《防火墙与VPN》专题课件16创建HTTPS站点Windows Server 2003.pptx

创建HTTPS站点（Windows Server 2003）HTTPS HTTPS是加密的HTTP连接，通过在应用层和传输层之间加入SSL（安全套接字层）层实现。SSL负责加密，应用层感知不了SSL层的存在。SSL的实现需要以数字证书作为基础。 HTTPS多用在电子商务网站。实训的基础环境一个网站（本课件中为,机器名是ISA客户，网站名称为myweb,文件夹为“我的网站”。这个网站的某些页面，将被设置为使用HTTPS访问）。一个CA服务器，用来颁发数字证书。（本课件里是，机器名是ISA2006)。一台主机，在上面使用IE测试网站。（本课件里是,为了节省资源，跟CA服务器使用同一台虚拟机，机器名也是ISA2006）。1 给网站服务器申请数字证书（以下操作都在ISA客户上完成）1.1 准备证书申请文件打开IIS管理器计划是先准备请求文件，再通过IE浏览器提交给CA证书名称可自选站点的公用名称就是ISA客户的域名（也可用IP）使用默认即可完成证书申请文件的生成点击“确定”，关闭myweb属性。此时可在目录C:盘根目录下看到申请文件certreq.txt1.2 向CA申请证书需要先设置一下IE浏览器在“安全”选项卡里，选择第三个图标“受信任的站点”把CA的IP（）加到可信站点列表里关闭可信站点添加窗口点击“确定”，关闭IE设置在IE的地址栏输入证书申请地址/certsrv/，证书服务页面出来后，点击“申请一个证书”服务器证书的申请需要使用“高级证书申请”使用文件提交申请，这个申请文件在上一步已准备好了，就是C:\certreq.txt不要关闭浏览器，打开C:\certreq.txt把C:\certreq.txt全文复制到粘贴板在浏览器的证书申请页面把申请书全文粘贴到第一个文本框申请已成功提交，等待CA认证后颁发证书（正常情况下一到二天）1.3 CA颁发证书（转到CA，即ISA2006，执行以下操作）所谓挂起的申请，就是已提交申请，但还没颁发的证书，下图右边可看到刚才网站服务器提交的申请手动颁发证书（点击后申请会消失，可在“颁发的证书”文件夹看到证书，见下一页）1.4 网站服务器从CA下载证书（以下操作在网站服务器，即ISA客户，完成）首先，访问证书申请网页/certsrv选择“查看挂起的证书申请的状态”看到这个，表明证书已获颁发下载证书点击“保存”，绝对不能点“打开”下载到C盘的根目录，名称用默认就行（certnew.cer）在IIS管理器中设置网站的属性1.5 在网站服务器安装证书（以下操作都在网站服务器，即ISA客户，完成）证书向导探测到曾经准备过证书申请文件，故询问申请结果选择刚才从CA下载的证书默认SSL端口，用来接受HTTPS请求，直接点击“下一步”完成网站的证书安装可以点击“查看证书”看一下证书的详情证书详情（注意：这个证书只安装在myweb网站上）2 测试HTTPS访问（以下几步操作在网站服务器，即ISA客户上完成）2.1 在网站文件夹中，新建网页文件pay.htm在pay.htm中打入一些测试代码，注意保存在IIS管理器中设置pay.htm的属性要求访问pay.htm时使用SSL，128位密钥，并强制客户端提供数字证书（电子商务网站常见）选择“确定”，完成对pay.htm的设置2.2 测试pay.htm(以下步骤均在访问者的主机和CA主机，即ISA2006完成) 由于pay.htm强制访客提供证书，所以访客的浏览器也要安装证书。在访客浏览器中输入CA的申请页面地址http://localhost/certsrv,这里不用CA的IP是因为访客主机恰巧是CA所在主机，防火墙会拦截所有源地址和目标地址相同的IP包，这种包攻击的可能性大。 因为证书是安装在浏览器里，所以必须选择“Web浏览器证书”姓名和国家必填申请已发出，等待CA审核在CA管理器（开始菜单管理工具证书颁发机构）手动颁发刚才提交的浏览器证书申请。(详情可参看本课件前面的1.3节)访客关闭浏览器后，再次访问http://localhost/certsrv,点击“查看挂起的证书申请状态”可看到浏览器证书已颁发，点击它点击“安装证书”，直接把证书安装到本地（不需要像服务器证书那样要下载后安装）成功在浏览器上安装了证书试访问pay.htm,注意URL是/pay.htm由于pay.htm强制要求客户端证书，所以弹出这个窗口，选择myname,然后点击“确定”成功访问pay.htm