)站”下一步(如圖5)圖5輸入網(wǎng)站描述“守領(lǐng)的網(wǎng)站”(如圖6)圖6輸入網(wǎng)站的IP“05”，默認端口號為80(如圖7)圖7輸入網(wǎng)站的主目錄“C:Webcaptain”圖8設(shè)置網(wǎng)站的訪問權(quán)限(圖9)圖93、web服務(wù)器多站點的設(shè)置方法(1)設(shè)置多端口的方法我們知道Web站點的默認端口一般為80，如果改變這一端口，就能實現(xiàn)在同一服務(wù)器上新增站點的目的。我用于做實驗的這臺服務(wù)器名為CAPTAIN，安裝有一塊網(wǎng)卡，IP地址為05，在上一步IIS的安裝配置中我已

12、經(jīng)新建了一Web站點“守領(lǐng)的Web站點”。下面我們來增加“船長”站點（如圖10）。圖10在Internet信息服務(wù)（IIS）管理器中點擊“網(wǎng)站”右鍵“新建網(wǎng)站”下一步輸入網(wǎng)站描述同“守領(lǐng)的網(wǎng)站”的創(chuàng)建步驟相同，依次點擊下一步，將站點說明定為“船長”，IP地址選擇05，在TCP端口欄一定要將默認的80修改為其他值，如1200(如圖11)。圖11選定主目錄，設(shè)置好訪問權(quán)限，“船長”站點的設(shè)置也完成了。測試一下效果，在瀏覽器地址欄中輸入http：/、205（默認的端口號80可以省略），回車，我們將訪問到“守領(lǐng)的網(wǎng)站”站點。輸入http：/192.168.2

13、.205：1200（注意IP地址后的端口號一定不能少），則會出現(xiàn)“船長”站點。(2)設(shè)置多IP的方法一般情況下，一塊網(wǎng)卡只設(shè)置了一個IP地址。如果我們?yōu)檫@塊網(wǎng)卡綁定多個IP地址，每個IP地址對應一個Web站點，那么同樣可以實現(xiàn)“一機多站”的目的。點擊“開始”“設(shè)置”“網(wǎng)絡(luò)連接”鍵單擊“本地連接”，選擇“屬性”調(diào)出“本地連接屬性”面板，選擇“Internet協(xié)議（TCP/IP）”(如圖12)。圖12點擊“屬性”調(diào)出“Internet協(xié)議（TCP/IP）屬性”面板，點擊下方的“高級”調(diào)出“高級TCP/IP設(shè)置”面板。在IP地址欄下面列出了網(wǎng)卡已設(shè)定的IP地址和子網(wǎng)掩碼，點擊添加按鈕(如圖13)。圖

14、13在彈出的對話框中填上新的IP地址06（如圖14）。圖14注意不能與其他機器的IP地址重復），子網(wǎng)掩碼與原有的相同（如）。然后依次確定，就完成了多個IP地址的綁定。按照上例中的做法設(shè)置站點“守領(lǐng)網(wǎng)站”，然后我們來增加“船長”站點。在Internet信息服務(wù)（IIS）管理器中點擊“網(wǎng)站”右鍵“新建網(wǎng)站”下一步(創(chuàng)建步驟如上一標題中的船長站點的創(chuàng)建雷同)將站點說明定為“船長”，只是在IP地址選擇06(如圖15)圖15（注意不能與默認站點的IP地址相同），TCP端口保持默認的80不變，選定主目錄，設(shè)置好訪問權(quán)限，“船長”站點的設(shè)

15、置完成。分別在瀏覽器地址欄中輸入http：/05和http：/06，測試一下效果。如果您嫌通過輸入IP地址訪問站點不夠方便的話，完全可以通過設(shè)置DNS，用http：/代替http：/05來訪問“首領(lǐng)的網(wǎng)站”，用http：/代替http：/06來訪問“船長”。(3)設(shè)置虛擬目錄在Windows Server 2003系統(tǒng)中創(chuàng)建的Web網(wǎng)站，其中的所有內(nèi)容一般都存儲在主目錄中。但隨著網(wǎng)站內(nèi)容的不斷豐富，用戶需要把不同層次的內(nèi)容組織成網(wǎng)站主目錄下的子目錄或虛擬目錄。在每個虛擬目錄下掛載一個站點，從而實現(xiàn) “一機多

16、站”。創(chuàng)建虛擬目錄，虛擬目錄既可以是本地磁盤中的任何一個目錄，也可以是網(wǎng)絡(luò)中其他計算機中的目錄。相對而言，創(chuàng)建子目錄的方式更安全高效。虛擬目錄需要在主目錄的基礎(chǔ)上進行創(chuàng)建，創(chuàng)建步驟如下所述：第1步，在開始菜單中依次單擊“管理工具”“Internet信息服務(wù)（IIS）管理器”菜單項，打開“Internet 信息服務(wù)（IIS）管理器”窗口。在左窗格中依次展開服務(wù)器“網(wǎng)站”目錄，右鍵單擊Web站點名稱（如 “船長的網(wǎng)站”），在彈出的快捷菜單中依次選擇“新建”“虛擬目錄”命令彈出“虛擬目錄創(chuàng)建向?qū)υ捒颉?如圖16)圖16第2步，在打開的“虛擬目錄創(chuàng)建向?qū)А敝袉螕簟跋乱徊健卑粹o，打開“虛擬目錄別名”對

17、話框。然后在“別名”編輯框中輸入一個能夠反映該虛擬目錄用途的名稱（如book），并單擊“下一步”按鈕，如圖17所示。圖17第3步，打開“網(wǎng)站內(nèi)容目錄”對話框，在此處需要指定虛擬目錄所在的路徑。單擊“瀏覽”按鈕，在本地磁盤或網(wǎng)上鄰居中選擇目標目錄，虛擬目錄與網(wǎng)站的主目錄可以不在一個分區(qū)或物理磁盤中。依次單擊“確定”“下一步”按鈕，如圖18所示。圖18第4步，在打開的“虛擬目錄訪問權(quán)限”對話框中，可以設(shè)置該虛擬目錄準備賦予用戶的訪問權(quán)限。用戶可以根據(jù)實際需要設(shè)置合適的權(quán)限，并單擊“下一步”按鈕，如圖19圖19第5步，打開完成創(chuàng)建虛擬目錄對話框，單擊“完成”按鈕關(guān)閉虛擬目錄創(chuàng)建向?qū)?。通過上述設(shè)置，用

18、戶可以通過“(4)設(shè)置多主機頭在不更改TCP端口和IP地址的情況下，同樣可以實現(xiàn)“一機多站”，這里我們需要使用“主機頭名”來區(qū)分不同的站點。所謂“主機頭名”，實際上就是利用域名網(wǎng)址進行訪問，因此要使用“主機頭法”實現(xiàn)“一機多站”，就必須先進行DNS設(shè)置。在DNS中設(shè)置http：/和http：/兩個網(wǎng)址，將它們都指向惟一的IP地址05。按照以上兩例中的做法首先設(shè)置站點“守領(lǐng)的網(wǎng)站”，第1步，在開始菜單中依次單擊“管理工具”“Internet信息服務(wù)（IIS）管理器”菜單項，打開“Internet 信息服務(wù)（IIS）管理器”窗口。在左窗格中依次展開服務(wù)器“網(wǎng)站”“守領(lǐng)的網(wǎng)站”

19、 右鍵“屬性”,如圖20所示圖20第2步，在彈出的屬性對話框中點擊“高級”彈出“高級網(wǎng)站標識”對話框，如圖21所示圖21第3步，選中IP地址“05”點擊“編輯”彈出“添加/編輯網(wǎng)站標識”對話框，如22所示。然后單擊“確定”按鈕，“守領(lǐng)的網(wǎng)站”部署完畢。圖22第4步，然后參考以上例進行添加“船長”站點的操作，IP地址選擇05，TCP端口保持默認的80不變，“此站點的主機頭”一項一定要填上，然后選定主目錄，設(shè)置好訪問權(quán)限，“船長”站點的設(shè)置完成。分別在瀏覽器地址欄中輸入http：/和http：/兩個網(wǎng)址，測試效果。與上兩例不同的是，用“主機頭法”實現(xiàn)的“

20、一機多站”必須使用域名網(wǎng)址才能訪問。以上4種方式，可以根據(jù)具體情況選擇使用。如果服務(wù)器安裝有兩塊以上的網(wǎng)卡，同樣可以采用“IP地址法”為每塊網(wǎng)卡指定不同的IP地址，從而實現(xiàn)“一機多站”。三、Web服務(wù)器的安全配置1用戶驗證配置Web站點身份驗證和訪問控制第一步，在開始菜單中依次單擊“管理工具”“Internet信息服務(wù)（IIS）管理器”菜單項，打開“Internet 信息服務(wù)（IIS）管理器”窗口。在左窗格中依次展開服務(wù)器“網(wǎng)站”“守領(lǐng)的網(wǎng)站” 右鍵“屬性”“目錄安全性”“身份驗證和訪問控制”。如圖23所示。圖23第二步，“身份驗證和訪問控制”欄點擊“編輯”，彈出“”對話框，如圖24所示。圖2

21、4第三步，去掉勾選“啟用匿名訪問”復選框。在“用戶訪問需經(jīng)過身份驗證”框中選則驗證方式。2、IP限制(1)Windows服務(wù)器限制訪問人數(shù)和限制IP如何限制同時訪問你網(wǎng)站的人數(shù) 第一步，在開始菜單中依次單擊“管理工具”“Internet信息服務(wù)（IIS）管理器”菜單項，打開“Internet 信息服務(wù)（IIS）管理器”窗口。在左窗格中依次展開服務(wù)器“網(wǎng)站”“守領(lǐng)的網(wǎng)站” 右鍵“屬性”“性能”“網(wǎng)站連接”。如圖25所示。圖25然后在后面的輸入框中輸入你允許的最多同時在線的人數(shù)，如“1,000”（同圖25）。設(shè)置完成后，單擊“確定”按鈕保存設(shè)置。重啟IIS服務(wù)后你的網(wǎng)站就只允許1,000個人同時在

22、線瀏覽了！ (2)如何限制網(wǎng)站的訪問流量 如果網(wǎng)頁內(nèi)容只是普通的頁面，那么人數(shù)多一點也沒關(guān)系。但如果是下載服務(wù)器，那么對帶寬和服務(wù)器的壓力將更大，這不僅要限制網(wǎng)站訪問人數(shù)，也要限制網(wǎng)站的訪問流量。打開圖25的“屬性”對話框中，單擊“性能”標簽，單擊選中“限制網(wǎng)站可以使用高的網(wǎng)絡(luò)帶寬”選項（如圖26），圖26然后在此選項框中的“最大網(wǎng)絡(luò)使用”后的文本框后輸入你能承受的最大數(shù)據(jù)訪問流量，比如我們把它改成“500KB/S”，最后單擊“確定”按鈕。重新啟動IIS服務(wù)后設(shè)置就可以生效了。 (3)如何限制訪問你網(wǎng)站的IP地址 對于一些重要的服務(wù)器，我們并不想讓所有人都能訪問，或者將一些總是攻擊網(wǎng)站的用戶屏

23、蔽掉。這就需要添加限制訪問風站的IP地址了。 將網(wǎng)站的屬性窗口切換到“目錄安全性”標簽，這時我們可以看到“IP地址及域名限制”選項框中，通過選項框中的功能描述，可以確定我們要找的就是它了。單擊框中的“編輯”按鈕，彈出如圖27。圖27所示的對話框，我們可以看到有兩個選項：“授權(quán)訪問”和“拒絕訪問”。如果你想網(wǎng)站只給少部分人瀏覽，可以選擇“拒絕訪問”，如相反則選“授權(quán)訪問”項。 選中“授權(quán)訪問”，選擇此項后，我們單擊“添加”按鈕，打開如圖28所示對話框，圖28在這里我們可以將少部分不允許訪問我們的網(wǎng)站的IP黑名單輸入進去。這里的黑名單可以是一臺單獨的機器，或是一個網(wǎng)段的機器，甚至可以是一個域內(nèi)的所

24、有機器。設(shè)置好后單擊“確定”按鈕，這下那些黑名單份子就不得進來了（圖29）！圖29從圖中我們也可以看到添加的IP地址的訪問設(shè)為了“被拒”，也就是“授權(quán)訪問”中的例外不允許訪問的范圍，這樣可以正確理解為什么在“授權(quán)訪問”下添加的IP地址是拒絕訪問的列表。下面再來看“拒絕訪問”，方法同“授權(quán)訪問”一樣，不過這里添加的可是“黃金賬號”啊，只有你添加的IP才能訪問你的網(wǎng)站哦！全部添加完畢后，一路“確定”保存設(shè)置，然后重啟IIS服務(wù)就可以生效了。3、Web加密(1)、CA的建立安裝證書(CA)服務(wù)組件要想使用SSL安全機制功能，首先必須為Windows Server 2003系統(tǒng)安裝證書服務(wù)1、開始 -

25、 控制面板 - 添加或刪除程序 - 添加/刪除Windows組件，按以下內(nèi)容勾選并安裝安裝過程需要提供Windows Server 2003安裝光盤2、CA類型選擇獨立根CA，后面的步驟全部下一步即可3、配置CA的公用名稱及有效期限安裝完成后，單擊“開始”按鈕，選擇選擇“設(shè)置”>“控制面板”>“管理工具”，此時可在該菜單中找到“證書頒發(fā)機構(gòu)”，說明CA的安裝已經(jīng)完成。為網(wǎng)站創(chuàng)建證書請求文件完成了證書服務(wù)的安裝后，就可以為要使用SSL安全機制的網(wǎng)站創(chuàng)建請求證書文件1、開始 - 控制面板 - 管理工具 - Internet 信息服務(wù)(IIS)管理器展開服務(wù)器標簽，展開網(wǎng)站標簽，右鍵點擊

26、要使用SSL的網(wǎng)站，選擇"屬性"。這里使用"默認網(wǎng)站"切換到"目錄安全性"標簽，點擊"服務(wù)器證書"按鈕4、在"IIS證書向?qū)?quot;中選擇"新建證書"，下一步5、選擇"現(xiàn)在準備證書請求，但稍后發(fā)送"，下一步6、輸入證書的名稱及位長，下一步7、設(shè)置證書的單位信息，下一步8、設(shè)置證書的公用名稱，下一步9、設(shè)置證書的地理信息，下一步10、指定證書請求文件的導出路徑及文件名，下一步。請記好路徑及文件名，等會要用11、驗證配置，完成證書請求文件的創(chuàng)建(2)、CA證書的申請

27、申請服務(wù)器證書完成證書申請文件的制作之后，需要把證書申請?zhí)峤唤o證書服務(wù)器打開IE瀏覽器，在地址欄中輸入"http:/localhost/certsrv/"打開證書服務(wù)Web管理。選擇"申請一個證書"2、選擇"高級證書申請"3、選擇"使用base64編碼的CMC或PKCS #10文件提高一個證書申請，或使用base64編碼的PKCS#7文件續(xù)訂證書申請"4、打開剛剛創(chuàng)建的證書申請文件"c:certreq.txt"，將其中的內(nèi)容復制到“保存的申請”輸入框后點擊“提交”按鈕即可5、證書掛起，等待管理員

28、頒發(fā)證書。頒發(fā)服務(wù)器證書證書申請?zhí)峤恢螅覀兙涂梢园缪莨芾韱T頒發(fā)證書給申請者了1、開始 - 設(shè)置 - 控制面板 - 管理工具 - 證書頒發(fā)機構(gòu)，打開證書頒發(fā)機構(gòu)對話框2、點擊"掛起的申請"，鼠標右鍵單擊申請的證書 - 所有任務(wù) - 頒發(fā)。然后就可以在"頒發(fā)的證書"欄內(nèi)看到證書了3、在"頒發(fā)的證書"內(nèi)雙擊剛剛頒發(fā)的證書 - 詳細信息，然后點擊"復制到文件"按鈕，彈出證書導出向?qū)?、連續(xù)點擊"下一步"，并在"要導出的文件"對話框中指定保存路徑和文件名，最后點擊"完成&

29、quot;。這里注意記一下證書保存的位置，等會要用到這個證書文件安裝服務(wù)器證書接下來將已經(jīng)制作完成的證書安裝到Web服務(wù)器中1、開始 - 控制面板 - 管理工具 - Internet 信息服務(wù)(IIS)管理器2、展開服務(wù)器標簽，展開網(wǎng)站標簽，右鍵點擊要使用SSL的網(wǎng)站，這里使用"默認網(wǎng)站"3、切換到"目錄安全性"標簽，點擊"服務(wù)器證書"按鈕，彈出Web服務(wù)器證書向?qū)?、選擇"處理掛起的請求并安裝證書"，下一步5、選擇在上一步導出的證書文件，如果上一步是默認配置，通常是*.cer文件，下一步6、指定SSL端口，默認4

30、43，下一步7、確認證書安裝，沒有問題的話就下一步完成Web服務(wù)器的證書安裝要求安全通道(SSL)服務(wù)器證書安裝完成后，需要在網(wǎng)站上開啟SSL1、開始 - 控制面板 - 管理工具 - Internet 信息服務(wù)(IIS)管理器2、展開服務(wù)器標簽，展開網(wǎng)站標簽，右鍵點擊要使用SSL的網(wǎng)站，選擇"屬性"。這里使用"默認網(wǎng)站"3、切換到"目錄安全性"標簽，點擊"安全通信"下的"編輯"按鈕4、勾選"要求安全通道(SSL)"和"要求128位加密"?？蛻舳俗C書選擇&q

31、uot;忽略客戶端證書"驗證Web SSL通信1、可以在Web主目錄中放置一個HTML文件，隨便命名，如slyar.html2、打開IE瀏覽器，在地址欄中輸入https:/localhost/slyar.html ，當然你也可以在其他電腦的IE客戶端上輸入https:/服務(wù)器IP地址或網(wǎng)站域名/slyar.htm來進行驗證，客戶端都是一樣的3、如果設(shè)置成功，客戶端IE會彈出如下證書確認信息4、點擊"是"之后即可成功訪問網(wǎng)站，同時在瀏覽器右下角看到鎖頭圖標，實驗成功完成(3)CA證書的綁定在IIS中設(shè)置網(wǎng)站要求使用SSL并且要求客戶端證書的設(shè)置客戶端申請安裝客戶端證

32、書Client1在客戶機上打開win2003證書服務(wù)器URL：05/certsrv，提交一個 “Web 瀏覽器證書”，姓名為“client1”。提交申請后，在win2003機器上證書頒發(fā)機構(gòu)中批準頒發(fā)這個Client1證書。在客戶機上再次打開win2003機器上證書服務(wù)的URL：05/certsrv “查看掛起的證書申請的狀態(tài)”，會看到整個證書申請已被批準，并能夠被安裝。點擊安裝證書，同樣在安裝過程中會提示是否安裝Client1證書的根證書captain，選擇安裝。安裝好證書后，Client1證書就會被安裝到客戶機上，證書會被

33、安裝到證書存儲區(qū)的當前用戶存儲區(qū)中的“個人”。同時，Client1證書的根證書captain也被安裝，被安裝到了當前用戶存儲區(qū)中的 “受信任的根證書頒發(fā)機構(gòu)”。l Web服務(wù)器上導入客戶端證書在IIS中要映射客戶端的證書到windows賬戶，必須在IIS所在的服務(wù)器上用這個客戶端的cer證書。在win2003上，證書頒發(fā)機構(gòu)中導出客戶端申請后已經(jīng)頒發(fā)的Client1證書，導出為Client1.cer在win2003服務(wù)器上導入這個證書到當前用戶存儲區(qū)的個人目錄下。導入過程：在運行下收入“MMC”進入“控制臺”文件添加/刪除管理單元添加證書我的用戶帳戶單擊“確定”如下圖在控制臺根結(jié)點下的證書下的個人中， 導入Client1.cer這個證書到當前用戶存儲區(qū)的個人目錄下。l 設(shè)置IIS中網(wǎng)站的客戶端證書映射在web服務(wù)器上，查看web網(wǎng)站的屬性，導航到“目錄安全性”，點擊“編輯”按鈕：設(shè)置“要求客戶端證書”，并選擇“啟用客戶端證書映射”，最后點擊“編輯”添加Client1客戶端證書映射到的本服務(wù)器上的windows賬戶：由于是測試，這里把Client1客戶端證書映射為a