部署https站点
PKI:公共密钥基础架构
PKI的功能: 1. 数据加密 2. 数据篡改
证书颁发机构:CA服务器
示例: 部署企业内部CA服务器 (在server01上做CA)
添加角色和功能 ——安装active directory证书服务 
选择如图
部署CA:
下一步
画勾
企业CA:必须在域环境下,可以实现证书的自动颁发
独立CA,可以是域环境也可以工作组环境
下一步
下一步
下一步
配置
验证:
IIS:
通过浏览器访问 http://ip/certsrv
证书颁发机构管理工具
输入域管理员和密码
这样CA就搭建完成了
示例: 实现安全的WEB站点 (在server02上)
通过https://www.baidu.com
步骤1:WEB服务器端生成证书申请文件
步骤2:提交证书申请文件到CA服务器
步骤3:CA服务器颁发证书
步骤4:WEB服务器安装证书
步骤5:配置HTTPS访问
步骤1:WEB服务器端生成证书申请文件
打开IIS管理器——服务器证书
创建证书申请
填写信息如下:(通用名称不能写错)
保存到自己能找到的位置
步骤2:提交证书申请文件到CA服务器
申请证书——高级证书申请——使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请,或使用 base64 编码的 PKCS #7 文件续订证书申请。
把C:\证书\certsrv.txt里面的内容复制粘贴到保存的申请——证书模板选择WEB服务器
下载证书
步骤3:CA服务器颁发证书
(在server01上颁发证书,因为我们的环境是域环境,sever01既做域又做CA,所以server02申请的证书是直接颁发的)
步骤4:WEB服务器安装证书
打开IIS管理器——完成证书的申请
导入从CA上下载的证书
步骤5:配置HTTPS访问
点击sina——右侧绑定
添加,配置方法如下
验证:在server01上访问
这时我们既能访问http协议又能访问https协议
示例:只允许https访问,不允许http访问
在server02上:打开IIS管理器——网站——sina——SSL设置——要求SSL画勾——右侧启用
在server01上访问
实例:WEB服务器端生成证书申请文件
(server03上工作组状态,)
1:工作组计算机访问:
l浏览器上输入server01的IP地址/certsrv,
下载CA证书、证书链或CRL
下载CA证书
把证书另存为自己能找到的地方
2:工作组计算机信任CA
打开控制台
点击文件——添加或删除管理单元——证书——添加——计算机账户
添加证书后,点击证书——受信任的根证书颁发机构——证书——右侧空白位置,点击鼠标右键——所有任务——导入
选择下载证书的位置
下一步
完成
之后受信任的根证书颁发机构上就有我们导入的证书了
原文地址:http://studyqaz.blog.51cto.com/9992813/1655248
