Web站点证书申请

Web站点证书申请在IIS管理器窗口中，右击【默认网站】选项，在弹出的快捷菜单中选择【属性】命令。切换到【目录安全性】选项卡，如图23所示。在【安全通信】选项组中，单击【服务器证书】按钮。在【欢迎使用Web服务器证书向导】对话框中，单击【下一步】按钮。在如图24所示的【服务器证书】界面中，选中【新建证书】单选按钮。如果用户事先已为当前服务器申请了证书，则可选中【分配现有证书】或【从密钥管理器备份文件导入证书】单选按钮。依次单击【下一步】按钮，在【名称和安全性设置】界面中，输入一个便于记忆的新建证书的名称(如CA_test)，并选择相应的密钥长度(系统默认值为1024位)，如图25所示。单击【下一步】按钮，在如图26所示的【单位信息】界面中，输入相应的单位和部门名称。

图23

【目录安全性】选项卡

图24

【服务器证书】界面

图25

【名称和安全性设置】界面

图26

【单位信息】界面单击【下一步】按钮，系统要求在如图27所示【站点公用名称】界面中输入Web站点的公用名称(如该网站的DNS域名，即如果URL是，则公用名应为)。注意：基于安全方面的考虑，通常在【公用名称】文本框中使用域名申请证书，而不能使用IP地址申请。单击【下一步】按钮，系统将要求输入CA证书的国家、省/自治区、市/县等地理信息。单击【下一步】按钮，在如图28所示的【证书请求文件名】界面中，输入所申请的证书文件名及其存储路径。该文件名及其存储路径必须牢记，后面在向CA机构提交证书文件内容时需要使用到该文件。单击【下一步】按钮，系统将给出所申请证书的摘要信息，如图29所示。确认前面的操作无误后，单击【下一步】按钮，将弹出如图30所示的对话框，告知Web服务器证书已成功申请。

图27

【站点公用名称】界面

图28

【证书请求文件名】界面

图29

【请求文件摘要】界面

图30

【完成Web服务器证书向导】界面进入如图28所示【证书请求文件名】界面中，在所申请的证书文件的存储目录中，打开certreq.txt文件。全选该文件内容，选择【编辑】|【复制】命令或按Ctrl+C快捷键，如图31所示。在如图32所示的【默认网站】的CertSrv目录中，右击default.asp文档，从弹出的快捷菜单中选择【浏览】命令，打开如图33所示的证书申请【欢迎】页面。在IE浏览器地址栏中输入09/certsrv，也可打开图33所示的证书申请【欢迎】页面。其中，09是安装了证书服务器的计算机IP地址。

图31

复制certreq.txt文件内容

图32

CertSrv目录单击【申请一个证书】链接，进入如图34所示的【申请一个证书】页面。单击【高级证书申请】链接，进入【高级证书申请】页面，如图35所示。单击【使用base64编码的CMC或PKCS#10文件提交一个证书申请，或使用base64编码的PKCS#7文件续订证书申请】链接，进入如图36所示的【提交一个证书申请或续订申请】页面。在【保存的申请】选项组中右击，从弹出的快捷菜单中选择【粘贴】命令；或按Ctrl+V快捷键。

图33

【欢迎】页面

图34

【申请一个证书】页面

图35

【高级证书申请】页面

图36

【提交一个证书申请或续订申请】页面单击【提交】按钮，将弹出如图37所示的【证书挂起】页面。在向独立证书服务器提交证书申请后，需要该CA服务器的管理员手动颁发用户申请的证书。并且，当申请的证书被批准后，只能使用申请证书的计算机和浏览器在10天内下载。如果用户使用其他计算机，或者使用申请证书的计算机，但用不同的浏览器，或者超过10天，都将不能下载批准后的证书文件，系统将给出"您没有挂起的证书申请"的提示信息。

图37

【证书挂起】页面颁发、安装Web站点证书在独立证书服务器中，选择【开始】|【程序】|【管理工具】|【证书颁发机构】命令，打开【证书颁发机构】窗口。在左侧窗格中选择【挂起的申请】选项，在右侧窗格中，右击用户申请的证书文件。在弹出的快捷菜单中选择【所有任务】|【颁发】命令，如图38所示。

图38

颁发Web站点证书示意图在申请证书的计算机和相关浏览器中，输入09/certsrv，打开如图33所示的【欢迎】页面。单击【查看挂起的证书申请的状态】链接，进入如图39所示的【查看挂起的证书申请的状态】页面。单击【保存的申请证书】链接，进入如图40所示的【证书已颁发】页面。选中【DER编码】单选按钮，单击【下载证书】链接，打开如图41所示的【文件下载-安全警告】对话框。单击【保存】按钮，将certnew.cer证书文件保存到用户指定的文件夹中。

图39

【查看挂起的证书申请的状态】页面

图40

【证书已颁发】页面在IIS管理器窗口中，右击【默认网站】选项，在弹出的快捷菜单中选择【属性】命令。切换到【目录安全性】选项卡，如图23所示。在【安全通信】选项组中，单击【服务器证书】按钮。在【欢迎使用Web服务器证书向导】界面中，单击【下一步】按钮。在如图42所示的【挂起的证书请求】界面中，选中【处理挂起的请求并安装证书】单选按钮。

图41

【文件下载-安全警告】对话框

图42

【挂起的证书请求】界面

单击【下一步】按钮，在如图43所示的【处理挂起的请求】界面中，单击【浏览】按钮，选择在图41中申请的certnew.cer证书文件。单击【下一步】按钮，在如图44所示的【SSL端口】界面中，输入安全套接字协议默认使用的443端口号。

图43

【处理挂起的请求】界面

图44

【SSL端口】界面单击【下一步】按钮，弹出如图45所示的【证书摘要】界面，要求再次确认前面的配置信息。单击【下一步】按钮，打开如图46所示的结束配置界面。单击【完成】按钮，将已申请的CA证书应用到网站的安全管理中，并启用SSL功能，从而为网站与用户之间在传送信息时提供身份验证等安全功能。图45

【证书摘要】界面

图46

【完成Web服务器证书向导】界面Web安全通信配置与测试在IIS管理器窗口中，右击【默认网站】选项，从弹出的快捷菜单中选择【属性】命令。切换到【目录安全性】选项卡，在【安全通信】选项组中，单击【编辑】按钮，如图60所示。将弹出如图61所示的【安全通信】对话框。使用该对话框可以为加密通信配置安全套接字层(SSL)设置。当支持安全通信的Web浏览器连接到配置成使用SSL(以https://开头的URL)的网站时，安全连接将保护传输的数据。

图60

【目录安全性】选项卡

图61

【安全通信】对话框1图61中的默认配置是：不要求安全通道(SSL)且忽略客户端证书。其中，"忽略客户端证书"是指允许用户不必提供客户端证书就可访问该Web站点。如果在图61中选中【接受客户端证书】单选按钮，但不选中【要求安全通道(SSL)】复选框，依次单击两次【确定】按钮，则该Web服务器既可以接收HTTP请求，也可以接收HTTPS请求。换言之，选中该单选按钮后，允许具有客户端证书的用户访问该Web站点，但证书不是必需的。具有客户端证书的用户可以被映射；没有客户端证书的用户可以使用其他身份验证方法。在IP地址为92客户机的IE浏览器地址栏中，输入09，系统将直接显示如图62所示的Web页面。

图62

Web测试页面示意图1若输入09，将弹出如图63所示的【安全警报】对话框。向用户告知，其所访问的Web站点的安全证书在有效期内等信息。单击【是】按钮，将弹出如图64所示的【选择数字证书】对话框。选中名称为test的证书，单击【确定】按钮，将弹出如图65所示的【安全信息】对话框。单击【是】按钮，将显示如图66所示的Web页面。若先将如图59所示【证书】对话框中名为test的客户端证书删除，然后在客户机输入访问地址09，则弹出无任何客户端证书的【选择数字证书】对话框，如图67所示。单击【确定】按钮后，系统仍能显示如图66所示的Web页面。

图63

【安全警报】对话框

图64

【选择数字证书】对话框1

图65

【安全信息】对话框

图66

Web测试页面示意图2Web安全通信配置与测试（2）如果在图68中选中【要求安全通道(SSL)】和【要求128位加密】复选框，并选中【忽略客户端证书】单选按钮，则Web服务器可不要求客户端提供数字证书，只接收https请求，并要求在客户端浏览器和Web服务器之间实现128位加密。其中，选中【要求安全通道(SSL)】复选框，可以要求客户端浏览器通过加密通信来访问该网站。换言之，当选择该选项时，发送到该网站以及从该网站发送的所有数据都使用证书进行身份验证。若不选中【要求128位加密】复选框，则客户端浏览器和Web服务器之间只进行证书的身份验证，不进行128位加密通信。

图67

【选择数字证书】对话框2

图68

【安全通信】对话框2此时，在地址为92客户机的IE浏览器地址栏中，输入09，将弹出错误号为403.4的禁止访问页面，如图69所示。若输入09，将弹出如图63所示的【安全警报】对话框。单击【是】按钮，将直接弹出如图65所示的【安全信息】对话框，没有了如图64(或图67)所示的【选择数字证书】对话框。单击【是】按钮，将显示如图66所示的Web页面。如果选中【要求安全通道(SSL)】和【要求128位加密】复选框，并选中【接受客户端证书】单选按钮，如图70所示，则客户端访问Web服务器的显示效果类似于选中【要求安全通道(SSL)】、【要求128位加密】复选框和【忽略客户端证书】单选按钮，只是多了个如图64(或图67)所示的【选择数字证书】对话框。

图69

错误号为403.4的禁止访问页面

图70

【安全通信】对话框3如果选中【要求安全通道(SSL)】和【要求128位加密】复选框，并选中【要求客户端证书】单选按钮，如图71所示，那么Web服务器将对客户端证书进行强制认证。其中，【要求客户端证书】单选按钮在选中【要求安全通道(SSL)】复选框后才被激活。选择该选项后，则具有有效客户端证书的用户才能访问该Web站点，没有有效客户端证书的用户将被拒绝访问该站点。此时，在地址为92客户机的IE浏览器地址栏中，输入09，将弹出错误号为403.4的禁止访问页面，如图69所示。若客户机未申请或未安装09证书服务器的证书文件，输入09，将弹出如图63所示的【安全警报】对话框。单击【是】按钮，将弹出如图67所示的【选择数字证书】对话框。单击【确定】按钮，将弹出错误号为403.7的禁止访问页面，如图72所示。若客户机已成功安装了09证书服务器颁发的证书文件，则输入09后，系统显示信息分别类似于图63～图66。

图71

【安全通信】对话框4