現在的互聯網越來越重視網絡安全方面的內容,像我們日常生活中瀏覽的網上銀行網站等涉及安全的你都會發現有https 的標志出現,在URL前加https://前綴表明是用SSL加密的。 你的電腦與服務器之間收發的信息傳輸將更加安全。它實際上是對網站進行了加密保護。Web服務器啟用SSL需要獲得一個服務器證書並將該證書與要使用SSL的服務器綁定。http和https使用的是完全不同的連接方式,用的端口也不一樣,前者是80,后者是443。
HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議要比http協議安全.
SSL(Security Socket Layer)全稱是加密套接字協議層,它位於HTTP協議層和TCP協議層之間,用於建立用戶與服務器之間的加密通信,確保所傳遞信息的安全性,同時SSL安全機制是依靠數字證書來實現的。
SSL基於公用密鑰和私人密鑰,用戶使用公用密鑰來加密數據,但解密數據必須使用相應的私人密鑰。使用SSL安全機制的通信過程如下:用戶與IIS服務器建立連接后,服務器會把數字證書與公用密鑰發送給用戶,用戶端生成會話密鑰,並用公共密鑰對會話密鑰進行加密,然后傳遞給服務器,服務器端用私人密鑰進行解密,這樣,用戶端和服務器端就建立了一條安全通道,只有SSL允許的用戶才能與IIS服務器進行通信。
提示:SSL網站不同於一般的Web站點,它使用的是“HTTPS”協議,而不是普通的“HTTP”協議。因此它的URL(統一資源定位器)格式為“https://網站域名”。
下面就讓我們通過部署CA來實現安全的WEB站點,我們就拿https://www.baidu.com 來進行演示測試:
首先,我們依然准備三台服務器,server01 CA服務器、server02WEB服務器、server03 為工作組計算機。
我們首先在server01上不熟我們的CA服務器,服務器管理器-——添加角色和功能,如圖:
下一步,將Active Directory證書服務勾選,添加功能,如圖所示:
下一步,將證書頒發機構Web注冊勾選上,添加功能,如圖所示:
如下圖,點擊“下一步”:
以下所有都是默認安裝的,直接點擊“下一步”,如圖:
下一步,點擊“安裝”,完成CA服務器的安裝:
安裝完成證書服務后,我們開始要部署CA,配置目標服務器上的證書服務,如下圖:
出現配置向導,點擊“下一步”如圖:
下一步,將前兩項勾選上,如圖,點擊下一步:
由於我們是在域環境下配置的,客戶端自動信任,我們選擇企業CA,如下圖:
下一步,CA類型我們選擇“根”如圖所示:
下一步,我們選擇“創建新的私鑰”,點擊下一步,如下圖所示:
以下步驟,我們選擇默認安裝,如下圖:
點擊下一步,如下圖:
時間自由配置,這里我們保持默認,點擊下一步,如圖:
數據庫默認安裝位置,如下圖:
下一步,點擊“配置”,如下圖:
配置成功后,點擊關閉:
部署CA后,驗證其功能,通過瀏覽器訪問,http://192.168.1.101/certsrv ,並輸入與管理員憑證,如下圖:
輸入憑據后會出現如下圖所示,此證明證書服務已經在本台server01機器上安裝成功了:
下面,我們來到server02 (WEB服務器)這台機器上面,打開IIS管理器,點擊服務器——服務器證書,雙擊打開,如下圖:
點擊窗口右側的“創建證書申請”,如下圖:
以下填寫信息,注意:通用名稱填寫客戶端訪問時的模式,如:我們要訪問www.baidu.com,如下圖:
下面的位長默認以下數值,點擊“下一步”,如圖:
下一步,為證書申請制定一個文件名,我在這里起名為certsrv,並指定位置如下圖:
下面就是申請證書后所給的編碼,用來接下來申請證書用:
下一步,打開這個文本文檔,並復制里面的內容,如下圖:
復制完內容后,我們通過瀏覽器訪問http://192.168.1.101 如下圖:
下一步,我們選擇申請證書,如下圖:
選擇“高級證書申請”,如下圖:
選擇使用base64編碼提交證書申請,如下圖:
將之前文檔中復制的所有的內容粘貼到文本框中,證書模版選擇“WEB服務器”,提交申請,如下圖:
提交申請過后,會出現以下界面,我們選擇“下載CA證書”,如下圖:
將下載證書另存到本地磁盤,如下圖:
下一步,我們繼續打開IIS管理器,點擊“完成證書申請”,如下圖:
注意:證書頒發機構相應的文件名指的是下載證書存放的位置,如下圖:
證書申請完成后,我們就可以看到服務器證書中多了一個我們添加的站點,如下圖:
下一步,我們選擇我們要訪問的網站,——綁定——添加網站綁定,將類型改為https,端口443,SSL證書選擇我們申請的證書,如下圖
如下圖所示,就出現了https://www.baidu.com :
以上的步驟基本上就可以實現安全站點,https://www.baidu.com
接下來,我們需要通過客戶端(server03工作組計算機)來訪問該網站,我們需要訪問http://192.168.1.101/certsrv 來下載證書,如下圖:
選擇下載CA證書;將下載的證書另存到本地磁盤:
下一步,我們運行mmc打開控制台窗口,如下圖:
選擇文件——添加或刪除管理單元,如下圖:
找到證書,選擇“證書”添加,如下圖:
添加后,我們選擇計算機賬戶,如下圖:
選擇本地計算機,如下圖,點擊完成:
進入證書導入向導,點擊下一步:
文件名為下載證書存放的位置,如下圖:
證書存儲受信任的根證書頒發機構,點擊下一步:
點擊完成證書導入向導:
下一步,點擊證書——受信任的根證書頒發機構——右鍵——所有任務——導入證書文件,如下圖:
下面我們就可以通過server03 的機器訪問https://www.baidu.com
我們還可以設置只允許https訪問,不允許http訪問,操作很簡單如下:點擊baidu站點,選擇SSL設置雙擊打開,如下圖:
下一步,將“要求SSL”勾選,並點擊“應用”,如下圖:
下面我們再次通過server03 訪問http://www.baidu.com,就會出現以下的錯誤,如下圖:
以上的所有內容就是基於CA證書部署https安全站點。配置https://www.baidu.com的訪問過程,實驗過程步驟比較詳細,感謝大家的收看~~么么噠!!