SSL(Security Socket Layer,安全套接层)是一种在两台主机之间提供安全通道的协议,其目的是通过加密保护传输的数据并对通信双方进行身份验证,保证两台主机之间的通信安全.SSL最早由网景公司开发的,在目前应用中,广泛采用标准SSLv3.
下面先来部署HTTPS
有关具体的部署可看之前的文章IIS.
这里是针对部署的411网站,点其属性.
点服务器证书,开始为网站申请证书.
下一步
点新建证书.
下一步.
输入证书名称.
设置网站的公用名称
设置网站所在的地理位置信息
指定证书请求的文件名称
点下一步
证书请求文件创建完成
然后按照之前CA部署的文章进行使用生成证书请求文件向CA提供证书申请,然后在CA上颁发证书.
下面来看获取和安装网站证书
获取的步骤也参看CA部署文章
这个是获得的网站证书.
然后打开网站属性对话框"目录安全性"选项卡,单击服务器证书.
现在来处理挂起的请求并安装证书
在此对话框中指定从CA获得的网站证书的文件名称.
在此对话框中指定HTTPS的端口,标准端口为443
显示了即将安装的网站证书的基本信息.
点完成
这样早请的网站证书安装就完成了.
点查看证书
这里有关证书的详细信息
下面来看通过HTTPS访问网站
登录WEB客户端,并从CA获取CA证书
并点击安装
下一步
这里默认便可以
点完成
然后单击开始--运行
确定
在证书管理控制台能够看到安装的CA证书.
单击开始--控制面板--INTERNET选项,打开INTERNET属性对话框,单击内容标签.
单击证书
也能够看到安装的CA证书
下面来配置网站只接受HTTPS访问
在WEB服务器上点安全通信中的编辑,选中"要求安全通道"并忽略客户端证书.
然后在客户端打开浏览器访问WEB服务器.
可以看到要用HTTPS为通信协议的URL才能成功访问.
配置HTTPS的加密强度
并勾选要求128位加密
访问成功
配置HTTPS执行双向认证
默认情况下,HTTPS单向认证的模式工作,即客户端通过网站证书来验证网站的身份,但网站并不验证客户端的身份,如果需要通过证书验证客户端身份,则可以要求试图访问网站的客户端必须提供证书才能进行访问,执行双向认证时,网站将只接受HTTPS访问
选择要求客户端证书
然后要向CA申请WEB浏览器证书.
点WEB浏览器证书
中间的过程就省略了,之前文章已介绍过
然后点安装此证书
点是
在HTTPS执行双向认证的过程中,默认情况下,网站收到客户端提供的证书后会检查CRL以验证该证书是否被吊销,如果未能联系到CA或未能检查到CRL,因而无法确认客户端证书的吊销状态,则将拒绝该证书,可以配置指定网站在收到客户端证书后不检查CRL.
certchechmode的默认值为0,即网站需检查CRL,将其值设置为1,则网站不再检查CRL.
通过证书对访问网站的用户进行身份验证
通过将客户端证书映射到WEB服务器上的WINDOWS用户帐户,可以建立证书与用户账户关联,基于这种关系,网站通过验证证书即可验证该证书使用者的用户身份,当用户使用客户端证书登录时,WEB服务器就会自动将用户与相应的WINDOWS用户账户关联起来
启用客户端证书映射
单击编辑
点添加
确定
配置HTTPS启用证书信任列表
点新建
下一步
选择要添加的CA证书
下一步
输入名称
点完成
完成.
本文转自yangming1052 51CTO博客,原文链接:http://blog.51cto.com/ming228/104180,如需转载请自行联系原作者
