《NCIE培培你》-----------------------------商宏图投稿2005.1.6◆每周一讲在Windows下利用证书服务实现与WEB服务的安全通讯(NCSE二级内容)□主讲:NCIE考试管理中心课程策划、教学督导商宏图(shanght@ncie.gov.cn)在当今这样一个信息时代,互联网已经深入每一个人的生活。可以说每天的学习、工作、生活和娱乐都离不开Internet。互联网给人们带来了很多的好处,使得每一个人都可以随心所欲的访问外面的世界。可是反过来讲互联网也带来了很大的危险性,那就是它可以让任何一个外界的用户能够看到你的计算机。所以当访问一个Web站点时,人们经常关心的一个问题就是如何能够安全的访问一个Web站点。本文所要讨论的内容就是如何在Windows下利用证书服务实现对WEB站点的安全访问。当使用http协议访问Web站点时,客户端和Web服务器之间的数据是以明文方式进行传输的。要想实现用户访问Web站点的安全性,可以对客户端和Web服务器的数据传输进行加密,利用Windows2000所提供的证书服务可以实现数据加密。有关证书服务和加密的基础知识请读者参阅NCNE培培你第90期的每周一讲《在Windows2000下利用证书服务实现邮件加密和签名—商宏图》一文,在此不再缀述。下面是如何利用证书服务实现Web站点的安全访问的过程。z安装证书服务1.首先在网络中的一台Windows2000Server计算机上安装证书服务。在“控制面板”中选择“添加/删除程序”Æ“添加/删除Windows组件”,在“Windows组件向导”对话框中选择“证书服务”,如图1-1所示。图1-1Windows组件向导对话框2.选中“证书服务”后单击“下一步”按钮,出现如图1-2所示对话框,提示安装证书服务后计算机不能重命名,不能加入域或从域中删除。图1-2Windows提示对话框3.单击“是”按钮,出现如图1-3所示对话框,在此选择CA的类型。在Windows2000中CA可以分为两大类,一种是企业级CA,另一种是独立的CA。其中企业级CA要依赖活动目录,可以提供更高的功能。独立的CA不依赖活动目录。图1-3选择证书颁发类型4.此处选择安装“独立根CA”,单击“下一步”按钮出现如图1-4所示“CA标识信息”对话框,在此输入标识该CA的信息,如图1-4所示。图1-4输入CA标识信息5.单击“下一步”按钮,出现如图1-5所示“数据存储位置”对话框,在此选择证书数据库和证书数据库日志文件的物理位置。图1-5指定证书数据库和日志位置6.单击“下一步”按钮,出现如图1-6所示对话框,提示如果要安装证书服务,必须停止Internet信息服务。图1-6Windows提示对话框7.单击“确定”按钮,开始执行安装。安装过程中需要提供Windows2000Server安装源文件,如图1-15所示。图1-7提示提供Windows2000Server安装源文件8.单击“确定”按钮完成证书服务安装。z创建WEB站点1.在Web服务器上打开Internet信息服务控制台,创建Web站点“NCNE培培你”(创建Web站点过程略)。2.右键单击此Web站点,选择“属性”,在站点属性页中选择“Web站点”标签,如图1-8所示。图1-8Web站点属性页Web站点标签3.在“Web站点标识”栏中单击“高级”按钮,出现如图1-9所示对话框。图1-9高级多Web站点配置选项卡4.单击“添加”按钮,出现“高级Web站点标识”对话框,在此指定此站点的IP地址、TCP端口和主机头,如图1-10所示.。图1-10高级Web站点标识选项卡5.连续单击“确定”按钮完成设置,停止并重新启动此Web站点。6.主机头的解析需要DNS服务器来完成,因此要在DNS服务器上创建一个区域“peipeini.com”,并为此站点创建主机记录“”,如图1-11所示。图1-11DNS控制台下为Web站点设置主机记录7.在客户端计算机上利用IE浏览器访问此Web站点(注意设置DNS选项),如图1-12所示。访问成功说明Web服务器配置正确,此时客户端和Web服务器的通讯是明文的图1-12利用IE浏览器访问Web站点z为Web站点安装证书为Web服务器安装证书包括几个阶段,首先要在Web服务器上提交证书申请,然后在证书服务器上颁发证书,最后在Web服务器上安装证书。z在Web服务器上提交证书申请1.在Web服务器上打开Web站点属性页,选择“目录安全性”标签,如图1-13所示。图1-13Web站点属性页“目录安全性”标签2.在“安全通信”栏中单击“服务器证书”,出现如图1-14所示Web服务器证书向导。图1-14Web服务器证书向导3.单击“下一步”按钮,出现如图1-15所示“服务器证书”对话框。图1-15IIS证书向导--服务器证书4.选择“创建一个新证书”选项,单击“下一步”按钮,出现如图1-16所示对话框。图1-16IIS证书向导--稍后或立即请求5.选择“现在准备请求,但稍候发送”,单击“下一步”按钮,出现如图1-17所示对话框,在此指定证书的名称和位长。图1-17IIS证书向导—命名和安全向导6.单击“下一步”按钮,出现如图1-18所示对话框,在此为该证书指定组织和组织部门信息。图1-18IIS证书向导--组织信息7.单击“下一步”按钮,出现如图1-19所示对话框,在此指定站点的公用名称信息。图1-19IIS证书向导—站点的公用信息8.单击“下一步”按钮,出现如图1-20所示对话框,在此指定相关的地理信息。图1-20IIS证书向导—地理信息9.单击“下一步”按钮,出现如图1-21所示对话框,在此指定该证书请求的文件名。图1-21IIS证书向导—证书请求文件名10.单击“下一步”按钮,出现如图1-22所示对话框,在此可以查看请求文件的摘要信息。图1-22IIS证书向导—请求文件摘要11.单击“下一步”按钮,出现如图1-23所示对话框。图1-23IIS证书向导—完成Web服务器证书向导12.单击“完成”按钮,完成证书申请。在资源管理器中可以看到生成了一个文件certreq.txt,利用记事本打开该文件可以查看该文件的内容,如图1-24所示。图1-24利用记事本查看证书请求文件13.接下来把此证书文件提交给证书服务器CA。在Web服务器上在IE浏览器中输入“”访问证书服务器,其中192.168.1.200是证书服务器的IP地址。如图1-25所示。图1-25利用IE浏览器从CA申请证书14.选择“申请证书”选项,单击“下一步”按钮,出现如图1-26所示对话框。图1-26选择申请类型15.选择“高级申请”选项,单击“下一步”按钮,出现如图1-27所示对话框。图1-27高级证书申请16.选择利用PKCS#10文件提交证书申请,单击“下一步”按钮,出现如图1-28所示对话框。图1-28提交一个保存的申请17.在保存的申请中把上面生成的文件certreq.txt的内容复制到这里,单击“提交”按钮,出现如图1-29所示画面,显示证书申请已经提交。图1-29证书挂起z在证书服务器上颁发证书1.在证书服务器上依次打开“开始”Æ“程序”Æ“管理工具”Æ“证书颁发机构”,打开证书颁发机构控制台。单击“待定申请”,在右边的窗口中可以看到刚才提交的证书申请。右键单击该证书申请选择“所有任务”Æ“颁发”,颁发该证书,如图1-30所示。图1-30在CA中颁发证书z在Web服务器上下载证书1.在Web服务器上打开IE浏览器,输入“”,访问证书服务器,如图1-31所示。图1-31检查挂起的证书2.选择“检查挂起的证书”选项,单击“下一步”按钮,出现如图1-32所示画面。图1-32检查挂起的证书申请3.单击“下一步”按钮,出现如图1-33所示画面,显示证书已经发布。图1-33证书已发布4.单击“下载CA证书”,出现如图1-34所示画面。图1-34下载证书5.单击“保存”按钮,下载证书并保存成文件certnew.cer。z在Web服务器上安装证书1.在Web服务器上打开Web站点属性页,选择“目录安全性”标签,如图1-35所示。图1-35站点属性页“目录安全性”标签2.在“安全通信”栏中单击“服务器证书”按钮,出现如图1-36所示对话框。图1-36Web服务器证书向导3.单击“下一步”按钮,出现如图1-37所示对话框,选择“处理挂起的请求并安装证书”选项。图1-37IIS证书向导—挂起的证书请求4.单击“下一步”按钮,出现如图1-38所示对话框,单击“浏览”按钮指定证书文件的路径和文件名。图1-38IIS证书向导—处理挂起的请求5.单击“下一步”按钮,出现如图1-39所示对话框。图1-39IIS证书向导—证书摘要6.单击“下一步”按钮,出现如图1-40所示对话框。图1-40IIS证书向导—完成Web服务器证书向导7.单击“完成”按钮安装证书。z设置Web服务器相关选项1.安装证书后在Web服务器上打开Web站点属性页,选择“目录安全性”标签,可以看到“安全通信”栏中“查看证书”和“编辑”按钮由灰色变为亮度显示。单击“编辑”按钮,弹出“安全通信”对话框,选中“申请安全通道(SSL)”选项,在“客户证书”栏中选择“接收客户证书”选项,如图1-41所示。图1-41设置安全通道2.单击“确定”按钮完成设置。返回站点属性页选择“Web站点”标签,可以看到“SSL端口”由灰色变为亮色,设置SSL端口为443,如图1-42所示。.图1-42查看Web服务器的SSL端口3.单击“确定”按钮完成设置,停止并重新启动此Web站点。z在客户端访问Web站点1.此时在客户端计算机利用IE浏览器访问此Web站点,当输入时提示“该网页必须通过安全频道查看”,说明此时与Web站点的访问需要进行加密。如图1-43所示。图1-43利用http协议浏览安全站点2.在客户端的IE中输入站点,出现如图1-44所示提示信息。图1-44利用https协议浏览安全站点3.单击“是”按钮,可以访问Web站点的内容,如图1-45所示。图1-45利用https协议浏览安全站点以上是利用证书来实现Web站点安全访问的过程。为了验证加密的结果,有兴趣的读者可以利用sniffer等工具对网络通过进行监视,可以发现在没有使用证书前与Web服务器的通讯是明文的,而使用证书之后这个通讯是经过加密的。