WEB服务器SSL双向认证安装使用指南.docx

《WEB服务器SSL双向认证安装使用指南.docx》由会员分享，可在线阅读，更多相关《WEB服务器SSL双向认证安装使用指南.docx（62页珍藏版）》请在咨信网上搜索。

1、WEB效劳器SSL双向认证证书安装使用指南上海数字证书认证中心2003/04/08文档说明：本文档是WEB效劳器SSL双向认证安装使用指南，详细描述了WEB效劳器证书的申请、安装、备份、恢复以及SSL双向认证的配置。版本信息：当前版本 1.1技术支持部版本更新记录：1.1闻剑峰增加SSL根证书的安装修改相关的操做步骤1.0闻剑峰本使用指南创立版权信息：SHECA是上海市电子商务平安证书管理中心的注册商标和缩写。UCA 是上海市电子商务平安证书管理中心研究开发的通用证书系统的商标和缩写。本文的版权属于上海市电子商务平安证书管理中心，未经许可，任何个人和团体不得转载、粘贴或发布本文，也不得局部的转

2、载、粘贴或发布本文，更不得更改本文的局部词汇进行转贴。未经许可不得拷贝，影印。Copyright 2000 上海数字证书认证中心文档发行说明当您阅读完本文档，您应该能解决如下问题：1、 WEB效劳器证书的请求文件CSR的产生；2、 WEB效劳器证书的在线申请；3、 WEB效劳器证书的安装；4、 WEB效劳器SSL平安配置；5、 WEB效劳器证书的导出备份和导入恢复；6、 SSL双向认证的配置；7、 使您的系统信任SHECA根证书；8、 将证书从证书管理器导入IE浏览器证书容器本文档不能使您到达如下目的：1、 SHECA其他证书的具体申请方法 请咨询SHECA客户效劳部2、 证书管理器的具体使用

3、方法 请咨询SHECA客户效劳部3、 证书编码的说明 请咨询SHECA技术支持部4、 SHECA CSP的相关说明 请咨询SHECA技术支持部5、 IIS的相关技术细节 请咨询微软客户效劳中心6、 IE浏览器的相关技术细节 请咨询微软客户效劳中心文档书写环境说明：为了测试基于微软架构下强大的SSL双向认证，本文档采用了最新的微软效劳器操作系统：Windows 2003 Enterprise Server；另外，为了使整个操作环境保持兼容性、一致性，本文档从效劳器端到客户端都采用英文操作系统。当然这并不等于说我们SHECA的证书不能在中文操作环境中使用，相反，经过实践证明，我们SHECA的证书在

4、中文平台上表现的格外出色。以下是本文档的具体试验环境：客户端：Windows XP Professional English Version + Service Pack 1一、WEB效劳器证书申请请求文件CSR产生1、 产生证书请求CSR文件开始程序管理工具Internet Information Services管理2、 鼠标右键单击默认WEB站点，并在弹出菜单中选择属性3、 在默认WEB站点属性窗口选择目录平安性4、 在平安通讯栏目中用鼠标点击效劳器证书，出现WEB效劳器证书向导5、 鼠标单击下一步，选择创立一个新证书，开始证书请求向导6、 选择产生请求文件，不直接发送7、 以下根据提示

5、按照您的WEB效劳器的实际信息输入注意：选择1024位密钥长度注意：通用名一定是您WEB效劳器的域名FQDN，如果在这一步你输入不正确，那会对您以后正确使用WEB效劳器证书有影响，我会在本文档的第八章节做进一步阐述。注意：请确认证书请求文件CSR保存位置注意：确认刚刚您输入的信息的正确性注意：完成证书申请请求，请求文件为，具体格式类似如下形式：二、WEB效劳器证书在线申请1、 拿WEB效劳器证书申请请求文件到SHECA网站开始进行证书申请第一步：登陆，点击申请数字证书我是证书用户在线证书申请 WEB Server证书申请2、 在方框里输入从SHECA证书受理点获取的密码信封序列号和信封密码。3

6、、 鼠标点击现在登录，出现UniTrust Web Server证书申请页面4、 阅读完考前须知之后点击马上申请，进入下一个页面5、 把效劳器生成的CSR请求文件中的-BEGIN NEW CERTIFICATE REQUEST-到-END NEW CERTIFICATE REQUEST-之间的内容贴在网页的大方框里面，确认无误后，单击发送申请6、 提示WEB效劳器请求发送成功，单击OK确认7、 开始下载证书，这里您可以下载DER或者是PEM编码的证书，根据您的需要做选择。如果是IIS WEB效劳器，请选择下载PEM编码证书7-1选择下载DER编码证书进入证书下载页面，此时页面上出现您的WEB效

7、劳器证书相关信息，请用鼠标单击保存证书7-2选择下载PEM编码证书屏幕上出现UCA根证书，第一级子CA证书以及您所申请的WEB效劳器证书8、 证书保存成功，WEB效劳器证书在线申请完成如果选择下载PEM编码，那么不会出现这个页面三、WEB效劳器证书的安装1、 进入Internet Information Services管理开始程序管理工具Internet Information Services管理2、 鼠标右键单击默认WEB站点，并在弹出菜单中选择属性3、 在默认WEB站点属性窗口选择目录平安性4、 在平安通讯栏目中用鼠标点击效劳器证书，出现WEB效劳器证书向导5、 鼠标单击下一步，开始进

8、行WEB效劳器正书安装向导，然后按照提示操作注意：这个文件是你从SHECA网站申请成功下载的证书比方说PEM编码的证书，就是在端口默认的是443，您也可以根据实际情况更改注意：以上是您的WEB效劳器证书的具体信息注意：完成WEB效劳器证书的安装注意：此时，您可以通过单击平安通讯栏中的查看证书查看证书的详细信息6、 重启IIS效劳，SSL效劳已经启动了，现在您可以通过浏览器以HTTPS方式访问您的WEB站点了。7、 双击浏览器右下脚锁标志，您可以查看WEB效劳器证书的相关信息四、WEB效劳器SSL平安配置1、 进入Internet Information Services管理开始程序管理工具In

9、ternet Information Services管理2、 鼠标右键单击默认WEB站点，并在弹出菜单中选择属性3、 在默认WEB站点属性窗口选择目录平安性4、 在平安通讯栏目中用鼠标点击编辑，出现平安通讯界面注意：l 如果您在需要平安通道SSL前打上勾，那么以后客户端浏览器仅可以通过HTTPS访问您的WEB效劳器；l 如果您在需要128位加密前打上勾，那么以后客户端浏览器只有具备128位加密强度之后才可以访问您的WEB效劳器；有关浏览器的加密强度请咨询相关软件开发商；l 客户端证书选项分三种：i. 忽略客户端证书：客户端访问WEB效劳器的时候不需要提供客户端自己证书ii. 接收客户端证书：

10、客户端访问WEB效劳器的时候弹出客户端验证窗口，允许客户端选择自己的证书，进行身份验证，然后访问WEB效劳器，这时，如果客户端没有自己的证书，访问仍旧可以照常进行iii. 需要客户端证书：这里仅当客户端拥有自己的证书，并通过验证之后，访问才可以进行下去l 允许客户端证书映射，这项功能是将您的WEB效劳器上的资源和WINDOWS帐号下的用户通过证书捆绑，有关详细操作，请参考?活动目录中的证书使用?。l 允许证书信任列表：翻开这项功能之后，只有由列表中您添加的信任的根证书签发的客户端证书，才可以授权访问您的WEB效劳器。具体操作如下：鼠标单击新建下一步沉着器中添加，是指从您的IE浏览器证书库中添加

11、相应的根证书；从文件添加，是指可以直接选定根证书文件添加。有关如何将我们SHECA的根证书添加到您的IE浏览器，请看本文档的附录。这里，我们选择沉着器添加在列表中选择您想信任的根证书比方用户通过选择UCA和SHECA把SHECA的根证书添加到您的信任列表中来，单击下一步您可以给信任列表取一个名字，便于以后灵活配置您的访问控制单击下一步完成证书信任列表设置5、 如果您已经根据自己的实际需要完成了平安通讯的设置，请单击确定按钮6、 重启您的IIS效劳器，通过客户端浏览器访问您的WEB效劳器，假设在先前的设置中需要您设置了需要客户端证书的话，这时候会弹出客户端认证窗口选择您相应的个人证书确认密钥交换

12、，请单击OK按钮。好了，根本的WEB效劳器平安配置SSL已经完成了。五、WEB效劳器证书的导出备份1、 进入Internet Information Services管理开始程序管理工具Internet Information Services管理2、 鼠标右键单击默认WEB站点，并在弹出菜单中选择属性3、 在默认WEB站点属性窗口选择目录平安性4、 在平安通讯栏目中用鼠标点击效劳器证书，出现WEB效劳器证书向导界面5、 单击下一步，出现IIS证书向导界面，这时候您有假设干种选择来处理您已安装的WEB效劳器证书。6、 我们选择导出当前证书到.pfx文件，这样，我们以后就可以通过这个文件恢复这个

13、WEB效劳器证书。选择一个保存路径，单击下一步7、 输入.pfx文件的保护口令8、 出现导出证书的简要说明，确认之后，单击下一步9、 完成您的WEB效劳器证书的备份工作注意：请将导出的WEB效劳器证书妥善保管，以备不时之需。六、WEB效劳器证书的导入恢复假设由于系统出了问题，导致IIS崩溃或其他不可测原因迫使你重新安装了IIS或操作系统，那么您可以通过以下方式来恢复您的IIS WEB效劳器证书。1、 进入Internet Information Services管理开始程序管理工具Internet Information Services管理2、 鼠标右键单击默认WEB站点，并在弹出菜单中选择

14、属性3、 在默认WEB站点属性窗口选择目录平安性4、 在平安通讯栏目中用鼠标点击效劳器证书，出现WEB效劳器证书向导界面5、 单击下一步，出现IIS证书向导。这里分两种情况：a) 仅仅是重新安装了IIS，或者丧失了WEB效劳器证书：这时候我们可以选择指派一个已经存在本地容器里的证书然后出现本地容器中存在的证书列表确认端口，默认是443请确认证书简要说明完成证书导入恢复b) 假设说您重新安装了您的WINDOWS操作系统，那还可以通过导入先前我们备份的WEB效劳器证书为了便于以后导出备份，请在标记证书可导出前打勾。确认端口，默认是443请确认证书简要说明完成证书导入恢复七、SSL双向认证的配置要实

15、现SSL双向认证，您必须同时配置WEB效劳器证书和客户端证书，并且需要在效劳器和客户端正确安装根证书。我们已经在前文中有过较为详细的描述了如何配置WEB效劳器证书，下面就来谈谈SSL客户端证书的配置和根证书的安装。1、SSL客户端证书的配置首先您需要清楚这个概念，所谓的SSL客户端证书就是意味着这张证书存在于IE浏览器的证书容器中。您可以通过翻开IE浏览器工具Internet选项内容证书个人至于如何使证书导入进IE浏览器的证书容器，方法有多种。假设说您通过您的浏览器在线申请了我们SHECA的平安电子邮件证书，那么这张证书已经自动安装到您的浏览器的证书容器中去了，也就是说不需要您手工做任何操作，

16、已经具备了SSL双向认证的客户端操作要求。如果您申请了我们SHECA的个人证书和其他类型的非直接在线安装的证书，那您还需要以下操作：l 首先将您的个人证书包括私钥导入我们SHECA的证书管理器证书管理器版本要求2.26以上可以通过网络下载。有关证书管理器的操作说明请参考我们SHECA发布的相关手册，或向我们SHECA客户效劳部咨询相关问题。l 选中你希望导入IE浏览器证书容器的证书，然后点击证书管理器快捷菜单栏中的outlook图标，这时候会让你输入密码，请输入您证书的是要保护口令，然后确定。l 然后您可以通过翻开IE浏览器工具Internet选项内容证书个人查看您导入的证书。l 由于通过证书

17、管理器导入证书到IE浏览器的证书容器的时候，经过了我们的CSP，所以在您以后进行SSL客户端认证的时候，会跳出我们SHECA密码设备选择窗口，在这里您只要输入相应的私钥保护口令就可以实现SSL双向认证了。2、根证书的安装要实现SSL双向认证，您必须分别在WEB效劳器和客户端上正确部署上海CA中心的根证书。我们提供以下多种方式安装根证书：l 安装证书管理器l 访问我们上海CA中心的主页：，会自动安装根证书l 在我们上海CA中心的主页的中进入根证书下载页面，然后选择下载SSL双向认证根证书八、常见问题1、 如果您访问的WEB效劳器时出现平安警报窗口，如下：那说明您在产生CSR时通用名Common

18、Name与您实际站点的域名不符合，请重新生成CSR，然后再提交SHECA签发新的证书。2、 当然，还有可能如下窗口：这说明在您的电脑上没有安装我们CA的根证书。有两种方法可以将我们SHECA的根证书导入到您本地浏览器的证书容器：a) 请访问我们公司的主页，它会出现提示窗口，你只要选择是，就会自动给您安装根证书。b) 用鼠标右键单击，选择弹出菜单中的安装证书，然后按照提示完成操作步骤，以下是图解：点击next注意，选择place all.，然后点击browse在show physical stores前打上勾，然后双击展开Trusted Root Certificate Authorities，点击Local Computer，然后点击OK回到原来的页面点击Next点击finish完成根证书导入3、 如果出现下面窗口：这说明这张WEB证书还未生效或过期。如果证书已过期，那请重新到上海CA中心申请证书。