網路安全系列之四十七在IIS6中申請並安裝證書

之前通過設定基本身份驗證，可以實現客戶端在訪問指定的虛擬目錄時，必須要輸入使用者名稱和密碼進行驗證，但是基本身份驗證的資訊在網路中是明文傳輸的，我們可以通過為站點申請並安裝證書，來實現資料的加密傳輸。實驗環境中的ca證書伺服器已經搭建好，這裡只介紹在web伺服器上的證書申請和安裝過程。

（1）生成證書請求

在web伺服器上右擊需要申請證書的**，開啟屬性介面，選擇「目錄安全性」選項卡，並單擊「伺服器證書」按鈕，如圖所示。

在「iis證書嚮導」中選擇「新建證書」，為證書指定名稱並設定金鑰長度，最後會生成乙個名為certreq.txt的證書請求檔案，將其儲存。

注意，客戶端在生成證書請求時，就已經產生了金鑰對，其中公鑰包含在證書請求中，私鑰則存放在登錄檔裡。

（2）提交證書申請

在web伺服器上開啟瀏覽器，在位址列中輸入「http://

開啟之前儲存的申請檔案certreq,txt，將其內容複製到「儲存的申請「文字框中，如圖所示。

在「證書掛起「頁面中，顯示證書已經申請成功，但必須等待ca伺服器檢查頒發證書。

（3）由ca頒發證書

在ca伺服器「掛起的申請「中為web伺服器頒發證書。

（4）在web伺服器上安裝證書

在web伺服器上，通過ie再次訪問ca伺服器，在「檢視掛起的證書申請的狀態「頁面中，單擊」儲存的申請證書「，將證書儲存到磁碟中。證書的預設檔名為certnew.cer。

（5）安裝證書並啟用ssl

在**屬性的「目錄安全性「選項卡中，單擊」伺服器證書「按鈕，在伺服器證書嚮導中選擇」處理掛起的證書請求並安裝證書「，指定**使用的ssl埠，預設為443。

這樣客戶端就可以通過https方式訪問web站點了，但此時還允許通過未加密的http方式訪問web站點，如果需要強制web站點使用https服務，則進行以下設定。

在「安全通訊「頁面中，選中」要求安全通道ssl「，表示只能使用https服務訪問此web站點，預設密碼強度只有40位，如果需要更高的密碼強度可以選中」要求128位加密「核取方塊。在」客戶端證書「項中選中「忽略客戶端證書」，這樣使用者不必提供證書就可以通過https連線到此web站點。

這樣設定之後，在客戶端如果使用http的方式訪問**，便會出現錯誤提示。

改用https的方式可以成功訪問**，而且在ie的狀態列上會看到乙個小鎖圖示，表示瀏覽器與**之間已建立起經過ssl保護的安全連線。將滑鼠指標移動到該圖示上，可以看到現在的加密強度。

網路安全系列之四十七 在IIS6中申請並安裝證書