WEB服务器SSL双向认证安装使用指南.docx

WEB效劳器SSL双向认证 证书安装使用指南 上海数字证书认证中心 2003/04/08 文档说明： 本文档是WEB效劳器SSL双向认证安装使用指南，详细描述了WEB效劳器证书的申请、安装、备份、恢复以及SSL双向认证的配置。 版本信息： 当前版本 1.1 技术支持部 版本更新记录： 1.1 闻剑峰 增加SSL根证书的安装 修改相关的操做步骤 1.0 闻剑峰 本使用指南创立 版权信息： SHECA是上海市电子商务平安证书管理中心的注册商标和缩写。 UCA 是上海市电子商务平安证书管理中心研究开发的通用证书系统的商标和缩写。 本文的版权属于上海市电子商务平安证书管理中心，未经许可，任何个人和团体不得转载、粘贴或发布本文，也不得局部的转载、粘贴或发布本文，更不得更改本文的局部词汇进行转贴。 未经许可不得拷贝，影印。 Copyright @2000 上海数字证书认证中心 文档发行说明 当您阅读完本文档，您应该能解决如下问题： 1、 WEB效劳器证书的请求文件CSR的产生； 2、 WEB效劳器证书的在线申请； 3、 WEB效劳器证书的安装； 4、 WEB效劳器SSL平安配置； 5、 WEB效劳器证书的导出〔备份〕和导入〔恢复〕； 6、 SSL双向认证的配置； 7、 使您的系统信任SHECA根证书； 8、 将证书从证书管理器导入IE浏览器证书容器 本文档不能使您到达如下目的： 1、 SHECA其他证书的具体申请方法 à 请咨询SHECA客户效劳部 2、 证书管理器的具体使用方法 à 请咨询SHECA客户效劳部 3、 证书编码的说明 à 请咨询SHECA技术支持部 4、 SHECA CSP的相关说明 à 请咨询SHECA技术支持部 5、 IIS的相关技术细节 à 请咨询微软客户效劳中心 6、 IE浏览器的相关技术细节 à 请咨询微软客户效劳中心 文档书写环境说明： 为了测试基于微软架构下强大的SSL双向认证，本文档采用了最新的微软效劳器操作系统：Windows 2003 Enterprise Server；另外，为了使整个操作环境保持兼容性、一致性，本文档从效劳器端到客户端都采用英文操作系统。当然这并不等于说我们SHECA的证书不能在中文操作环境中使用，相反，经过实践证明，我们SHECA的证书在中文平台上表现的格外出色。以下是本文档的具体试验环境： 客户端：Windows XP Professional English Version + Service Pack 1 一、WEB效劳器证书申请请求文件〔CSR〕产生 1、 产生证书请求〔CSR〕文件 开始à程序à管理工具àInternet Information Services管理 2、 鼠标右键单击默认WEB站点，并在弹出菜单中选择属性 3、 在默认WEB站点属性窗口选择目录平安性 4、 在平安通讯栏目中用鼠标点击效劳器证书，出现WEB效劳器证书向导 5、 鼠标单击下一步，选择创立一个新证书，开始证书请求向导 6、 选择产生请求文件，不直接发送 7、 以下根据提示按照您的WEB效劳器的实际信息输入 注意：选择1024位密钥长度 注意：通用名一定是您WEB效劳器的域名〔FQDN〕，如果在这一步你输入不正确，那会对您以后正确使用WEB效劳器证书有影响，我会在本文档的第八章节做进一步阐述。 注意：请确认证书请求文件〔CSR〕保存位置 注意：确认刚刚您输入的信息的正确性 注意：完成证书申请请求，请求文件为，具体格式类似如下形式： 二、WEB效劳器证书在线申请 1、 拿WEB效劳器证书申请请求文件到SHECA网站开始进行证书申请 第一步：登陆，点击申请数字证书à我是证书用户à在线证书申请à WEB Server证书申请 2、 在方框里输入从SHECA证书受理点获取的密码信封序列号和信封密码。 3、 鼠标点击现在登录，出现UniTrust Web Server证书申请页面 4、 阅读完考前须知之后点击马上申请，进入下一个页面 5、 把效劳器生成的CSR请求文件中的-----BEGIN NEW CERTIFICATE REQUEST-----到-----END NEW CERTIFICATE REQUEST-----之间的内容贴在网页的大方框里面，确认无误后，单击发送申请 6、 提示WEB效劳器请求发送成功，单击OK确认 7、 开始下载证书，这里您可以下载DER或者是PEM编码的证书，根据您的需要做选择。 如果是IIS WEB效劳器，请选择下载PEM编码证书 7-1选择下载DER编码证书 进入证书下载页面，此时页面上出现您的WEB效劳器证书相关信息，请用鼠标单击保存证书 7-2选择下载PEM编码证书 屏幕上出现UCA根证书，第一级子CA证书以及您所申请的WEB效劳器证书 8、 证书保存成功，WEB效劳器证书在线申请完成 如果选择下载PEM编码，那么不会出现这个页面 三、WEB效劳器证书的安装 1、 进入Internet Information Services管理 开始à程序à管理工具àInternet Information Services管理 2、 鼠标右键单击默认WEB站点，并在弹出菜单中选择属性 3、 在默认WEB站点属性窗口选择目录平安性 4、 在平安通讯栏目中用鼠标点击效劳器证书，出现WEB效劳器证书向导 5、 鼠标单击下一步，开始进行WEB效劳器正书安装向导，然后按照提示操作 注意：这个文件是你从SHECA网站申请成功下载的证书 比方说PEM编码的证书，就是在 端口默认的是443，您也可以根据实际情况更改 注意：以上是您的WEB效劳器证书的具体信息 注意：完成WEB效劳器证书的安装 注意：此时，您可以通过单击平安通讯栏中的查看证书查看证书的详细信息 6、 重启IIS效劳，SSL效劳已经启动了，现在您可以通过浏览器以HTTPS方式访问您的WEB站点了。 7、 双击浏览器右下脚锁标志，您可以查看WEB效劳器证书的相关信息 四、WEB效劳器SSL平安配置 1、 进入Internet Information Services管理 开始à程序à管理工具àInternet Information Services管理 2、 鼠标右键单击默认WEB站点，并在弹出菜单中选择属性 3、 在默认WEB站点属性窗口选择目录平安性 4、 在平安通讯栏目中用鼠标点击编辑，出现平安通讯界面 注意： l 如果您在需要平安通道〔SSL〕前打上勾，那么以后客户端浏览器仅可以通过HTTPS访问您的WEB效劳器； l 如果您在需要128位加密前打上勾，那么以后客户端浏览器只有具备128位加密强度之后才可以访问您的WEB效劳器；有关浏览器的加密强度请咨询相关软件开发商； l 客户端证书选项分三种： i. 忽略客户端证书：客户端访问WEB效劳器的时候不需要提供客户端自己证书 ii. 接收客户端证书：客户端访问WEB效劳器的时候弹出客户端验证窗口，允许客户端选择自己的证书，进行身份验证，然后访问WEB效劳器，这时，如果客户端没有自己的证书，访问仍旧可以照常进行 iii. 需要客户端证书：这里仅当客户端拥有自己的证书，并通过验证之后，访问才可以进行下去 l 允许客户端证书映射，这项功能是将您的WEB效劳器上的资源和WINDOWS帐号下的用户通过证书捆绑，有关详细操作，请参考?活动目录中的证书使用?。 l 允许证书信任列表：翻开这项功能之后，只有由列表中您添加的信任的根证书签发的客户端证书，才可以授权访问您的WEB效劳器。具体操作如下： 鼠标单击新建 下一步 沉着器中添加，是指从您的IE浏览器证书库中添加相应的根证书；从文件添加，是指可以直接选定根证书文件添加。有关如何将我们SHECA的根证书添加到您的IE浏览器，请看本文档的附录。 这里，我们选择沉着器添加 在列表中选择您想信任的根证书 比方用户通过选择UCA和SHECA把SHECA的根证书添加到您的信任列表中来，单击下一步 您可以给信任列表取一个名字，便于以后灵活配置您的访问控制 单击下一步 完成证书信任列表设置 5、 如果您已经根据自己的实际需要完成了平安通讯的设置，请单击确定按钮 6、 重启您的IIS效劳器，通过客户端浏览器访问您的WEB效劳器，假设在先前的设置中需要您设置了需要客户端证书的话，这时候会弹出客户端认证窗口 选择您相应的个人证书 确认密钥交换，请单击OK按钮。 好了，根本的WEB效劳器平安配置〔SSL〕已经完成了。 五、WEB效劳器证书的导出〔备份〕 1、 进入Internet Information Services管理 开始à程序à管理工具àInternet Information Services管理 2、 鼠标右键单击默认WEB站点，并在弹出菜单中选择属性 3、 在默认WEB站点属性窗口选择目录平安性 4、 在平安通讯栏目中用鼠标点击效劳器证书，出现WEB效劳器证书向导界面 5、 单击下一步，出现IIS证书向导界面，这时候您有假设干种选择来处理您已安装的WEB效劳器证书。 6、 我们选择导出当前证书到.pfx文件，这样，我们以后就可以通过这个文件恢复这个WEB效劳器证书。选择一个保存路径，单击下一步 7、 输入.pfx文件的保护口令 8、 出现导出证书的简要说明，确认之后，单击下一步 9、 完成您的WEB效劳器证书的备份工作 注意：请将导出的WEB效劳器证书妥善保管，以备不时之需。 六、WEB效劳器证书的导入〔恢复〕 假设由于系统出了问题，导致IIS崩溃或其他不可测原因迫使你重新安装了IIS或操作系统，那么您可以通过以下方式来恢复您的IIS WEB效劳器证书。 1、 进入Internet Information Services管理 开始à程序à管理工具àInternet Information Services管理 2、 鼠标右键单击默认WEB站点，并在弹出菜单中选择属性 3、 在默认WEB站点属性窗口选择目录平安性 4、 在平安通讯栏目中用鼠标点击效劳器证书，出现WEB效劳器证书向导界面 5、 单击下一步，出现IIS证书向导。这里分两种情况： a) 仅仅是重新安装了IIS，或者丧失了WEB效劳器证书：这时候我们可以选择指派一个已经存在本地容器里的证书 然后出现本地容器中存在的证书列表 确认端口，默认是443 请确认证书简要说明 完成证书导入〔恢复〕 b) 假设说您重新安装了您的WINDOWS操作系统，那还可以通过导入先前我们备份的WEB效劳器证书 为了便于以后导出〔备份〕，请在标记证书可导出前打勾。 确认端口，默认是443 请确认证书简要说明 完成证书导入〔恢复〕 七、SSL双向认证的配置 要实现SSL双向认证，您必须同时配置WEB效劳器证书和客户端证书，并且需要在效劳器和客户端正确安装根证书。我们已经在前文中有过较为详细的描述了如何配置WEB效劳器证书，下面就来谈谈SSL客户端证书的配置和根证书的安装。 1、SSL客户端证书的配置 首先您需要清楚这个概念，所谓的SSL客户端证书就是意味着这张证书存在于IE浏览器的证书容器中。您可以通过翻开IE浏览器à工具àInternet选项à内容à证书à个人 至于如何使证书导入进IE浏览器的证书容器，方法有多种。假设说您通过您的浏览器在线申请了我们SHECA的平安电子邮件证书，那么这张证书已经自动安装到您的浏览器的证书容器中去了，也就是说不需要您手工做任何操作，已经具备了SSL双向认证的客户端操作要求。如果您申请了我们SHECA的个人证书和其他类型的非直接在线安装的证书，那您还需要以下操作： l 首先将您的个人证书包括私钥导入我们SHECA的证书管理器〔证书管理器版本要求2.26以上可以通过网络下载〕。有关证书管理器的操作说明请参考我们SHECA发布的相关手册，或向我们SHECA客户效劳部咨询相关问题。 l 选中你希望导入IE浏览器证书容器的证书，然后点击证书管理器快捷菜单栏中的outlook图标，这时候会让你输入密码，请输入您证书的是要保护口令，然后确定。 l 然后您可以通过翻开IE浏览器à工具àInternet选项à内容à证书à个人查看您导入的证书。 l 由于通过证书管理器导入证书到IE浏览器的证书容器的时候，经过了我们的CSP，所以在您以后进行SSL客户端认证的时候，会跳出我们SHECA密码设备选择窗口，在这里您只要输入相应的私钥保护口令就可以实现SSL双向认证了。 2、根证书的安装 要实现SSL双向认证，您必须分别在WEB效劳器和客户端上正确部署上海CA中心的根证书。我们提供以下多种方式安装根证书： l 安装证书管理器 l 访问我们上海CA中心的主页：，会自动安装根证书 l 在我们上海CA中心的主页的中进入根证书下载页面，然后选择下载SSL双向认证根证书 八、常见问题 1、 如果您访问的WEB效劳器时出现平安警报窗口，如下： 那说明您在产生CSR时通用名〔Common Name〕与您实际站点的域名不符合，请重新生成CSR，然后再提交SHECA签发新的证书。 2、 当然，还有可能如下窗口： 这说明在您的电脑上没有安装我们CA的根证书。有两种方法可以将我们SHECA的根证书导入到您本地浏览器的证书容器： a) 请访问我们公司的主页，它会出现提示窗口，你只要选择是，就会自动给您安装根证书。 b) 用鼠标右键单击，选择弹出菜单中的安装证书，然后按照提示完成操作步骤，以下是图解： 点击next 注意，选择place all…..，然后点击browse 在show physical stores前打上勾，然后双击展开Trusted Root Certificate Authorities，点击Local Computer，然后点击OK 回到原来的页面 点击Next 点击finish 完成根证书导入 3、 如果出现下面窗口： 这说明这张WEB证书还未生效或过期。如果证书已过期，那请重新到上海CA中心申请证书。