配置https服务

2.2安装IIS及证书服务组件（1）Internet信息服务是WindowsServer2003提供Web站点信息发布、使用和管理等功能的组件。全新安装的WindowsServer2003及IIS6.0中，默认的应用程序操作模式为工作进程隔离模式。如果WindowsServer2003是从WindowsServer2000升级的，IIS6.0将以IIS5.0隔离模式运行。全新安装的WindowsServer2003，默认情况下IIS及证书服务组件均未安装。若要安装IIS及证书服务组件，则需事先准备好WindowsServer2003安装光盘，并以系统管理员身份登录WindowsServer2003。具体操作步骤如下。(1)选择【开始】|【控制面板】|【添加或删除程序】|【添加/删除Windows组件】命令，在弹出的【Windows组件向导】对话框中，选中【应用程序服务器】复选框，如图2-2所示。(2)单击【详细信息】按钮，如图2-3所示，在弹出的【应用程序服务器】对话框中，选中【Internet信息服务】复选框。图2-2【Windows组件向导】对话框图2-3【应用程序服务器】对话框(3)单击【详细信息】按钮，弹出如图2-4所示的【Internet信息服务(IIS)】对话框，选中【万维网服务】复选框。(4)单击【详细信息】按钮，在弹出的如图2-5所示的【万维网服务】对话框中，选中ActiveServerPages、【万维网服务】等复选框。说明：安全Web通信、VPN服务器中L2TP连接等需要用到独立证书服务器。安装标准CA服务器时，需要同时安装IIS及IIS中的ActiveServerPages服务组件。图2-4【Internet信息服务(IIS)】对话框图2-5【万维网服务】对话框(5)依次单击【确定】按钮，回到如图2-2所示的【Windows组件向导】对话框。拉动下拉滑块，找到【证书服务】选项。在如图2-6所示的界面中，选中【证书服务】复选框，单击【下一步】按钮，将弹出如图2-7所示的【Microsoft证书服务】对话框。图2-6【Windows组件】界面(6)单击【是】按钮，系统将要求选择CA服务器的类型。在如图2-8所示的界面中，选中【独立根CA】单选按钮。其中，【企业根CA】、【企业从属CA】单选按钮，需要在ActiveDirectory服务器中安装证书服务时才可供选择。(7)单击【下一步】按钮，在如图2-9所示的【CA识别信息】界面中，在【此CA的公用名称】文本框中输入如test.com的域名。CA有效期限等其他配置使用系统的默认值。（点击查看大图）图2-7【Microsoft证书服务】对话框12.2安装IIS及证书服务组件（2）图2-8【CA类型】界面（点击查看大图）图2-9【CA识别信息】界面(8)单击【下一步】按钮，系统将生成加密密钥并设置密钥保护。之后，系统要求输入证书数据库、数据库日志等配置信息，如图2-10所示。这些配置信息可以使用系统的默认值，或者是将其中的C:\更改为D:\等。(9)单击【下一步】按钮，系统将进行IIS及证书服务组件的配置，如图2-11所示。在服务组件安装过程中，可能会要求插入WindowsServer2003安装光盘，以复制i386目录中的相关文件。（点击查看大图）图2-10【证书数据库设置】界面（点击查看大图）图2-11【正在配置组件】界面若先前在如图2-5所示的【万维网服务】对话框中，未选中ActiveServerPages复选框，将弹出如图2-12所示的对话框，要求安装ActiveServerPages服务功能。（点击查看大图）图2-12【Microsoft证书服务】对话框2(10)单击【是】按钮，经过系统安装配置后，将弹出如图2-13所示的对话框，告知IIS及证书服务组件已成功安装。(11)选择【控制面板】|【管理工具】|【服务】命令，分别选择CertificateServices、IISAdminService，并查看其属性，如图2-14所示。系统完成IIS及证书服务组件安装后，启动运行了这两项服务功能。图2-13【完成Windows组件向导】界面（点击查看大图）图2-14【服务】界面2.3创建普通的Web站点以系统管理员身份登录WindowsServer2003，选择【开始】|【程序】|【管理工具】|【计算机管理】命令，或右击【我的电脑】并从弹出的快捷菜单中选择【管理】命令，打开【计算机管理】窗口；展开管理目录树，在【服务和应用程序】下选择【Internet信息服务(IIS)管理器】。选择【Web服务扩展】，接着在其右侧窗格中选中ActiveServerPages，单击【允许】按钮，如图2-15所示。右击【默认网站(停止)】选项，在弹出的快捷菜单中选择【属性】命令，如图2-16所示。在打开的【默认网站(停止)属性】对话框中，切换到【网站】选项卡。由图2-17所示【网站】选项卡的配置项目可知，使用该选项卡可以设置某个网站的名称、连接限制，以及启用日志记录并配置站点的日志记录格式等内容。图2-15【Internet信息服务(IIS)管理器】管理界面图2-16【默认网站(停止)】右键菜单在【网站标识】选项组中的【描述】文本框中可输入所配置网站容易识记的名称。例如，本案例可输入类似my_CA_Web站点等描述性语言。该名称将出现在IIS管理器的控制台树中。可从【IP地址】下拉列表框中指定一个IP地址或输入用于访问该站点的IP地址。对于本案例可选择其下拉列表中的10.12.1.109地址。如果没有分配指定的IP地址，即选中【全部未分配】选项，那么此站点将响应分配给该服务器但没有分配给其他站点的所有IP地址，并使它成为默认网站的IP地址。【TCP端口】文本框是必填项目，用于指派运行Web服务的TCP端口号(默认值是80)。如果将该端口号更改成其他的TCP端口号(例如8080)，则需预先通知客户端以便其请求时输入相应的URL(例如)。【SSL端口】文本框是可选项目，用于指派与该网站标识相关联的SSL端口。默认SSL端口号是443。只有使用SSL加密时才需要SSL端口号。也就是说，如果没有为站点启用SSL加密，则【SSL端口】文本框无须输入数值。单击【高级】按钮，可以进一步配置用来访问站点的IP地址、TCP端口号以及主机头值。【连接】选项组用于以秒为单位设置服务器断开非活动用户连接之前的时间长短，从而确保在HTTP协议无法关闭某个连接时，关闭所有的连接。通常，默认选中【保持HTTP连接】复选框，从而满足客户端的浏览器要求服务器在多个请求中保持连接打开的要求。如果没有它，浏览器将不得不为包含多个元素(如图片、文字等)的页面进行大量的连接请求，增加额外的服务器活动和资源，从而降低服务器的响应效率。选中【启用日志记录】复选框可以启用网站的日志记录功能，记录关于用户活动的细节并按所选格式创建日志。通常，活动日志格式有MicrosoftIIS日志文件格式(一种固定的ASCII格式)、NCSA共用日志文件格式(一种固定的ASCII格式)、ODBC日志记录(一种记录到数据库的固定格式)、W3C扩展日志文件格式(一种可自定义的ASCII格式，默认选择此格式)等。若要使用进程记账，则需选择W3C扩展日志文件格式。在如图2-18所示的【性能】选项卡中，通过配置给定站点的网络带宽，可以更好地控制该站点允许的流量。【最大带宽】用于配置给定站点可以使用的网络带宽大小，单位为KB/s。当使用IIS管理器将站点配置成使用带宽限制时，系统将自动安装数据包计划程序，并且IIS自动将带宽限制设置成最小值1KB/s。选中【连接限制为】单选按钮可以设置指定网站的特定数目的并发连接。将站点限定在特定的连接数可以保持服务器性能的稳定。图2-17【网站】选项卡图2-18【性能】选项卡在如图2-19所示的【主目录】选项卡中，在【本地路径】文本框中可输入存放网站文件的目录路径。例如本案例中，输入E:\my_CAweb。也可以通过单击【浏览】按钮获得这一目录路径。在【文档】选项卡中，单击【添加】按钮，在【添加内容页】对话框中输入index.asp。单击【确定】按钮后，选中index.asp，并通过多次单击【上移】按钮使该文档置顶，如图2-20所示。单击【确定】按钮后，右击【默认网站】选项，在弹出的快捷菜单中选择【启动】命令。然后在如图2-21所示【默认网站】选项右侧窗格中，右击index.asp文档，在弹出的快捷菜单中选择【浏览】命令，如图2-21所示。系统将自动打开IE浏览器，以这一URL显示出事先编辑好的Web页，如图2-22所示。图2-19【主目录】选项卡（点击查看大图）图2-20【文档】选项卡（点击查看大图）图2-21【浏览】命令操作示意图（点击查看大图）图2-22Web页示意图2.4Web站点证书申请（1）在IIS管理器窗口中，右击【默认网站】选项，在弹出的快捷菜单中选择【属性】命令。切换到【目录安全性】选项卡，如图2-23所示。在【安全通信】选项组中，单击【服务器证书】按钮。在【欢迎使用Web服务器证书向导】对话框中，单击【下一步】按钮。在如图2-24所示的【服务器证书】界面中，选中【新建证书】单选按钮。如果用户事先已为当前服务器申请了证书，则可选中【分配现有证书】或【从密钥管理器备份文件导入证书】单选按钮。依次单击【下一步】按钮，在【名称和安全性设置】界面中，输入一个便于记忆的新建证书的名称(如CA_test)，并选择相应的密钥长度(系统默认值为1024位)，如图2-25所示。单击【下一步】按钮，在如图2-26所示的【单位信息】界面中，输入相应的单位和部门名称。（点击查看大图）图2-23【目录安全性】选项卡（点击查看大图）图2-24【服务器证书】界面（点击查看大图）图2-25【名称和安全性设置】界面（点击查看大图）图2-26【单位信息】界面单击【下一步】按钮，系统要求在如图2-27所示【站点公用名称】界面中输入Web站点的公用名称(如该网站的DNS域名，即如果URL是，则公用名应为)。注意：基于安全方面的考虑，通常在【公用名称】文本框中使用域名申请证书，而不能使用IP地址申请。单击【下一步】按钮，系统将要求输入CA证书的国家、省/自治区、市/县等地理信息。单击【下一步】按钮，在如图2-28所示的【证书请求文件名】界面中，输入所申请的证书文件名及其存储路径。该文件名及其存储路径必须牢记，后面在向CA机构提交证书文件内容时需要使用到该文件。单击【下一步】按钮，系统将给出所申请证书的摘要信息，如图2-29所示。确认前面的操作无误后，单击【下一步】按钮，将弹出如图2-30所示的对话框，告知Web服务器证书已成功申请。（点击查看大图）图2-27【站点公用名称】界面（点击查看大图）图2-28【证书请求文件名】界面（点击查看大图）图2-29【请求文件摘要】界面（点击查看大图）图2-30【完成Web服务器证书向导】界面2.4Web站点证书申请（2）进入如图2-28所示【证书请求文件名】界面中，在所申请的证书文件的存储目录中，打开certreq.txt文件。全选该文件内容，选择【编辑】|【复制】命令或按Ctrl+C快捷键，如图2-31所示。在如图2-32所示的【默认网站】的CertSrv目录中，右击default.asp文档，从弹出的快捷菜单中选择【浏览】命令，打开如图2-33所示的证书申请【欢迎】页面。在IE浏览器地址栏中输入，也可打开图2-33所示的证书申请【欢迎】页面。其中，10.12.1.109是安装了证书服务器的计算机IP地址。（点击查看大图）图2-31复制certreq.txt文件内容（点击查看大图）图2-32CertSrv目录单击【申请一个证书】链接，进入如图2-34所示的【申请一个证书】页面