基于数字证书安全Web的配置V1.3.doc

1 基于数字证书安全 web 的配置 v1.3 目 录 1.引言引言 3 2. iis web 服务器配置步骤服务器配置步骤.3 2.1 安装 iis web服务器3 2.2 添加证书管理单元.3 2.3 国调根证书和网省调根证书的导入.7 2.4 安装 web服务器证书10 2.5 配置 iis .11 3. 厂站端的配置厂站端的配置 14 4. apache web 服务管理器的配置服务管理器的配置.15 5. 常见问题和解决方法常见问题和解决方法17 1. 我插入 usbkey，远程访问我的 web 服务器，为什么在连接后，跳出的提示选择证书对话框中看 不到我的 key 内的证书？.17 3.我在电厂客户端为什么访问不了调度侧 web，为什么没有提示我输入 pin 码的对话框出现？.20 4 为什么我不能访问 web,并提示 401.1 401.2 401.3 等错误？.21 5.为什么我修改了我的 iis 配置，还是访问不了我的 web server 呢？27 6. 如何让我的 iis 支持多种访问目录和页面，如何同时支持 http 和 https 呢？27 2 1.引言引言 为了保护敏感数据在传送过程中的安全，可以采用 ssl（security socket layer）加密机制，在浏览器（如 internet explorer、netscape navigator）和 web 服务器之间构造安全通道来进行数据传输。https 协议内置于其浏览器中， https 协议使用 ssl 在发送方把原始数据进行加密，然后在接受方进行解密， 加密和解密需要发送方和接受方通过交换共知的密钥来实现，而交换密钥之前 双方身份的认证成为安全的焦点。数字证书的使用允许 ssl 提供身份认证功能 客户端认证其所请求连接的服务器身份，服务器认证请求连接的客户端身 份。 2. iis web 服务器配置步骤服务器配置步骤 2.1 安装安装 iis web 服务器服务器 internet 信息服务 (iis) 是 windows 的组件，此组件可以很容易将信息 和业务应用程序发到 web, iis 是流行的 web 服务器之一。要安装 iis，首先插 入 win2000 光盘，选择添加/删除 windows 组件，选择 internet 信息服务组件， 就可顺利安装 iis web 服务器。 2.2 添加证书管理单元添加证书管理单元 1.点击“开始”“运行”，在对话框中输入“mmc”，启动控制台。 3 下面是启动后的新控制台 2.选择菜单“控制台” “添加/删除管理单元”，打开“添加/删除管理单元”对话 框 4 3.选择“独立”页，点击“添加”按钮，打开“添加独立管理单元”窗口 4.选择选择“internet 信息服务信息服务”，点击，点击“添加添加”按钮按钮 5 5.选择“证书”，点击“添加”按钮，在“证书管理单元”中选择“计算机帐户计算机帐户”，点击 “完成”按钮 6.点击“关闭”按钮，关闭“添加独立管理单元”窗口 7.点击“确定”按钮，关闭“添加/删除管理单元”窗口 8.点击控制台上的“保存”按钮，保存为“证书管理控制台.msc”. 此时，控制台的界面如图 1 6 2.3 国调根证书和网省调根证书的导入国调根证书和网省调根证书的导入 1.国调根证书导入 打开建立的 mmc 控制台，鼠标右击“受信任的根证书颁发机构” ，选择 “所有任务”的导入， 7 点击“下一步” ，导入文件（浏览国调根证书文件，文件类型为 x.509 证书 （*.cer; *.crt） ）, 然后点击“下一步” ； 8 注意一定要点击浏览按钮，手动来选择导入证书注意一定要点击浏览按钮，手动来选择导入证书 在证书存储对话框中，选择“将所有的证书放入下列存储区（p）, 证书存 储: 点击浏览，选择证书存储，一定要选中一定要选中“显示物理存储区（显示物理存储区（s） ”复选框复选框， 点击 “受信任的根证书颁发机构” ，一定要选择一定要选择“本地计算机本地计算机” ，然后“确定” 9 ，然后点击“下一步”即可完成导入。= 2.中级根证书（即国调颁发给你们的证书）的导入步骤与国调根证书导入相似。 打开建立的 mmc 控制台，鼠标右击“中级证书颁发机构” ，选择“所有任 务” 的导入，点击“下一步” ，导入文件（浏览国调颁发给你们的证书文件， 文件类型为 x.509 证书（*.cer; *.crt） ）, 然后点击“下一步” ；在证书存储对话 10 框中，选择“将所有的证书放入下列存储区（p）, 证书存储: 点击浏览，选择 证书存储，一定要选中一定要选中“显示物理存储区（显示物理存储区（s） ”复选框复选框，点击 “中级证书颁发 机构” ，一定要选择一定要选择“本地计算机本地计算机” ，然后“确定” ，然后点击“下一步”即可完 成导入。 2.4 安装安装 web 服务器证书服务器证书 打开刚才建立的证书管理控制台，在“控制台”窗口中选择“证书”，在“个人” 项目上单击鼠标右键，选择选择“所有任务所有任务”“导入导入”，打开，打开“证书导入向导证书导入向导” 对对 话框，根据对话框提示输入话框，根据对话框提示输入 pkcs12 文件的路径，以及私钥保护密码（生成时文件的路径，以及私钥保护密码（生成时 有，用文件方式发行）有，用文件方式发行） ，完成服务器证书导入。，完成服务器证书导入。 注意：在控制台需要刷新，才能看到您导入的证书，按注意：在控制台需要刷新，才能看到您导入的证书，按 f5 键或者按照下键或者按照下 图操作图操作刷新来查看您当前证书刷新来查看您当前证书 11 2.5 配置配置 iis 启动 “internet 信息服务”（机器名）默认 web 站点，单击鼠标右键， 选择菜单项“属性”。打开“默认 web 站点属性”对话框，选择“目录安全性”页， 单击“服务器证书(s)”按钮（见图 2） 。 图 2 默认 web 站点属性 进入“web 服务器证书向导”，在“服务器证书”对话框中选择“分配一个已存 在的证书”（见图 3） ，单击“下一步”按钮； 图 3 “服务器证书”对话框 12 在“可用的证书”对话框（见图 4）中选择要安装的服务器证书（本例中是本例中是 44,和前面的过程类似，和导入国调根证书相同的方法，和前面的过程类似，和导入国调根证书相同的方法， 用控制台用控制台证书证书个人个人所有任务所有任务导入导入） ，完成 web 服务器证书 的安装，回到“默认 web 站点 属性”对话框（见图 5） 。 图 4 “可用的证书”对话框 图 5 “默认 web 服务器 属性”对话框 13 在“默认 web 服务器 属性”对话框的“目录安全性”页上单击“编辑”按钮，进 入“安全通信”对话框（见图 6） 图 6 安全通信 选择“申请安全通道（ssl） ”、 “申请 128 位加密” ， “申请客户证书”，单击 “确定”按钮。返回“默认的 web 服务器 属性”对话框，单击“确定”按钮，完成 iis 的配置。 需要注意的一点是，在您的需要注意的一点是，在您的 iis 配置中，需要让外界访问配置中，需要让外界访问 的虚拟目录，它的设置必须在目录安全性的虚拟目录，它的设置必须在目录安全性 匿名访问和验证匿名访问和验证 控制控制 编辑编辑 需要选中匿名访问的选择，否则不能访问。需要选中匿名访问的选择，否则不能访问。 14 3. 厂站端的配置厂站端的配置 1.国调根证书导入 打开建立的 mmc 控制台，鼠标右击“受信任的根证书颁发机构” ，选择 “所有任务”的导入，点击“下一步” ，导入文件（浏览国调根证书文件，文件 类型为 x.509 证书（*.cer; *.crt） ）, 然后点击“下一步” ；在证书存储对话框中， 选择“将所有的证书放入下列存储区（p）, 证书存储: 点击浏览，选择证书存 储，一定要选中“显示物理存储区（s） ”复选框，点击 “受信任的根证书颁发 机构” ，一定要选择“本地计算机” ，然后“确定” ，然后点击“下一步”即可完 成导入。 2.中级根证书（即网省调根证书）的导入步骤与国调根证书导入相似。 打开建立的 mmc 控制台，鼠标右击“中级证书颁发机构” ，选择“所有任 务”的导入，点击“下一步” ，导入文件（浏览网省调根证书的证书文件，文件 类型为 x.509 证书（*.cer; *.crt） ）, 然后点击“下一步” ；在证书存储对话框中， 选择“将所有的证书放入下列存储区（p）, 证书存储: 点击浏览，选择证书存 15 储，一定要选中“显示物理存储区（s） ”复选框，点击 “中级证书颁发机构” ， 一定要选择“本地计算机” ，然后“确定” ，然后点击“下一步”即可完成导入。 3.客户端要装好 usb key 的驱动后， usb key 中的人员证书在插入 usb 后， 系统会自动识别，并将人员证书导入浏览器中。 4.浏览器版本要是 ie 6.0 以上。支持的加密密钥长度 128 位。 （您现在的版本 可以通过 打开 ie 的 帮助 关于得到 ） 。 5.键入网址时，要记得“https：/” ，而不是“http ：/” 。 4. apache web 服务管理器的配置服务管理器的配置 因为 apache 本身不带 ssl 协议模块, 所以要请负责 apache 的应用厂商将 apache 配置 ssl 协议模块,使之支持 ssl. 还要使 apache 支持 openssl,配置 openssl 支持模块. 这两项工作需由 web 服务器提供厂商支持. 1.在在 apache 的的 http.d 文件中填加定义字段，打开默认的文件中填加定义字段，打开默认的 443 端口端口(网页原来的端口为网页原来的端口为 80) .这样可以同时监听普通网页的 80 端口和加密通道的 443 端口 。 例如: listen 80 listen 443 16 2. 配置好系统根证书和系统证书配置好系统根证书和系统证书 例如: documentroot “c:/apache/htdocs“ /系统文挡目录 servername /服务器名称 serveradmin youyour.address /管理员邮件地址 errorlog logs/error_log transferlog logs/access_log sslengine on sslciphersuite all:!adh:!export56:rc4+rsa:+high:+medium:+low:+sslv2:+exp:+enull sslcertificatefile conf/ssl/_cert.crt /本系统 web 服务器证书 sslcertificatekeyfile conf/ssl/_key.pem /本系统 web 服务器的私钥文件 # enable client certificate requirement sslverifyclient require /ssl 验证需要客户端证书 sslverifydepth 1 /ssl 证书认证的深度 sslcacertificatepath conf/ssl /存放签发本系统 web 服务器的根证书文件的目录 sslcacertificatefile conf/ssl/rootcert.crt /存放签发本系统 web 服务器的根证书的文件 17 5. 常见问题和解决方法常见问题和解决方法 1. 我插入我插入 usbkey，远程访问我的，远程访问我的 web 服务器，为什么在连接后，服务器，为什么在连接后， 跳出的提示选择证书对话框中看不到我的跳出的提示选择证书对话框中看不到我的 key 内的证书？内的证书？ 这种情况有可能是客户机或者 web 服务器端没有安装国调根证书和中级 ca 证书，注意，两端都要导入两级证书注意，两端都要导入两级证书，解决方法如下： 双击国调根证书文件，如下图所示， ， 点击安装证书按钮, 则 18 点击下一步，则选择 “将所有证书放入下列存储区” ， 并点击浏览按钮，则出现下面，选择“显示物理存储区”-受信任的根证书 颁发机 构- local computer, 19 接着，完成国调根证书的配置，与此过程类似，完成中级 ca 证书的配置。 ，如您是 浙江省调 ca，则接着导入浙江省调的 ca 证书，重复强调一点的是，电厂和重复强调一点的是，电厂和 web 服服 务器端都要导入根证书和中级务器端都要导入根证书和中级 ca 证书，缺一不可！证书，缺一不可！ 2我怎么测试我的我怎么测试我的 iis 服务配置是否正确？可以在本机上测试我的服务配置是否正确？可以在本机上测试我的 https 的的 web 服务器吗？怎么测试？服务器吗？怎么测试？ 可以的，最简单的方法是安装您的 web server 证书到您的 ie 中，这 里的安装不同于前面的控制台方式的安装，必须，双击证书手动安 装证书到 ie 中。 20 如上图所示，填写您的私钥保护口令，这在我们发行如上图所示，填写您的私钥保护口令，这在我们发行 p12 文件时是有指定的文文件时是有指定的文 件存放的，然后，按照默认配置一直安装证书至完成。件存放的，然后，按照默认配置一直安装证书至完成。 如我们在 ie 中输入 https:/.,则会提示发现一个本机的证书， 点击确认后则可以接着访问了，由此，可以测试本机 iis 配置的正确性。 3.我在电厂客户端为什么访问不了调度侧我在电厂客户端为什么访问不了调度侧 web，为什么没有提示我，为什么没有提示我 输入输入 pin 码的对话框出现？码的对话框出现？ 请检查您的厂站工具软件，一定要装最新的国调给的 usbkey 的软件，装 21 之前将您的旧工具软件卸载再装。 请注意南瑞网站上 /narica/下的链接 电厂专用工具-国家电力调度证书系统客户端电子钥匙用户工具.exe，这是最新工具 4 为什么我不能访问为什么我不能访问 web,并提示并提示 401.1 401.2 401.3 等错误？等错误？ “iis 配置 401 错误”完美解决方案（54powerman） 1、错误号 401.1 症状：http 错误 401.1 - 未经授权：访问由于凭据无效被拒绝。 分析： 由于用户匿名访问使用的账号(默认是 iusr_机器名)被禁用，或者没有权限访 问计算机，将造成用户无法访问。 解决方案： （1）查看 iis 管理器中站点安全设置的匿名帐户是否被禁用，如果是，请尝试 用以下办法启用： 控制面板-管理工具-计算机管理-本地用户和组，将iusriusr_ _机器名账号机器名账号启 用。如果还没有解决，请继续下一步。 选择 “控制面板” 再选择”管理工具” 22 再选择”计算机管理” 察看当前iusriusr_ _机器名账号是否启用机器名账号是否启用 （2）查看本地安全策略中，iis 管理器中站点的默认匿名访问帐号或者其所属 的组是否有通过网络访问服务器的权限，如果没有尝试用以下步骤赋予权限： 23 开始-程序-管理工具-本地安全策略-安全策略-本地策略-用户权限分配， 双击“从网络访问此计算机”，添加 iis 默认用户或者其所属的组。下面是下面是 已经添加好用户的情形：已经添加好用户的情形： 24 注意：一般自定义 iis 默认匿名访问帐号都属于组，为了安全，没有特殊需要， 请遵循此规则。 2、错误号 401.2 症状：http 错误 401.2 - 未经授权：访问由于服务器配置被拒绝。 原因：关闭了匿名身份验证 解决方案： 运行，控制面板-计算机管理-internet 信息服务- 如下，catestcatest 是我们建立的一个虚拟目录，建立虚拟目录的方法见是我们建立的一个虚拟目录，建立虚拟目录的方法见 下图下图 25 打开您所建立的站点，右键属性-目录安全性-匿名访问和身份验证控制-点 编辑， 26 一般匿名方式访问，一般匿名方式访问，windowswindows 会为所有外网客户主机设立一个匿名会为所有外网客户主机设立一个匿名 帐号，请不要修改此帐号，一切按照默认配置。帐号，请不要修改此帐号，一切按照默认配置。 3、错误号：401.3 症状：http 错误 401.3 - 未经授权：访问由于 acl 对所请求资源的设置被拒 绝。 原因：iis 匿名用户一般属于 guests 组，而我们一般把存放网站的硬盘的权限 只分配给 administrators 组，这时候按照继承原则，网站文件夹也只有 administrators 组的成员才能访问，导致 iis 匿名用户访问该文件的 ntfs 权 限不足，从而导致页面无