部署PKI與證書服務給網頁加“s”

          IIS部署PKI與證書服務

一、什么是PKI

  PKI（公鑰基礎設施），是通過使用公鑰技術和數字簽名來確保信息安全，并負責驗證數字證書持有者身份的一種技術。

本次實驗的目的是使用PKI協議中的SSL為了給網頁地址“http”后邊加“S”。瀏覽網頁的時候更安全，不必擔心其發送的信息被非法的第三方截獲。

二、證書頒發機構

  證書頒發機構也稱為數字證書認證中心（Certficate  Authority，CA），是PKI應用中權威的、可信任的、公正的第三方機構，也是電子交易中信賴的基礎。CA的主要功能是負責生產、分配并管理所有參與網上交易的實體所需的身份認證數字證書。

三、實驗要求

隨便搭建一個網頁，使用HTTPS（安全超文本傳輸協議）建立安全連接。

四、實驗拓撲圖

五、實驗步驟

1、配置完相應的IP地址之后首先來配置證書頒發機構CA（實際工作中CA是不可能自己搭建的，是要像有權威的CA申請證書。）

1.1）、添加服務器角色，選擇“Active Directory 證書服務”（這里做的是一臺獨立CA。如果做企業CA，需要AD服務）

1.2）、為WEB服務頒發證書需要勾上“證書頒發機構Web注冊”

1.3）、沒有域環境會默認裝成獨立CA。

1.4）、后邊全部選擇默認設置，完成安裝。（此時如果在CA服務器上沒有安裝過WEB服務，會默認安裝WEB服務。因為要使用網頁來申請證書。）

2、安裝并配置web服務器

2.1）、安裝WEB服務器，后邊的配置都選默認的。

2.2）、在C盤下創建一個網頁的根文件夾。

2.3）、在文件夾里新建一個記事本，隨便打點字保存。把文件名字改為index.html

2.4）、打開IIS服務器。

2.5）、右擊網站，點擊添加網站。名稱隨便，物理路徑指向剛才在C盤創建的那個文件夾

2.6）、先把默認的網站停止，把新創建的網站啟動。

2.7）、用客戶機登錄一下看能否訪問。

3、網站搭建完畢。開始給網頁加S吧。

3.1）、打開web服務器IIS管理器，雙擊證書服務。

3.2）、點擊右側窗格的創建證書申請。

3.3）、這里由于不是真的網頁，所以沒有真實的信息就隨便填寫

3.4）、加密服務選擇默認的即可。

3.5）、為證書申請一個文件名，可以選擇桌面，隨便起一個名字，以“.txt”格式結尾的文本。（這個文件不用提前創建好，自動創建。）

3.6）、打開剛才這個文件，復制里邊的所有內容。

3.7）、打開瀏覽器，輸入CA（證書服務器）服務器的ip地址（也可以輸入CA服務器的計算機名），并且加上“/certsrv”

3.8）、點擊添加，并把CA服務器的地址添加進去。

3.9）、選擇申請證書。

3.10）、再選擇高級證書申請。

3.11）、選擇第二項，使用base64…….證書申請。

3.12）、把剛才復制的那一堆亂碼復制進去，點擊提交。

3.13）、顯示證書正在掛起，（獨立CA需要手工頒發證書，企業CA就自動頒發了。）

3.14）、這時候回到CA服務器上，來頒發證書。

3.15）、選擇掛起的申請，右擊剛才申請的證書，選所有任務，點擊頒發。

3.16）、回到WEB服務器上，在瀏覽器中重新登錄CA的那個網站，選擇查看掛起的證書申請的狀態。

3.17）、選擇保存的申請證書。

3.18）、這是可以看到證書已經頒發，點擊Base64編碼，下載證書。

3.19）、選擇一個路徑保存，這里保存到了桌面。

3.20）、打開IIS管理器，進入服務器證書，點擊完成證書申請。

3.21）、選擇剛才保存的證書。好記名稱隨便。

3.22）、右擊網站名，選擇編輯綁定。

3.23）、點擊添加，類型選擇“https”，證書選擇剛才添加的“a”

3.24）、雙擊“ssl設置”

3.25）、勾選“要求SSL”，點擊應用。

4.在客戶機上驗證。

4.1）、輸入web服務器上創建的網站，前邊輸入https，會彈出“安全報警”，點擊確定即可。

4.2）、又提示安全報警。繼續點“是”（因為該證書不是有權威的CA頒發的，是自己做的CA所以不會被瀏覽器信任。不過不用擔心。）

4.3）、成功打開網頁，已經成功給網頁加上了“S”。

實驗完畢