数字证书配置实验

一、目的

通过上机练习，掌握CA的安装、数字证书的申请颁发和安装、SSL配置 二、实验环境

1个Windows Server 2003虚拟机。 三、实验任务

搭建CA，为网站和客户端颁发数字证书以实现SSL安全通信。 四、实验步骤 1、安装CA

分两步：先安装IIS，然后安装证书服务。

（1）管理您的服务器-》添加/删除服务器角色-》应用程序服务器，依次点击下一步直至完成。

新建网站nwtraders，要输入网站的主机头值www.nwtraders.msft，如图：

设置首页：右击网站nwtraders-》属性-》文档-》添加首页名称index.html并将其上移至顶部。

（2）开始-》控制面板-》添加或删除程序-》添加/删除Windows组件-》证书服务，弹出警告，点击“是”，如图：

点击下一步-》选择“根CA”，如图：

下一步-》输入CA的公用名称：MYCA（不分大小写），如图：

默认有效期为5年，2015-11-17截止，该CA所颁发的证书截止时间不会超过这个时间。 下一步，选择证书库的存放位置，如图：

下一步，弹出警告，要求停止IIS，点击“是”，开始安装。 安装过程会弹出警告框，要求启用ASP，点击“是”，如图：

安装完成后，IIS的默认网站就会添加证书服务的相关内容，如图：

2、配置DNS和网站的主机头值

为了方便访问，为默认网站（CA）和要保护的网站配置DNS区域和名称，默认网站的区域名称为myca.com，要保护网站的区域名称为nwtraders.msft，分别添加主机记录（A），主机名www，ip为服务器的ip。

默认网站-》属性-》网站-》高级，编辑主机头值www.myca.com，如图：

设置tcp/ip属性，将首选DNS服务器ip设为本服务器的ip。 3、申请服务器证书 （1）生成证书申请文件

右击网站nwtraders-》属性-》目录安全性-》服务器证书

-》弹出向导，点击下一步-》选择“新建证书”，如图：

下一步，选择“现在准备证书请求，但稍后发送”，如图：

下一步，输入证书名称和密钥长度，如图：

下一步，输入单位信息，如图：

下一步，输入网站的公用名称，www.nwtraders.msft，注意阅读向导提示，如图：

下一步，输入国家和地区信息，如图：

下一步，选择申请文件的存放路径，如图：

下一步确认，点击下一步完成。点击确定，关闭网站属性对话框。 （2）将申请文件提交给CA

打开IE浏览器-》Internet选项-》安全-》自定义级别，调为“中”，如图：

登录http://www.myca.com/certsrv/，弹出阻止对话框，点击“添加”，再点击“添加”，将网站加入信任列表，在页面中选择“申请一个证书”，如图：

-》选择“高级证书申请”，如图：

-》

-》把刚才生成的申请文件打开，全选-》复制，然后粘贴到如下图所示的地方

-》点击提交-》CA提示证书挂起，如图：

此时申请已经提交给CA了，接下来就等CA审核、颁发证书了。 4、颁发服务器证书

开始-》管理工具-》证书颁发机构-》展开服务器-》点击“挂起的申请”-》右击右边侧栏的申请-》所有任务-》颁发。

5、安装服务器证书

登录http://www.myca.com/certsrv/，如图：

点击“查看挂起的证书申请的状态”-》

点击“保存的申请证书”-》

点击“下载证书”。

回到IIS，右击网站nwtraders-》属性-》目录安全性-》服务器证书-》下一步-》处理挂起的请求并按照证书-》选中下载的证书-》设置SSL端口号443（最好不要修改）-》确认-》完成，点击“确定”关闭网站属性对话框。

此时，要访问网站nwtraders，就不能使用http://www.nwtraders.msft了，得使用https://www.nwtraders.msft。

6、设置SSL

为了验证客户端身份，保护客户端和服务器之间的通信，可以调整设置，使得客户端在访问网站时必须提供自己的证书。

右击网站nwtraders-》属性-》目录安全性-》在“安全通信”一栏里点击“编辑”

勾选“要求安全通道（SSL）”，选择要求客户端证书

-》确定-》确定。

此时，访问https://www.nwtraders.msft会被拒绝，因为客户端不能提供证书。 7、申请客户端浏览器证书

登录http://www.myca.com/certsrv/，弹出阻止对话框，点击“添加”，再点击“添加”，将网站加入信任列表，在页面中选择“申请一个证书”，如图：

-》选择Web浏览器证书

-》输入识别信息

-》弹出警告框，点击“是”

-》CA提示证书挂起。 8、颁发客户端浏览器证书

开始-》管理工具-》证书颁发机构-》展开服务器-》点击“挂起的申请”-》右击右边侧栏的申请-》所有任务-》颁发。

9、安装浏览器证书

登录http://www.myca.com/certsrv/，如图：

点击“查看挂起的证书申请的状态”-》

-》

-》弹出警告框，点击“是”

-》提示证书已经安装。

此时再去访问https://www.nwtraders.msft就不会被拒绝了。

设置自动从http跳转到https

如果在IIS中为网站启用了SSL，则用户直接输入网站的DNS名称或者在名称前加上http://的形式去访问时会显示403.4错误，不会自动转向https://。解决的办法有很多，可以修改403.4的错误页面C:\\WINDOWS\\Help\\iisHelp\\common\\403-4.htm，在这个页面里添加跳转代码，如下所示：