課件-cert實(shí)驗(yàn)過(guò)程安裝IIS及證書(shū)服務(wù)組件

安裝IIS及服務(wù)組件Internet信息服務(wù)是WindowsServer2003提供Web站點(diǎn)信息發(fā)布、使用和管理等功能的組件。全新安裝的WindowsServer2003IIS6.0中，默認(rèn)的應(yīng)用程序操作模式為工作進(jìn)程模式。如果WindowsServer2003是從WindowsServer2000升級(jí)的，IIS6.0將以IIS5.0模式運(yùn)行。全新安裝的WindowsServer2003，默認(rèn)情況下IIS及服務(wù)組件均未安裝。若要安裝IIS及服務(wù)組件，則需事先準(zhǔn)備好WindowsServer2003安裝光盤(pán)，并以系統(tǒng)管理員登WindowsServer2003。具體操作步驟如下。】選擇【開(kāi)始】|【控制面板】|【添加或刪除程序】|Windows】【Internet圖2-2【W(wǎng)indows組件向?qū)А繄D2-3【應(yīng)用程序服務(wù)器】中【網(wǎng)服務(wù)】復(fù)選框。單【詳細(xì)信息按鈕在彈出的如圖2-5所示【網(wǎng)服務(wù)框中選中ActiveServerPages、【網(wǎng)服務(wù)】等復(fù)選框。IISIISActiveServerPages圖2-4【Internet信息服務(wù)(IIS)】圖2-5【網(wǎng)服務(wù)】【下一步】按鈕，將彈出如圖2-7所示的【服務(wù)】框2-6WindowsDirectory服務(wù)器中安裝服務(wù)時(shí)才可供選擇。 的。CA有效期限等其他配置使用系統(tǒng)的默認(rèn)值。2-72-8【CA2-9【CA求輸入數(shù)據(jù)庫(kù)、數(shù)據(jù)庫(kù)日志等配置信息，如圖2-10所示。這些配置信息可單擊【下一步】按鈕，系統(tǒng)將進(jìn)行IIS及服務(wù)組件的配置，如圖2-11 2-102-11】若先前在如圖2-5所示【網(wǎng)服務(wù)框中未選中ActiveServerPages復(fù)選框，將彈出如圖2-12所示的框，要求安裝ActiveServerPages服務(wù)】2-12單擊【是】按鈕，經(jīng)過(guò)系統(tǒng)安裝配置后，將彈出如圖2-13所示的框，告知IIS及服務(wù)組件已成功安裝。選擇【控制面板】|【管理工具】|【服務(wù)】命令，分別選擇Services、IISAdminService，并查看其屬性，如圖2-14所示。系統(tǒng)完成IIS 2-13【完成"Windows2-14創(chuàng)建普通的Web站以系統(tǒng)管理員登錄WindowsServer2003，選擇【開(kāi)始】|【程序】|【管理工具】|【管理】命令，打開(kāi)【計(jì)算機(jī)管理】窗口；展開(kāi)管理 著在其右側(cè)窗格中選中ActiveServerPages，單擊【允許】按鈕，如圖2-15右擊【默認(rèn)(停止)】選項(xiàng)，在彈出的快捷菜單中選擇【屬性】命令，如圖2-16所示。在打開(kāi)的【默認(rèn)(停止)屬性】框中，切換到【網(wǎng)站】選項(xiàng)卡。由圖2-17所示【】選項(xiàng)卡的配置項(xiàng)目可知，使用該選項(xiàng)卡可以設(shè)置某個(gè)的名稱(chēng)、連接限制，以及啟用日志記錄并配置站點(diǎn)的日志記錄格式等內(nèi)((圖2- 【默圖2- 【Internet信息服務(wù)(IIS)管理器】管理界 標(biāo)識(shí)選項(xiàng)組中【描述文本框中可輸入所配 容易識(shí)記的名稱(chēng)例如，本案例可輸入類(lèi)似my_CA_Web站點(diǎn)等描述性語(yǔ)言。該名稱(chēng)將出現(xiàn)在IIS管理器的控制臺(tái)樹(shù)中?？蓮摹綢P地址】下拉列表框中指定一個(gè)IP地址或輸入用于該站點(diǎn)的IP地址對(duì)于本案例可選擇其下拉列表中的09地址。如果沒(méi)有分配指定的IP地址，即選中【全部未分配】選項(xiàng)，那么此站點(diǎn)將響應(yīng)分配給該服務(wù)器但沒(méi)有分配給其他站點(diǎn)的所有IP地址，并使它成為默認(rèn)的通知客戶(hù)端以便其請(qǐng)求時(shí)輸入相應(yīng)的URL(例如 :8080)【SSL端口】文本框是可選項(xiàng)目，用于指派與該標(biāo)識(shí)相關(guān)聯(lián)的SSL端口。默認(rèn)SSL端是443。只有使用SSL加密時(shí)才需要SSL端。也就是說(shuō)，如按鈕，可以進(jìn)一步配置用來(lái)站點(diǎn)的IP地址、TCP端以及主機(jī)頭值。HTTP的細(xì)節(jié)并按所選格式創(chuàng)建日志。通常，活動(dòng)日志格式有IIS日志文ASCIINCSAASCIIODBCW3CASCIIW3C2-18好地控制該站點(diǎn)允許的流量?！咀畲髱挕坑糜谂渲媒o定站點(diǎn)可以使用的網(wǎng)絡(luò)KB/sIISIIS1KB/s。選中【連接限制為】單選按鈕可以設(shè)置指定的特定數(shù)目的并發(fā)連接。將站點(diǎn)2-172-19】選項(xiàng)卡中，在【本地路徑】文本框中可輸入存放E:\my_CAweb。也可以通過(guò)單擊【瀏覽】按鈕獲得這一路徑。【文檔選項(xiàng)卡中單【添加按鈕【添加內(nèi)容頁(yè)框中輸入index.asp。index.asp，并通過(guò)多次單擊【上移】按鈕使該文檔2-20命令。然后在如圖2-21所示【默認(rèn)】選項(xiàng)右側(cè)窗格中，右擊index.asp文2-21IE瀏覽器以這一URL顯示出事先編輯好的Web2-222-192-202-212-22WebWeb站點(diǎn)申請(qǐng) 安全性】選項(xiàng)卡，如圖2-23所示。在【安全通信】選項(xiàng)組中，單擊【服務(wù)器】按鈕。在【歡迎使用Web服務(wù)器向?qū)А靠蛑校?-24所示的【服務(wù)器】界面中，選中【新建】單選按鈕。如果用戶(hù)事先已為當(dāng)前服務(wù)器申請(qǐng)了，則可選中【分配現(xiàn)有】或【從密鑰管2-25單擊【下一步】按鈕，在如圖2-26所示的【單位信息】界面中，輸入相應(yīng)的單2-232-242-252-262-27Web站點(diǎn)的公用名稱(chēng)(如該的DNS，即如果URL ，則公用名應(yīng) )注意：基于安全方面的考慮，通常在【公用名稱(chēng)】文本框中使用申請(qǐng)，IP單擊【下一步】按鈕，系統(tǒng)將要求輸入CA的國(guó)家、省/、市/縣等地輸入所申請(qǐng)的文件名及其路徑。該文件名及其路徑必須牢記，后面在向CA機(jī)構(gòu)提交文件內(nèi)容時(shí)需要使用到該文件。單擊【下一步】按鈕，系統(tǒng)將給出所申請(qǐng)的信息，如圖2-29所示告知Web服務(wù)器 2-272-282-292-30WebWeb站點(diǎn)申請(qǐng)進(jìn)入如圖2-28所示【請(qǐng)求文件名】界面中，在所申請(qǐng)的文件的目錄中，打開(kāi)certreq.txt文件。全選該文件內(nèi)容，選擇【編輯】|【】命令Ctrl+C2-31在如圖2-32所示的【默認(rèn)】的CertSrv 中，右擊default.asp文檔，頁(yè)面在IE瀏覽器地址欄中輸入也可打開(kāi)圖2-33所示的申請(qǐng)【歡迎】頁(yè)面。其中，09是安裝了服務(wù)器的計(jì)算機(jī)IP地址。2-certreq.txt2-32單擊【申請(qǐng)一個(gè)】，進(jìn)入如圖2-34所示的【申請(qǐng)一個(gè)】頁(yè)面。單擊【高級(jí)申請(qǐng)】，進(jìn)入【高級(jí)申請(qǐng)】頁(yè)面，如圖2-35所示單【使用base64編碼的CMC或PKCS#10文件提交一個(gè)申請(qǐng)或使用base64編碼的PKCS#7文件續(xù)訂申請(qǐng)】，進(jìn)入如圖2-36所示的【提交一個(gè)證Ctrl+V2-332-36單擊【提交】按鈕，將彈出如圖2-37所示的【掛起】頁(yè)面。在向獨(dú)立服務(wù)器提交申請(qǐng)后，需要該CA服務(wù)器的管理員手動(dòng)頒發(fā)用戶(hù)申請(qǐng)的。器，或者超過(guò)10天，都將不能批準(zhǔn)后的文件，系統(tǒng)將給出"您沒(méi)有掛起的申請(qǐng)"的提示信息。2-37頒發(fā)、安裝Web站命令，打開(kāi)【頒發(fā)機(jī)構(gòu)】窗口。在左側(cè)窗格中選擇【掛起的申請(qǐng)】選項(xiàng)，在右側(cè)窗格中，右擊用戶(hù)申請(qǐng)的文件。在彈出的快捷菜單中選擇【所有任務(wù)】|2-382-38Web在申請(qǐng)的計(jì)算機(jī)和相關(guān)瀏覽器中，輸入，打開(kāi)如圖2-33所示的【歡迎】頁(yè)面。單擊【查看掛起的申請(qǐng)的狀態(tài)】，2-39所示的【查看掛起的申請(qǐng)的狀態(tài)】頁(yè)面。單擊【保存的申請(qǐng)】，進(jìn)入如圖2-40所示的【已頒發(fā)】頁(yè)面。選中【DER編碼】單選按鈕，單擊【】，打開(kāi)如圖2-41所示的【文件-安全警告】框。單擊【保存】按鈕，將certnew.cer文件保2-402-39 安全性】選項(xiàng)卡，如圖2-23所示。在【安全通信】選項(xiàng)組 在【歡迎使用Web服務(wù)器向?qū)А拷缑嬷校瑔螕簟鞠乱徊健堪粹o在如圖2-42所示的【掛起的請(qǐng)求】界面中，選中【處理掛起的請(qǐng)求并安裝2-42框2-41覽】按鈕，選擇在圖2-41中申請(qǐng)的certnew.cer 單擊【下一步】按鈕，在如圖2-44所示的【SSL端口】界面中，輸入接字協(xié)議默認(rèn)使用的443端 2-432-44【SSL將已申請(qǐng)的CA應(yīng)用到的安全管理中，并啟用SSL功能，從而為與用戶(hù)之間在傳送信息時(shí)提供驗(yàn)證等安全功能。在該Web服務(wù)器的cmd窗口中，運(yùn)行netstat-aon命令，系統(tǒng)將返回如圖2-47所示的TCP/UDP連接信息。其中，TCP80、TCP443分別是HTTP、HTTPS協(xié)議使 2-452-46Web2-47netstat-aon客戶(hù)端申請(qǐng)、頒發(fā)與安裝在如圖2-1所示拓?fù)浣Y(jié)構(gòu)圖IP地址為92的客戶(hù)機(jī)中在IE瀏覽器地 ，打開(kāi)如圖2-33所示的申請(qǐng)【歡迎】頁(yè)面。單擊【申請(qǐng)一個(gè)】 2-48單擊【W(wǎng)eb瀏覽器】，進(jìn)入【W(wǎng)eb瀏覽器-識(shí)別信息】頁(yè)面，如圖2-49所示。在該頁(yè)面中輸入申請(qǐng)時(shí)所需的、電子郵件、公司、部門(mén)、市/縣、省、國(guó)家(地區(qū))等基本信息。也可單擊【選項(xiàng)】，選擇一個(gè)加單擊【提交】按鈕，將彈出如圖2-50所示的【潛在 框2-49【W(wǎng)eb2-50】框ID4"在09獨(dú)立服務(wù)器中，選擇【開(kāi)始】|【程序】|【管理工具】|【證書(shū)頒發(fā)機(jī)構(gòu)】命令，打開(kāi)【頒發(fā)機(jī)構(gòu)】窗口。在左側(cè)窗格中選擇【掛起的申請(qǐng)】選項(xiàng)，在右側(cè)窗格中右擊申請(qǐng)ID為4的用戶(hù)申請(qǐng)文件。在彈出的快捷菜單中選擇【所有任務(wù)】|2-522-512-52客戶(hù)端申請(qǐng)、頒發(fā)與安裝進(jìn)入如圖2-28所示【請(qǐng)求文件名】界面中，在所申請(qǐng)的文件的目錄中，打開(kāi)certreq.txt文件。全選該文件內(nèi)容，選擇【編輯】|【】命令Ctrl+C2-31在如圖2-32所示的【默認(rèn)】的CertSrv 中，右擊default.asp文檔，頁(yè)面在IE瀏覽器地址欄中輸入 也可打開(kāi)圖2-33所示的申請(qǐng)【歡迎】頁(yè)面。其中，09是安裝了服務(wù)器的計(jì)算IP2-542-53圖2-55【潛在 2-56框單擊【是】按鈕，將彈出如圖2-57所示的【已安裝】頁(yè)面在IE瀏覽器中選擇【工具】|【Internet選項(xiàng)】命令，切換到【內(nèi)容】選項(xiàng)卡，如圖2-58所示。單擊【】按鈕，將彈出如圖2-59所示的【】框，從中可以查看或?qū)С鲈趫D2-54中所安裝的Web瀏覽器。2-572-59】框Web安全通信配置與測(cè)試 按鈕，如圖2-60所示。將彈出如圖2-61所示的【安全通信】框。使用該對(duì)話(huà)框可以為加密通信配置接字層(SSL)設(shè)置當(dāng)支持安全通信的Web瀏覽器連接到配置成使用SSL(以https://開(kāi)頭的URL)的時(shí)，安全連接將保護(hù)傳2-602-61圖2-61中的默認(rèn)配置是：不要求安全通道(SSL)且忽略客戶(hù)端。其中，"忽略客戶(hù)端"是指允許用戶(hù)不必提供客戶(hù)端就可該Web站點(diǎn)。如果在圖2-61中選中【接受客戶(hù)端】單選按鈕，但不選中【要求安全通道(SSL)】復(fù)選框，依次單擊兩次【確定】按鈕，則該Web服務(wù)器既可以接收HTTP請(qǐng)求，也可以接收HTTPS請(qǐng)求。換言之，選中該單選按鈕后，允許具有客戶(hù)端證書(shū)的用戶(hù)該Web站點(diǎn)，但不是必需的。具有客戶(hù)端證書(shū)的用戶(hù)可以被映射；沒(méi)有客戶(hù)端的用戶(hù)可以使用其他驗(yàn)證方法。IP92IE2-62Web2-62Web若輸入，將彈出如圖2-63所示的【安全警報(bào)】框。向用戶(hù)告知，其所的Web站點(diǎn)的安全在有效期內(nèi)等信息。單擊【是】按鈕，將彈出如圖2-64所示的【選擇數(shù)字】框。選中名稱(chēng)為test的，單擊【確定】按鈕，將彈出如圖2-65所示的【安全信息】2-66Web】】若先將如圖2-59所示【框中名為test的客戶(hù)端刪除，然后在客Web】】框】框Web安全通信配置與測(cè)試2-68(SSL)128選中【忽略客戶(hù)端】單選按鈕，則Web服務(wù)器可不要求客戶(hù)端提供數(shù)字證httpsWeb128密。其中，選中【要求安全通道(SSL)密通信來(lái)該。換言之，當(dāng)選擇該選項(xiàng)時(shí)，發(fā)送到該以及從該發(fā)送的所有數(shù)據(jù)都使用進(jìn)行驗(yàn)證。若不選中【要求128位加密】復(fù)選框，則客戶(hù)端瀏覽器和Web服務(wù)器之間只進(jìn)行的驗(yàn)證不進(jìn)行128位加密通】92IE若輸入，將彈出如圖2-63所示的【安全警報(bào)】框。單擊【是】按鈕，將直接彈出如圖2-65所示的【安全信息 框，沒(méi)有了圖2-64(或圖2-67)所示的【選擇數(shù)字】框。單擊【是】按鈕，將顯示2-66Web如果選中【要求安全通道(SSL)128客戶(hù)端】單選按鈕，如圖2-70所示，則客戶(hù)端Web服務(wù)器的顯示效果類(lèi)似于選中【要求安全通道(SSL)128端】單選按鈕，只是多了個(gè)如圖2-64(或圖2-67)所示的【選擇數(shù)字】2-69403.42-70如果選中【要求安全通道(SSL)128端單選按鈕如圖2-71所示那么Web服務(wù)器將對(duì)客戶(hù)端進(jìn)強(qiáng)制認(rèn)證。其中，【要求客戶(hù)端】單選按鈕在選中【要求安全通道(SSL)】復(fù)選框后才被激活。選擇該選項(xiàng)后，則具有有效客戶(hù)端的用戶(hù)才能該Web站點(diǎn)，沒(méi)有有效客戶(hù)端的用戶(hù)將被該站點(diǎn)。92IE若客戶(hù)機(jī)未申請(qǐng)或未安裝09服務(wù)器的文件，輸入】按鈕，將彈出如圖2-67所