任务一:搭建CA服务器
本任务初步了解CA服务器的原理和配置过程。操作都在CA服务器上。
1、远程桌面方式登录到CA服务器,在CMD下查看本机IP地址:
注:在本例中CA服务器IP为10.1.1.245,但在做实验过程中,IP可能会出现变动,要记住自己CA的IP,在后面实验过程中填写自己的IP,否则实验可能失败。
2、安装证书服务
依次点击:“开始”->>“控制面板”->>“添加或删除程序”,以打开添加或删除程序对话框
依次点击:“添加删除windows组件”,在组件向导中选中“应用程序服务器”与“证书服务”,先不要点击下一步
双击“应用程序服务器”,选中“ASP.NET”与“Internet信息服务(IIS)”
点击“确定”开始安装,在出现的对话框中选择“独立根”,继续安装过程
选择相关的参数,下一步后,会出现证书数据库的相关设置,不用修改,继续下一步
单击下一步后进行安装,在安装过程中会提示“输入磁盘”,按照安装IIS的方式,单击“浏览”、找到文件,确定完成安装。
在安装完成后会提示启用Active Server Page,点击“确定”
安装完成后会发现有管理工具中多了“Internet信息服务(IIS)”,找到并打开
右键“默认网站”,选择“属性”,会出现如下属性对话框,在对话框中IP地址选择为本机IP(一般IP已经存在,不用手工输入),并点击确定。
任务二:搭建HTTPS服务器
1、证书申请
登录到要搭建https服务的“网站”主机,查看IP
按照搭建CA服务器的方法安装IIS,区别是只选择“应用程序服务器”
安装完成后,打开IIS,右键“默认网站”,选择“属性”,在“默认网站属性”中选择“目录安全性”标签,点击“服务器证书”
保持默认选项,单击下一步。
填写公用名称,由于在本环境中没有使用DNS服务器,没有域名因此使用IP地址访问,在公用名称中输入本机的IP地址,如果名称错误,后面过程中会出现问题,因此应仔细核对。
在下一步中输入证书的相关信息, 可以使用默认的文件名,但要记住存放地址,确认信息后,完成请求证书的设置。
接下来申请证书。
打开浏览器,输入刚才我们搭建的证书服务器地址:Http://10.1.1.245/certsrv/ (在实验中根据自己情况填写IP),在证书服务页面点击“申请一个证书”。
2、证书的颁发
证书的颁发在证书服务器中操作,接下来的操作是证书审核员的角色,切换到CA服务器,点击“开始”>>“管理工具”>>“证书颁发机构”。
3、下载并应用证书
本操作是网站主机上。
将证书保存到桌面,以便查找,可以看到桌面上的证书文件。
再进入到默认网站属性,选择“目录安全性”,单击“服务器证书”,
进入Web服务器证书向导,点击下一步, 在“处理挂起请求”中选择“浏览”,选择刚才下载的证书文件,并打开,下一步,使用默认的443端口,点击下一步
继续下一步,完成向导。 打开默认网站属性,选择“目录安全性”标签,单击“编辑,选择“要求安全通道”,确定
任务三:访问HTTPS服务器
在“CA服务器”中打开已经申请了HTTPS服务的网站, 输入https://10.1.1.196 (按照实际情况),会出现一个证书安全问题的确认,单击“是”,进行浏览,可以看到能够通过HTTPS协议浏览。
分析与思考:
1. 证书服务器和http服务器。证书服务器的任务是处理http服务器的证书申请请求和颁发证书。http服务器的任务是创建网站。
2.HTTP协议也就是超文本传输协议,是一种使用明文数据传输的网络协议,HTTPS协议是由SSL/TLS+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全。