Web站點(diǎn)證書申請

Web站點(diǎn)證書申請?jiān)贗IS管理器窗口中，右擊【默認(rèn)網(wǎng)站】選項(xiàng)，在彈出的快捷菜單中選擇【屬性】命令。切換到【目錄安全性】選項(xiàng)卡，如圖23所示。在【安全通信】選項(xiàng)組中，單擊【服務(wù)器證書】按鈕。在【歡迎使用Web服務(wù)器證書向?qū)А繉υ捒蛑校瑔螕簟鞠乱徊健堪粹o。在如圖24所示的【服務(wù)器證書】界面中，選中【新建證書】單選按鈕。如果用戶事先已為當(dāng)前服務(wù)器申請了證書，則可選中【分配現(xiàn)有證書】或【從密鑰管理器備份文件導(dǎo)入證書】單選按鈕。依次單擊【下一步】按鈕，在【名稱和安全性設(shè)置】界面中，輸入一個便于記憶的新建證書的名稱(如CA_test)，并選擇相應(yīng)的密鑰長度(系統(tǒng)默認(rèn)值為1024位)，如圖25所示。單擊【下一步】按鈕，在如圖26所示的【單位信息】界面中，輸入相應(yīng)的單位和部門名稱。

圖23

【目錄安全性】選項(xiàng)卡

圖24

【服務(wù)器證書】界面

圖25

【名稱和安全性設(shè)置】界面

圖26

【單位信息】界面單擊【下一步】按鈕，系統(tǒng)要求在如圖27所示【站點(diǎn)公用名稱】界面中輸入Web站點(diǎn)的公用名稱(如該網(wǎng)站的DNS域名，即如果URL是，則公用名應(yīng)為)。注意：基于安全方面的考慮，通常在【公用名稱】文本框中使用域名申請證書，而不能使用IP地址申請。單擊【下一步】按鈕，系統(tǒng)將要求輸入CA證書的國家、省/自治區(qū)、市/縣等地理信息。單擊【下一步】按鈕，在如圖28所示的【證書請求文件名】界面中，輸入所申請的證書文件名及其存儲路徑。該文件名及其存儲路徑必須牢記，后面在向CA機(jī)構(gòu)提交證書文件內(nèi)容時需要使用到該文件。單擊【下一步】按鈕，系統(tǒng)將給出所申請證書的摘要信息，如圖29所示。確認(rèn)前面的操作無誤后，單擊【下一步】按鈕，將彈出如圖30所示的對話框，告知Web服務(wù)器證書已成功申請。

圖27

【站點(diǎn)公用名稱】界面

圖28

【證書請求文件名】界面

圖29

【請求文件摘要】界面

圖30

【完成Web服務(wù)器證書向?qū)А拷缑孢M(jìn)入如圖28所示【證書請求文件名】界面中，在所申請的證書文件的存儲目錄中，打開certreq.txt文件。全選該文件內(nèi)容，選擇【編輯】|【復(fù)制】命令或按Ctrl+C快捷鍵，如圖31所示。在如圖32所示的【默認(rèn)網(wǎng)站】的CertSrv目錄中，右擊default.asp文檔，從彈出的快捷菜單中選擇【瀏覽】命令，打開如圖33所示的證書申請【歡迎】頁面。在IE瀏覽器地址欄中輸入09/certsrv，也可打開圖33所示的證書申請【歡迎】頁面。其中，09是安裝了證書服務(wù)器的計(jì)算機(jī)IP地址。

圖31

復(fù)制certreq.txt文件內(nèi)容

圖32

CertSrv目錄單擊【申請一個證書】鏈接，進(jìn)入如圖34所示的【申請一個證書】頁面。單擊【高級證書申請】鏈接，進(jìn)入【高級證書申請】頁面，如圖35所示。單擊【使用base64編碼的CMC或PKCS#10文件提交一個證書申請，或使用base64編碼的PKCS#7文件續(xù)訂證書申請】鏈接，進(jìn)入如圖36所示的【提交一個證書申請或續(xù)訂申請】頁面。在【保存的申請】選項(xiàng)組中右擊，從彈出的快捷菜單中選擇【粘貼】命令；或按Ctrl+V快捷鍵。

圖33

【歡迎】頁面

圖34

【申請一個證書】頁面

圖35

【高級證書申請】頁面

圖36

【提交一個證書申請或續(xù)訂申請】頁面單擊【提交】按鈕，將彈出如圖37所示的【證書掛起】頁面。在向獨(dú)立證書服務(wù)器提交證書申請后，需要該CA服務(wù)器的管理員手動頒發(fā)用戶申請的證書。并且，當(dāng)申請的證書被批準(zhǔn)后，只能使用申請證書的計(jì)算機(jī)和瀏覽器在10天內(nèi)下載。如果用戶使用其他計(jì)算機(jī)，或者使用申請證書的計(jì)算機(jī)，但用不同的瀏覽器，或者超過10天，都將不能下載批準(zhǔn)后的證書文件，系統(tǒng)將給出"您沒有掛起的證書申請"的提示信息。

圖37

【證書掛起】頁面頒發(fā)、安裝Web站點(diǎn)證書在獨(dú)立證書服務(wù)器中，選擇【開始】|【程序】|【管理工具】|【證書頒發(fā)機(jī)構(gòu)】命令，打開【證書頒發(fā)機(jī)構(gòu)】窗口。在左側(cè)窗格中選擇【掛起的申請】選項(xiàng)，在右側(cè)窗格中，右擊用戶申請的證書文件。在彈出的快捷菜單中選擇【所有任務(wù)】|【頒發(fā)】命令，如圖38所示。

圖38

頒發(fā)Web站點(diǎn)證書示意圖在申請證書的計(jì)算機(jī)和相關(guān)瀏覽器中，輸入09/certsrv，打開如圖33所示的【歡迎】頁面。單擊【查看掛起的證書申請的狀態(tài)】鏈接，進(jìn)入如圖39所示的【查看掛起的證書申請的狀態(tài)】頁面。單擊【保存的申請證書】鏈接，進(jìn)入如圖40所示的【證書已頒發(fā)】頁面。選中【DER編碼】單選按鈕，單擊【下載證書】鏈接，打開如圖41所示的【文件下載-安全警告】對話框。單擊【保存】按鈕，將certnew.cer證書文件保存到用戶指定的文件夾中。

圖39

【查看掛起的證書申請的狀態(tài)】頁面

圖40

【證書已頒發(fā)】頁面在IIS管理器窗口中，右擊【默認(rèn)網(wǎng)站】選項(xiàng)，在彈出的快捷菜單中選擇【屬性】命令。切換到【目錄安全性】選項(xiàng)卡，如圖23所示。在【安全通信】選項(xiàng)組中，單擊【服務(wù)器證書】按鈕。在【歡迎使用Web服務(wù)器證書向?qū)А拷缑嬷校瑔螕簟鞠乱徊健堪粹o。在如圖42所示的【掛起的證書請求】界面中，選中【處理掛起的請求并安裝證書】單選按鈕。

圖41

【文件下載-安全警告】對話框

圖42

【掛起的證書請求】界面

單擊【下一步】按鈕，在如圖43所示的【處理掛起的請求】界面中，單擊【瀏覽】按鈕，選擇在圖41中申請的certnew.cer證書文件。單擊【下一步】按鈕，在如圖44所示的【SSL端口】界面中，輸入安全套接字協(xié)議默認(rèn)使用的443端口號。

圖43

【處理掛起的請求】界面

圖44

【SSL端口】界面單擊【下一步】按鈕，彈出如圖45所示的【證書摘要】界面，要求再次確認(rèn)前面的配置信息。單擊【下一步】按鈕，打開如圖46所示的結(jié)束配置界面。單擊【完成】按鈕，將已申請的CA證書應(yīng)用到網(wǎng)站的安全管理中，并啟用SSL功能，從而為網(wǎng)站與用戶之間在傳送信息時提供身份驗(yàn)證等安全功能。圖45

【證書摘要】界面

圖46

【完成Web服務(wù)器證書向?qū)А拷缑鎃eb安全通信配置與測試在IIS管理器窗口中，右擊【默認(rèn)網(wǎng)站】選項(xiàng)，從彈出的快捷菜單中選擇【屬性】命令。切換到【目錄安全性】選項(xiàng)卡，在【安全通信】選項(xiàng)組中，單擊【編輯】按鈕，如圖60所示。將彈出如圖61所示的【安全通信】對話框。使用該對話框可以為加密通信配置安全套接字層(SSL)設(shè)置。當(dāng)支持安全通信的Web瀏覽器連接到配置成使用SSL(以https://開頭的URL)的網(wǎng)站時，安全連接將保護(hù)傳輸?shù)臄?shù)據(jù)。

圖60

【目錄安全性】選項(xiàng)卡

圖61

【安全通信】對話框1圖61中的默認(rèn)配置是：不要求安全通道(SSL)且忽略客戶端證書。其中，"忽略客戶端證書"是指允許用戶不必提供客戶端證書就可訪問該Web站點(diǎn)。如果在圖61中選中【接受客戶端證書】單選按鈕，但不選中【要求安全通道(SSL)】復(fù)選框，依次單擊兩次【確定】按鈕，則該Web服務(wù)器既可以接收HTTP請求，也可以接收HTTPS請求。換言之，選中該單選按鈕后，允許具有客戶端證書的用戶訪問該Web站點(diǎn)，但證書不是必需的。具有客戶端證書的用戶可以被映射；沒有客戶端證書的用戶可以使用其他身份驗(yàn)證方法。在IP地址為92客戶機(jī)的IE瀏覽器地址欄中，輸入09，系統(tǒng)將直接顯示如圖62所示的Web頁面。

圖62

Web測試頁面示意圖1若輸入09，將彈出如圖63所示的【安全警報(bào)】對話框。向用戶告知，其所訪問的Web站點(diǎn)的安全證書在有效期內(nèi)等信息。單擊【是】按鈕，將彈出如圖64所示的【選擇數(shù)字證書】對話框。選中名稱為test的證書，單擊【確定】按鈕，將彈出如圖65所示的【安全信息】對話框。單擊【是】按鈕，將顯示如圖66所示的Web頁面。若先將如圖59所示【證書】對話框中名為test的客戶端證書刪除，然后在客戶機(jī)輸入訪問地址09，則彈出無任何客戶端證書的【選擇數(shù)字證書】對話框，如圖67所示。單擊【確定】按鈕后，系統(tǒng)仍能顯示如圖66所示的Web頁面。

圖63

【安全警報(bào)】對話框

圖64

【選擇數(shù)字證書】對話框1

圖65

【安全信息】對話框

圖66

Web測試頁面示意圖2Web安全通信配置與測試（2）如果在圖68中選中【要求安全通道(SSL)】和【要求128位加密】復(fù)選框，并選中【忽略客戶端證書】單選按鈕，則Web服務(wù)器可不要求客戶端提供數(shù)字證書，只接收https請求，并要求在客戶端瀏覽器和Web服務(wù)器之間實(shí)現(xiàn)128位加密。其中，選中【要求安全通道(SSL)】復(fù)選框，可以要求客戶端瀏覽器通過加密通信來訪問該網(wǎng)站。換言之，當(dāng)選擇該選項(xiàng)時，發(fā)送到該網(wǎng)站以及從該網(wǎng)站發(fā)送的所有數(shù)據(jù)都使用證書進(jìn)行身份驗(yàn)證。若不選中【要求128位加密】復(fù)選框，則客戶端瀏覽器和Web服務(wù)器之間只進(jìn)行證書的身份驗(yàn)證，不進(jìn)行128位加密通信。

圖67

【選擇數(shù)字證書】對話框2

圖68

【安全通信】對話框2此時，在地址為92客戶機(jī)的IE瀏覽器地址欄中，輸入09，將彈出錯誤號為403.4的禁止訪問頁面，如圖69所示。若輸入09，將彈出如圖63所示的【安全警報(bào)】對話框。單擊【是】按鈕，將直接彈出如圖65所示的【安全信息】對話框，沒有了如圖64(或圖67)所示的【選擇數(shù)字證書】對話框。單擊【是】按鈕，將顯示如圖66所示的Web頁面。如果選中【要求安全通道(SSL)】和【要求128位加密】復(fù)選框，并選中【接受客戶端證書】單選按鈕，如圖70所示，則客戶端訪問Web服務(wù)器的顯示效果類似于選中【要求安全通道(SSL)】、【要求128位加密】復(fù)選框和【忽略客戶端證書】單選按鈕，只是多了個如圖64(或圖67)所示的【選擇數(shù)字證書】對話框。

圖69

錯誤號為403.4的禁止訪問頁面

圖70

【安全通信】對話框3如果選中【要求安全通道(SSL)】和【要求128位加密】復(fù)選框，并選中【要求客戶端證書】單選按鈕，如圖71所示，那么Web服務(wù)器將對客戶端證書進(jìn)行強(qiáng)制認(rèn)證。其中，【要求客戶端證書】單選按鈕在選中【要求安全通道(SSL)】復(fù)選框后才被激活。選擇該選項(xiàng)后，則具有有效客戶端證書的用戶才能訪問該Web站點(diǎn)，沒有有效客戶端證書的用戶將被拒絕訪問該站點(diǎn)。此時，在地址為92客戶機(jī)的IE瀏覽器地址欄中，輸入09，將彈出錯誤號為403.4的禁止訪問頁面，如圖69所示。若客戶機(jī)未申請或未安裝09證書服務(wù)器的證書文件，輸入09，將彈出如圖63所示的【安全警報(bào)】對話框。單擊【是】按鈕，將彈出如圖67所示的【選擇數(shù)字證書】對話框。單擊【確定】按鈕，將彈出錯誤號為403.7的禁止訪問頁面，如圖72所示。若客戶機(jī)已成功安裝了09證書服務(wù)器頒發(fā)的證書文件，則輸入09后，系統(tǒng)顯示信息分別類似于圖63～圖66。

圖71

【安全通信】對話框4