Windows server 2003 SSL 配置.doc

Windows server 2003 SSL 配置SSL(Security Socket Layer,安全套接层)是一种在两台主机之间提供安全通道的协议,其目的是通过加密保护传输的数据并对通信双方进行身份验证,保证两台主机之间的通信安全.SSL最早由网景公司开发的,在目前应用中,广泛采用标准SSLv3.下面先来部署HTTPS有关具体的部署可看之前的文章IIS.这里是针对部署的411网站,点其属性.点服务器证书,开始为网站申请证书.下一步点新建证书.下一步.输入证书名称.设置网站的公用名称设置网站所在的地理位置信息指定证书请求的文件名称点下一步，证书请求文件创建完成然后按照之前CA部署的文章进行使用生成证书请求文件向CA提供证书申请,然后在CA上颁发证书.下面来看获取和安装网站证书获取的步骤也参看CA部署文章这个是获得的网站证书.然后打开网站属性对话框目录安全性选项卡,单击服务器证书.现在来处理挂起的请求并安装证书在此对话框中指定从CA获得的网站证书的文件名称.在此对话框中指定HTTPS的端口,标准端口为443显示了即将安装的网站证书的基本信息.这样申请的网站证书安装就完成了.点查看证书这里有关证书的详细信息下面来看通过HTTPS访问网站登录WEB客户端,并从CA获取CA证书并点击安装下一步这里默认便可以点完成然后单击开始-运行确定在证书管理控制台能够看到安装的CA证书.单击开始-控制面板-INTERNET选项,打开INTERNET属性对话框,单击内容标签.单击证书也能够看到安装的CA证书下面来配置网站只接受HTTPS访问在WEB服务器上点安全通信中的编辑,选中要求安全通道并忽略客户端证书.然后在客户端打开浏览器访问WEB服务器.可以看到要用HTTPS为通信协议的URL才能成功访问.配置HTTPS的加密强度并勾选要求128位加密访问成功配置HTTPS执行双向认证默认情况下,HTTPS单向认证的模式工作,即客户端通过网站证书来验证网站的身份,但网站并不验证客户端的身份,如果需要通过证书验证客户端身份,则可以要求试图访问网站的客户端必须提供证书才能进行访问,执行双向认证时,网站将只接受HTTPS访问选择要求客户端证书然后要向CA申请WEB浏览器证书.点WEB浏览器证书中间的过程就省略了,之前文章已介绍过然后点安装此证书在HTTPS执行双向认证的过程中,默认情况下,网站收到客户端提供的证书后会检查CRL以验证该证书是否被吊销,如果未能联系到CA或未能检查到CRL,因而无法确认客户端证书的吊销状态,则将拒绝该证书,可以配置指定网站在收到客户端证书后不检查CRL.certchechmode的默认值为0,即网站需检查CRL,将其值设置为1,则网站不再检查CRL.通过证书对访问网站的用户进行身份验证通过将客户端证书映射到WEB服务器上的WINDOWS用户帐户,可以建立证书与用户账户关联,基于这种关系,网站通过验证证书即可验证该证书使用者的用户身份,当用户使用客户端证书登录时,WEB服务器就会自动将用户与相应的WINDOWS用户账