部署PKI與證書服務(wù)給網(wǎng)頁加“s”

          IIS部署PKI與證書服務(wù)

一、什么是PKI

  PKI（公鑰基礎(chǔ)設(shè)施），是通過使用公鑰技術(shù)和數(shù)字簽名來確保信息安全，并負(fù)責(zé)驗(yàn)證數(shù)字證書持有者身份的一種技術(shù)。

本次實(shí)驗(yàn)的目的是使用PKI協(xié)議中的SSL為了給網(wǎng)頁地址“http”后邊加“S”。瀏覽網(wǎng)頁的時(shí)候更安全，不必?fù)?dān)心其發(fā)送的信息被非法的第三方截獲。

二、證書頒發(fā)機(jī)構(gòu)

  證書頒發(fā)機(jī)構(gòu)也稱為數(shù)字證書認(rèn)證中心（Certficate  Authority，CA），是PKI應(yīng)用中權(quán)威的、可信任的、公正的第三方機(jī)構(gòu)，也是電子交易中信賴的基礎(chǔ)。CA的主要功能是負(fù)責(zé)生產(chǎn)、分配并管理所有參與網(wǎng)上交易的實(shí)體所需的身份認(rèn)證數(shù)字證書。

三、實(shí)驗(yàn)要求

隨便搭建一個(gè)網(wǎng)頁，使用HTTPS（安全超文本傳輸協(xié)議）建立安全連接。

四、實(shí)驗(yàn)拓?fù)鋱D

五、實(shí)驗(yàn)步驟

1、配置完相應(yīng)的IP地址之后首先來配置證書頒發(fā)機(jī)構(gòu)CA（實(shí)際工作中CA是不可能自己搭建的，是要像有權(quán)威的CA申請(qǐng)證書。）

1.1）、添加服務(wù)器角色，選擇“Active Directory 證書服務(wù)”（這里做的是一臺(tái)獨(dú)立CA。如果做企業(yè)CA，需要AD服務(wù)）

1.2）、為WEB服務(wù)頒發(fā)證書需要勾上“證書頒發(fā)機(jī)構(gòu)Web注冊(cè)”

1.3）、沒有域環(huán)境會(huì)默認(rèn)裝成獨(dú)立CA。

1.4）、后邊全部選擇默認(rèn)設(shè)置，完成安裝。（此時(shí)如果在CA服務(wù)器上沒有安裝過WEB服務(wù)，會(huì)默認(rèn)安裝WEB服務(wù)。因?yàn)橐褂镁W(wǎng)頁來申請(qǐng)證書。）

2、安裝并配置web服務(wù)器

2.1）、安裝WEB服務(wù)器，后邊的配置都選默認(rèn)的。

2.2）、在C盤下創(chuàng)建一個(gè)網(wǎng)頁的根文件夾。

2.3）、在文件夾里新建一個(gè)記事本，隨便打點(diǎn)字保存。把文件名字改為index.html

2.4）、打開IIS服務(wù)器。

2.5）、右擊網(wǎng)站，點(diǎn)擊添加網(wǎng)站。名稱隨便，物理路徑指向剛才在C盤創(chuàng)建的那個(gè)文件夾

2.6）、先把默認(rèn)的網(wǎng)站停止，把新創(chuàng)建的網(wǎng)站啟動(dòng)。

2.7）、用客戶機(jī)登錄一下看能否訪問。

3、網(wǎng)站搭建完畢。開始給網(wǎng)頁加S吧。

3.1）、打開web服務(wù)器IIS管理器，雙擊證書服務(wù)。

3.2）、點(diǎn)擊右側(cè)窗格的創(chuàng)建證書申請(qǐng)。

3.3）、這里由于不是真的網(wǎng)頁，所以沒有真實(shí)的信息就隨便填寫

3.4）、加密服務(wù)選擇默認(rèn)的即可。

3.5）、為證書申請(qǐng)一個(gè)文件名，可以選擇桌面，隨便起一個(gè)名字，以“.txt”格式結(jié)尾的文本。（這個(gè)文件不用提前創(chuàng)建好，自動(dòng)創(chuàng)建。）

3.6）、打開剛才這個(gè)文件，復(fù)制里邊的所有內(nèi)容。

3.7）、打開瀏覽器，輸入CA（證書服務(wù)器）服務(wù)器的ip地址（也可以輸入CA服務(wù)器的計(jì)算機(jī)名），并且加上“/certsrv”

3.8）、點(diǎn)擊添加，并把CA服務(wù)器的地址添加進(jìn)去。

3.9）、選擇申請(qǐng)證書。

3.10）、再選擇高級(jí)證書申請(qǐng)。

3.11）、選擇第二項(xiàng)，使用base64…….證書申請(qǐng)。

3.12）、把剛才復(fù)制的那一堆亂碼復(fù)制進(jìn)去，點(diǎn)擊提交。

3.13）、顯示證書正在掛起，（獨(dú)立CA需要手工頒發(fā)證書，企業(yè)CA就自動(dòng)頒發(fā)了。）

3.14）、這時(shí)候回到CA服務(wù)器上，來頒發(fā)證書。

3.15）、選擇掛起的申請(qǐng)，右擊剛才申請(qǐng)的證書，選所有任務(wù)，點(diǎn)擊頒發(fā)。

3.16）、回到WEB服務(wù)器上，在瀏覽器中重新登錄CA的那個(gè)網(wǎng)站，選擇查看掛起的證書申請(qǐng)的狀態(tài)。

3.17）、選擇保存的申請(qǐng)證書。

3.18）、這是可以看到證書已經(jīng)頒發(fā)，點(diǎn)擊Base64編碼，下載證書。

3.19）、選擇一個(gè)路徑保存，這里保存到了桌面。

3.20）、打開IIS管理器，進(jìn)入服務(wù)器證書，點(diǎn)擊完成證書申請(qǐng)。

3.21）、選擇剛才保存的證書。好記名稱隨便。

3.22）、右擊網(wǎng)站名，選擇編輯綁定。

3.23）、點(diǎn)擊添加，類型選擇“https”，證書選擇剛才添加的“a”

3.24）、雙擊“ssl設(shè)置”

3.25）、勾選“要求SSL”，點(diǎn)擊應(yīng)用。

4.在客戶機(jī)上驗(yàn)證。

4.1）、輸入web服務(wù)器上創(chuàng)建的網(wǎng)站，前邊輸入https，會(huì)彈出“安全報(bào)警”，點(diǎn)擊確定即可。

4.2）、又提示安全報(bào)警。繼續(xù)點(diǎn)“是”（因?yàn)樵撟C書不是有權(quán)威的CA頒發(fā)的，是自己做的CA所以不會(huì)被瀏覽器信任。不過不用擔(dān)心。）

4.3）、成功打開網(wǎng)頁，已經(jīng)成功給網(wǎng)頁加上了“S”。

實(shí)驗(yàn)完畢