课件-cert实验过程安装IIS及证书服务组件

安装IIS及服务组件Internet信息服务是WindowsServer2003提供Web站点信息发布、使用和管理等功能的组件。全新安装的WindowsServer2003IIS6.0中，默认的应用程序操作模式为工作进程模式。如果WindowsServer2003是从WindowsServer2000升级的，IIS6.0将以IIS5.0模式运行。全新安装的WindowsServer2003，默认情况下IIS及服务组件均未安装。若要安装IIS及服务组件，则需事先准备好WindowsServer2003安装光盘，并以系统管理员登WindowsServer2003。具体操作步骤如下。】选择【开始】|【控制面板】|【添加或删除程序】|Windows】【Internet图2-2【Windows组件向导】图2-3【应用程序服务器】中【网服务】复选框。单【详细信息按钮在弹出的如图2-5所示【网服务框中选中ActiveServerPages、【网服务】等复选框。IISIISActiveServerPages图2-4【Internet信息服务(IIS)】图2-5【网服务】【下一步】按钮，将弹出如图2-7所示的【服务】框2-6WindowsDirectory服务器中安装服务时才可供选择。 的。CA有效期限等其他配置使用系统的默认值。2-72-8【CA2-9【CA求输入数据库、数据库日志等配置信息，如图2-10所示。这些配置信息可单击【下一步】按钮，系统将进行IIS及服务组件的配置，如图2-11 2-102-11】若先前在如图2-5所示【网服务框中未选中ActiveServerPages复选框，将弹出如图2-12所示的框，要求安装ActiveServerPages服务】2-12单击【是】按钮，经过系统安装配置后，将弹出如图2-13所示的框，告知IIS及服务组件已成功安装。选择【控制面板】|【管理工具】|【服务】命令，分别选择Services、IISAdminService，并查看其属性，如图2-14所示。系统完成IIS 2-13【完成"Windows2-14创建普通的Web站以系统管理员登录WindowsServer2003，选择【开始】|【程序】|【管理工具】|【管理】命令，打开【计算机管理】窗口；展开管理 着在其右侧窗格中选中ActiveServerPages，单击【允许】按钮，如图2-15右击【默认(停止)】选项，在弹出的快捷菜单中选择【属性】命令，如图2-16所示。在打开的【默认(停止)属性】框中，切换到【网站】选项卡。由图2-17所示【】选项卡的配置项目可知，使用该选项卡可以设置某个的名称、连接限制，以及启用日志记录并配置站点的日志记录格式等内((图2- 【默图2- 【Internet信息服务(IIS)管理器】管理界 标识选项组中【描述文本框中可输入所配 容易识记的名称例如，本案例可输入类似my_CA_Web站点等描述性语言。该名称将出现在IIS管理器的控制台树中。可从【IP地址】下拉列表框中指定一个IP地址或输入用于该站点的IP地址对于本案例可选择其下拉列表中的09地址。如果没有分配指定的IP地址，即选中【全部未分配】选项，那么此站点将响应分配给该服务器但没有分配给其他站点的所有IP地址，并使它成为默认的通知客户端以便其请求时输入相应的URL(例如 :8080)【SSL端口】文本框是可选项目，用于指派与该标识相关联的SSL端口。默认SSL端是443。只有使用SSL加密时才需要SSL端。也就是说，如按钮，可以进一步配置用来站点的IP地址、TCP端以及主机头值。HTTP的细节并按所选格式创建日志。通常，活动日志格式有IIS日志文ASCIINCSAASCIIODBCW3CASCIIW3C2-18好地控制该站点允许的流量。【最大带宽】用于配置给定站点可以使用的网络KB/sIISIIS1KB/s。选中【连接限制为】单选按钮可以设置指定的特定数目的并发连接。将站点2-172-19】选项卡中，在【本地路径】文本框中可输入存放E:\my_CAweb。也可以通过单击【浏览】按钮获得这一路径。【文档选项卡中单【添加按钮【添加内容页框中输入index.asp。index.asp，并通过多次单击【上移】按钮使该文档2-20命令。然后在如图2-21所示【默认】选项右侧窗格中，右击index.asp文2-21IE浏览器以这一URL显示出事先编辑好的Web2-222-192-202-212-22WebWeb站点申请 安全性】选项卡，如图2-23所示。在【安全通信】选项组中，单击【服务器】按钮。在【欢迎使用Web服务器向导】框中，2-24所示的【服务器】界面中，选中【新建】单选按钮。如果用户事先已为当前服务器申请了，则可选中【分配现有】或【从密钥管2-25单击【下一步】按钮，在如图2-26所示的【单位信息】界面中，输入相应的单2-232-242-252-262-27Web站点的公用名称(如该的DNS，即如果URL ，则公用名应 )注意：基于安全方面的考虑，通常在【公用名称】文本框中使用申请，IP单击【下一步】按钮，系统将要求输入CA的国家、省/、市/县等地输入所申请的文件名及其路径。该文件名及其路径必须牢记，后面在向CA机构提交文件内容时需要使用到该文件。单击【下一步】按钮，系统将给出所申请的信息，如图2-29所示告知Web服务器 2-272-282-292-30WebWeb站点申请进入如图2-28所示【请求文件名】界面中，在所申请的文件的目录中，打开certreq.txt文件。全选该文件内容，选择【编辑】|【】命令Ctrl+C2-31在如图2-32所示的【默认】的CertSrv 中，右击default.asp文档，页面在IE浏览器地址栏中输入也可打开图2-33所示的申请【欢迎】页面。其中，09是安装了服务器的计算机IP地址。2-certreq.txt2-32单击【申请一个】，进入如图2-34所示的【申请一个】页面。单击【高级申请】，进入【高级申请】页面，如图2-35所示单【使用base64编码的CMC或PKCS#10文件提交一个申请或使用base64编码的PKCS#7文件续订申请】，进入如图2-36所示的【提交一个证Ctrl+V2-332-36单击【提交】按钮，将弹出如图2-37所示的【挂起】页面。在向独立服务器提交申请后，需要该CA服务器的管理员手动颁发用户申请的。器，或者超过10天，都将不能批准后的文件，系统将给出"您没有挂起的申请"的提示信息。2-37颁发、安装Web站命令，打开【颁发机构】窗口。在左侧窗格中选择【挂起的申请】选项，在右侧窗格中，右击用户申请的文件。在弹出的快捷菜单中选择【所有任务】|2-382-38Web在申请的计算机和相关浏览器中，输入，打开如图2-33所示的【欢迎】页面。单击【查看挂起的申请的状态】，2-39所示的【查看挂起的申请的状态】页面。单击【保存的申请】，进入如图2-40所示的【已颁发】页面。选中【DER编码】单选按钮，单击【】，打开如图2-41所示的【文件-安全警告】框。单击【保存】按钮，将certnew.cer文件保2-402-39 安全性】选项卡，如图2-23所示。在【安全通信】选项组 在【欢迎使用Web服务器向导】界面中，单击【下一步】按钮在如图2-42所示的【挂起的请求】界面中，选中【处理挂起的请求并安装2-42框2-41览】按钮，选择在图2-41中申请的certnew.cer 单击【下一步】按钮，在如图2-44所示的【SSL端口】界面中，输入接字协议默认使用的443端 2-432-44【SSL将已申请的CA应用到的安全管理中，并启用SSL功能，从而为与用户之间在传送信息时提供验证等安全功能。在该Web服务器的cmd窗口中，运行netstat-aon命令，系统将返回如图2-47所示的TCP/UDP连接信息。其中，TCP80、TCP443分别是HTTP、HTTPS协议使 2-452-46Web2-47netstat-aon客户端申请、颁发与安装在如图2-1所示拓扑结构图IP地址为92的客户机中在IE浏览器地 ，打开如图2-33所示的申请【欢迎】页面。单击【申请一个】 2-48单击【Web浏览器】，进入【Web浏览器-识别信息】页面，如图2-49所示。在该页面中输入申请时所需的、电子邮件、公司、部门、市/县、省、国家(地区)等基本信息。也可单击【选项】，选择一个加单击【提交】按钮，将弹出如图2-50所示的【潜在 框2-49【Web2-50】框ID4"在09独立服务器中，选择【开始】|【程序】|【管理工具】|【证书颁发机构】命令，打开【颁发机构】窗口。在左侧窗格中选择【挂起的申请】选项，在右侧窗格中右击申请ID为4的用户申请文件。在弹出的快捷菜单中选择【所有任务】|2-522-512-52客户端申请、颁发与安装进入如图2-28所示【请求文件名】界面中，在所申请的文件的目录中，打开certreq.txt文件。全选该文件内容，选择【编辑】|【】命令Ctrl+C2-31在如图2-32所示的【默认】的CertSrv 中，右击default.asp文档，页面在IE浏览器地址栏中输入 也可打开图2-33所示的申请【欢迎】页面。其中，09是安装了服务器的计算IP2-542-53图2-55【潜在 2-56框单击【是】按钮，将弹出如图2-57所示的【已安装】页面在IE浏览器中选择【工具】|【Internet选项】命令，切换到【内容】选项卡，如图2-58所示。单击【】按钮，将弹出如图2-59所示的【】框，从中可以查看或导出在图2-54中所安装的Web浏览器。2-572-59】框Web安全通信配置与测试 按钮，如图2-60所示。将弹出如图2-61所示的【安全通信】框。使用该对话框可以为加密通信配置接字层(SSL)设置当支持安全通信的Web浏览器连接到配置成使用SSL(以https://开头的URL)的时，安全连接将保护传2-602-61图2-61中的默认配置是：不要求安全通道(SSL)且忽略客户端。其中，"忽略客户端"是指允许用户不必提供客户端就可该Web站点。如果在图2-61中选中【接受客户端】单选按钮，但不选中【要求安全通道(SSL)】复选框，依次单击两次【确定】按钮，则该Web服务器既可以接收HTTP请求，也可以接收HTTPS请求。换言之，选中该单选按钮后，允许具有客户端证书的用户该Web站点，但不是必需的。具有客户端证书的用户可以被映射；没有客户端的用户可以使用其他验证方法。IP92IE2-62Web2-62Web若输入，将弹出如图2-63所示的【安全警报】框。向用户告知，其所的Web站点的安全在有效期内等信息。单击【是】按钮，将弹出如图2-64所示的【选择数字】框。选中名称为test的，单击【确定】按钮，将弹出如图2-65所示的【安全信息】2-66Web】】若先将如图2-59所示【框中名为test的客户端删除，然后在客Web】】框】框Web安全通信配置与测试2-68(SSL)128选中【忽略客户端】单选按钮，则Web服务器可不要求客户端提供数字证httpsWeb128密。其中，选中【要求安全通道(SSL)密通信来该。换言之，当选择该选项时，发送到该以及从该发送的所有数据都使用进行验证。若不选中【要求128位加密】复选框，则客户端浏览器和Web服务器之间只进行的验证不进行128位加密通】92IE若输入，将弹出如图2-63所示的【安全警报】框。单击【是】按钮，将直接弹出如图2-65所示的【安全信息 框，没有了图2-64(或图2-67)所示的【选择数字】框。单击【是】按钮，将显示2-66Web如果选中【要求安全通道(SSL)128客户端】单选按钮，如图2-70所示，则客户端Web服务器的显示效果类似于选中【要求安全通道(SSL)128端】单选按钮，只是多了个如图2-64(或图2-67)所示的【选择数字】2-69403.42-70如果选中【要求安全通道(SSL)128端单选按钮如图2-71所示那么Web服务器将对客户端进强制认证。其中，【要求客户端】单选按钮在选中【要求安全通道(SSL)】复选框后才被激活。选择该选项后，则具有有效客户端的用户才能该Web站点，没有有效客户端的用户将被该站点。92IE若客户机未申请或未安装09服务器的文件，输入】按钮，将弹出如图2-67所