实验_WEB_SSL实验2..doc

实验七 WEB SSL实验 如何在Windows Server 2008的IIS 7.0上部署SSL证书首先，介绍如何安装IIS 7.0。 1.请确保使用Administrator帐号登录，点击开始菜单-所有程序-管理工具-服务器管理器，启动服务器管理器，如下图：? 2.添加一个服务器角色,点击“角色”，可以看到“角色”总视图，如下： 3.点击“添加角色”,点击下一步，选择需要添加的角色： 4.选择安装Web服务器(IIS)角色： 5.显示Web服务器(IIS)简介，点击下一步 6.选择需要安装的部件和功能，： 7.确认安装，如下图： 8.安装完成：? 制作CSR请求文件 1.启动IIS管理器，点击开始菜单-所有程序-管理工具-Internet信息服务(IIS)管理器： 2.选择“服务器证书”： 3.在右边窗口，选择“创建证书申请”： 4.输入证书请求信息，通用名称请输入完整的域名（包含主机名），企业名称可以用中文，国家代码一般用CN（请按照ISO 3166-1 A2）： 5.选择加密服务程序和密钥长度，加密服务程序选择缺省的Microsoft RSA Schannel Cryptographic Provider，加密长度一般可以为1024位，如果申请EV证书至少2048位 6.选择CSR文件的名称，然后“完成” 安装证书文件?当您收到迅通诚信的邮件后，您就可以安装并使用您的服务器证书了。将邮件中的证书内容拷贝粘贴到一个纯文本文件中（包含-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----），存成一个server.cer文件，如下图所示： ?1.启动IIS管理器，点击开始菜单-所有程序-管理工具-Internet信息服务(IIS)管理器： 2.选择“服务器证书”： 3.在右边窗口，选择“完成证书申请” 3.输入CA签好的证书文件(刚才保存好的server.cer) 4.证书导入成功，如下图： 5.证书导入成功，如下图： 6.将SSL证书和网站绑定，先选择需要使用证书的网站，点击“SSL设置”  7.添加一个新的绑定：  8.将类型改为HTTPS，端口改为443，然后选择刚才导入的SSL证书，点击“确定”，则SSL证书安装完成。 ? SSL设置参数详解 1.启动IIS管理器，点击开始菜单-所有程序-管理工具-Internet信息服务(IIS)管理器： 2.启动IIS管理器，选择网站，双击“SSL设置” 3.显示SSL高级设置，如下图： 4.“要求SSL”选项，如果没有选中，则用户可以通过HTTPs，也可以通过HTTP来访问，如果“要求SSL”被选中，则用户必须通过HTTPS访问，若用户通过HTTP访问，会出现如下提示： 5.“客户证书”有3个选项：忽略、接受、必需。如果“要求SSL”选项没有选中，则不能选择客户证书“必需”项。如果选择“忽略”，则服务器不会去检查是否有客户证书，即使客户端有客户证书，也不会被服务器接收。如果选择“接受”，如果客户有证书，会自动跳出，让客户选择如下图，如果没有，则正常转入原来的页面。 6.“客户证书”如果选择必需的时候，如果客户端有客户证书则会跳出窗口，让客户选择，如下图： 如果，没有证书，或者客户没有选择客户证书，则会出现错误提示，如下图： 建议客户不要选中“要求SSL”，如果需要使用客户端证书，也可以选择“接受”客户证书。如果有些页面要求客户必须通过HTTPS访问，可以使用代码自动跳转的方式，具体参:“强制通过SSL访问网站”。证书备份（导出） 1.启动IIS管理器，点击开始菜单-所有程序-管理工具-Internet信息服务(IIS)管理器： 2.选择“服务器证书”： 3.选择需要导出的证书，在右边窗口选择“导出”： 3.输入导出证书文件名和密码，证书备份完成。 证书恢复（导入） 1.启动IIS管理器，点击开始菜单-所有程序-管理工具-Internet信息服务(IIS)管理器： 2.选择“服务器证书”： 3.在右边窗口选择“导入”： 4.证书的绑定，参见证书安装部分。 数字证书主要应用于各种需要身份认证的场合，目前广泛应用于网上银行、网上交易等商务应用外，数字证书还可以应用于发送安全电子邮件、加密文件等方面。通过实验，使学生了解PKI 的体系结构，证书机构CA 的安装和配置，通过证书机构CA 管理证书的方法，掌握数字证书的申请与安装，数字证书在网站、电子邮件的加密与认证等方面的应用。 二、实验描述 使用Windows Server 2003建立数字证书颁发机构CA，处理并颁发客户证书和服务器证书；浏览器和Web 服务器之间通过数字证书实现