CA证书服务器(6) 利用CA证书配置安全Web站点-阿里云开发者社区

开发者社区> 科技小能手> 正文

CA证书服务器(6) 利用CA证书配置安全Web站点

简介:
+关注继续查看

  前面讲了这么多理论知识,其实真要操作起来还是很简单的,下面我们就利用证书来实现一个安全的Web站点,也就是当客户端在访问网站时使用https实现数据加密传输。

    要实现这个功能,首先要了解一下SSL协议。

“SSL安全套接字层”是一套提供身份验证、保密性和数据完整性的加密技术,属于传输层的协议。准确点来说,SSL其实是一个位于应用层和传输层之间的协议,所以才称之为“套接字层”。

我们都知道在Web浏览器和Web服务器之间传输数据是使用HTTP协议,本来HTTP协议产生的数据是直接送给传输层的TCP协议,有了SSL这个套接字层之后,就要先送给SSL处理一下,然后再送给TCP,这也就称之为HTTPS(基于SSL的HTTP)协议。之所以要经过SSL先处理一下,其目的主要是为了能够在Web服务器和客户端之间建立一条安全通信通道,在这条安全信道中传输的数据都是经过加密的。

SSL安全信道的建立过程是:

  1. 首先客户端向服务器发出连接请求;

  2. 服务器把它的数字证书发给客户端;

  3. 客户端生成会话密钥(对称式加密),并用从服务器得到的公钥对它进行加密,然后通过网络传送给服务器;

  4. 服务器使用私钥解密得到会话密钥,这样客户端和服务器端就建立了安全通道。

在安全信道建立好之后,在客户端与服务器之间传输的数据都是采用对称式加密,以提高通信效率,而对称式加密的密钥是通过非对称式加密的方式传送的,以保证会话密钥的安全性。

Web站点启用SSL之后,客户端在访问网站时必须使用“https:\\……”的URL形式,默认使用的端口号也不再是TCP 80,而是变成了TCP 443。

为支持SSL通信,必须为Web服务器配置证书。下面是在Web服务器上申请证书并安装的过程。

1. 生成证书请求

打开之前创建的Web服务器,以域管理员身份登录。

选中服务器,然后在中间的面板中打开“服务器证书”,点击“创建证书申请”。

205033158.jpg

输入网站的相关数据,注意“通用名称”文本框中必须输入网站所用的域名,否则客户端在访问网站时,将提示证书错误。

205121135.jpg

选择证书的加密算法和密钥长度。其中的“位长”是指网站公钥的长度,位长越长,安全性越高,但性能越低。这里都采用默认值。

205211490.jpg

为证书申请指定文件名和保存路径。单击“完成”按钮,证书申请文件创建成功,该文件是一个文本文件,里面包含了所生成的证书申请编码。

205249422.jpg

2. 提交证书申请

证书申请创建完成之后,打开IE浏览器,在地址栏中输入http://192.168.1.2/certsrv/”,注意这里必须以域管理员的身份访问证书服务器,打开证书申请页面,点击“申请证书”,然后再单击“高级证书申请”。

205341129.jpg

选择使用base64编码申请证书。

205408488.jpg

将刚才生成的证书申请文件中的内部全部复制到“保存的申请”中,将“证书模板”选择“Web服务器”,点击“提交”按钮。

205441998.jpg

企业根CA会自动颁发证书,点击“下载证书”,并将证书保存到指定的位置。

205510579.jpg

3. 安装证书

回到IIS管理器的“服务器证书”界面中,点击“完成证书申请”。

205543911.jpg

找到刚才下载的证书,并为其起一个好记的名称。

205701896.jpg

至此,Web服务器证书申请并安装成功。

205747135.jpg

4. 绑定证书并启用SSL

证书安装完成之后,下面需要将证书绑定到网站之上。

选中默认站点,点击右侧的“绑定”。在“网站绑定”对话框中点击“添加”按钮,将类型设置为“https”,端口为默认的443SSL证书设置为刚才安装的“web”。点击“确定”按钮之后,证书就绑定好了。

205902576.jpg

然后打开“SSL设置”界面,勾选“要求SSL”:

205929902.jpg

这样,在客户机上如果用http方式访问网站,便会被拒绝:

205958563.jpg

只有使用https方式才可以正常访问网站。

当然,如果在“SSL设置”中不勾选“要求SSL”,则客户端既可以使用https也可以使用http方式访问web站点。

5. 虚拟目录启用SSL

大多数情况下,我们并不需要对整个网站都启用SSL,而是只需要对网站中的某个版块(如交易支付页面)启用SSL。这时可以只对Web站点中的某个虚拟目录启用强制SSL设置。

下面在Web站点中创建一个名为“pay”的虚拟目录,并对其设置启用强制SSL

210116402.jpg

编辑站点首页文件Default.htm

210143820.jpg

这样在客户端可以直接使用http方式访问网站,但是当要访问pay子目录时,就会自动启用SSL


本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1191833

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Nginx 安装 SSL证书 配置 HTTPS 协议全过程
说到nginx服务器,个人认为最大特点就是轻量级和高性能。通过在几台不同的服务器上进行测试,发现它的并发能力特别强,并且相对而言吃的内存少很多。目前已是绝大多数站长的首选 HTTP 和反向代理服务器。站长自己的网站,包括承接企业服务器运维服务所采用的都是 Nginx,Apache 当然也可以。
1219 0
代理 XP”组件已作为此服务器安全配置的一部分被关闭。系统管理员可以使用 sp_configure 来启用“代理 XP”
新建维护计划的时候遇到下图的报错信息  标题: Microsoft SQL Server Management Studio------------------------------ “代理 XP”组件已作为此服务器安全配置的一部分被关闭。
1794 0
ASP.NET遇到HTTP 错误 403.14 - Forbidden Web 服务器被配置为不列出此目录的内容
当碰到这个问题的时候真的是让人很费解啊,就算是重新打开机器也不能够解决,但是下面的小技巧说不一定就可以解决这个问题了。 首先,打开IIS(Internet信息管理服务器),找到“功能”视图,然后打开“目录浏览”,接下来双击“操作”窗格中的“启用”。
1059 0
WebADI_配置设定11_设定安全性Security Rule(案例)
20150506 Created By BaoXinjian 一、摘要 将WebADI显示给用户,使用户可以进行使用 1. 两种做法 (1). 为这个Integrator单独建个form,function,然后加入到user 的menu中; (2). 标准的Create Document功能提供给user,而user 能在里面找到这个Integrator 就必须选上这项。
1028 0
23706
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载