WEB服务器SSL双向认证安装使用指南.docx

《WEB服务器SSL双向认证安装使用指南.docx》由会员分享，可在线阅读，更多相关《WEB服务器SSL双向认证安装使用指南.docx（62页珍藏版）》请在三一办公上搜索。

1、WEB服务器SSL双向认证证书安装使用指南上海数字证书认证中心有限公司2003/04/08文档说明：本文档是WEB服务器SSL双向认证安装使用指南，详细描述了WEB服务器证书的申请、安装、备份、恢复以及SSL双向认证的配置。版本信息：当前版本 1.1技术支持部版本更新记录：1.1闻剑峰增加SSL根证书的安装修改相关的操做步骤1.0闻剑峰本使用指南创建版权信息：SHECA是上海市电子商务安全证书管理中心有限公司的注册商标和缩写。UCA 是上海市电子商务安全证书管理中心有限公司研究开发的通用证书系统的商标和缩写。本文的版权属于上海市电子商务安全证书管理中心有限公司，未经许可，任何个人和团体不得转载

2、、粘贴或发布本文，也不得部分的转载、粘贴或发布本文，更不得更改本文的部分词汇进行转贴。未经许可不得拷贝，影印。Copyright 2000 上海数字证书认证中心有限公司文档发行说明当您阅读完本文档，您应该能解决如下问题：1、 WEB服务器证书的请求文件CSR的产生；2、 WEB服务器证书的在线申请；3、 WEB服务器证书的安装；4、 WEB服务器SSL安全配置；5、 WEB服务器证书的导出（备份）和导入（恢复）；6、 SSL双向认证的配置；7、 使您的系统信任SHECA根证书；8、 将证书从证书管理器导入IE浏览器证书容器本文档不能使您达到如下目的：1、 SHECA其他证书的具体申请方法 请咨

3、询SHECA客户服务部2、 证书管理器的具体使用方法 请咨询SHECA客户服务部3、 证书编码的说明 请咨询SHECA技术支持部4、 SHECA CSP的相关说明 请咨询SHECA技术支持部5、 IIS的相关技术细节 请咨询微软客户服务中心6、 IE浏览器的相关技术细节 请咨询微软客户服务中心文档书写环境说明：为了测试基于微软架构下强大的SSL双向认证，本文档采用了最新的微软服务器操作系统：Windows 2003 Enterprise Server；另外，为了使整个操作环境保持兼容性、一致性，本文档从服务器端到客户端都采用英文操作系统。当然这并不等于说我们SHECA的证书不能在中文操作环境中

4、使用，相反，经过实践证明，我们SHECA的证书在中文平台上表现的格外出色。以下是本文档的具体试验环境：WEB服务器：Windows 2003 Enterprise Server English Edition + IIS 6.0客户端：Windows XP Professional English Version + Service Pack 1一、WEB服务器证书申请请求文件（CSR）产生1、 产生证书请求（CSR）文件开始程序管理工具Internet Information Services管理2、 鼠标右键单击默认WEB站点，并在弹出菜单中选择属性3、 在默认WEB站点属性窗口选择目录安

5、全性4、 在安全通讯栏目中用鼠标点击服务器证书，出现WEB服务器证书向导5、 鼠标单击下一步，选择创建一个新证书，开始证书请求向导6、 选择产生请求文件，不直接发送7、 以下根据提示按照您的WEB服务器的实际信息输入注意：选择1024位密钥长度注意：通用名一定是您WEB服务器的域名（FQDN），如果在这一步你输入不正确，那会对您以后正确使用WEB服务器证书有影响，我会在本文档的第八章节做进一步阐述。注意：请确认证书请求文件（CSR）保存位置注意：确认刚才您输入的信息的正确性注意：完成证书申请请求，请求文件为certreq.txt，具体格式类似如下形式：二、WEB服务器证书在线申请1、 拿WEB

6、服务器证书申请请求文件certreq.txt到SHECA网站开始进行证书申请第一步：登陆，点击申请数字证书我是证书用户在线证书申请 WEB Server证书申请2、 在方框里输入从SHECA证书受理点获取的密码信封序列号和信封密码。3、 鼠标点击现在登录，出现UniTrust Web Server证书申请页面4、 阅读完注意事项之后点击马上申请，进入下一个页面5、 把服务器生成的CSR请求文件certreq.txt中的-BEGIN NEW CERTIFICATE REQUEST-到-END NEW CERTIFICATE REQUEST-之间的内容贴在网页的大方框里面，确认无误后，单击发送申请

7、6、 提示WEB服务器请求发送成功，单击OK确认7、 开始下载证书，这里您可以下载DER或者是PEM编码的证书，根据您的需要做选择。如果是IIS WEB服务器，请选择下载PEM编码证书7-1选择下载DER编码证书进入证书下载页面，此时页面上出现您的WEB服务器证书相关信息，请用鼠标单击保存证书7-2选择下载PEM编码证书屏幕上出现UCA根证书，第一级子CA证书以及您所申请的WEB服务器证书，请将每一段PEM编码分别保存到一个空文件中，文件名可以叫uca.pem，subca.pem，mywebcert.pem8、 证书保存成功，WEB服务器证书在线申请完成如果选择下载PEM编码，则不会出现这个页

8、面三、WEB服务器证书的安装1、 进入Internet Information Services管理开始程序管理工具Internet Information Services管理2、 鼠标右键单击默认WEB站点，并在弹出菜单中选择属性3、 在默认WEB站点属性窗口选择目录安全性4、 在安全通讯栏目中用鼠标点击服务器证书，出现WEB服务器证书向导5、 鼠标单击下一步，开始进行WEB服务器正书安装向导，然后按照提示操作注意：这个文件是你从SHECA网站申请成功下载的证书比如说PEM编码的证书，就是在本文档的第19页描述的mywebcert.pem文件端口默认的是443，您也可以根据实际情况更改注意

9、：以上是您的WEB服务器证书的具体信息注意：完成WEB服务器证书的安装注意：此时，您可以通过单击安全通讯栏中的查看证书查看证书的详细信息6、 重启IIS服务，SSL服务已经启动了，现在您可以通过浏览器以HTTPS方式访问您的WEB站点了。7、 双击浏览器右下脚锁标志，您可以查看WEB服务器证书的相关信息四、WEB服务器SSL安全配置1、 进入Internet Information Services管理开始程序管理工具Internet Information Services管理2、 鼠标右键单击默认WEB站点，并在弹出菜单中选择属性3、 在默认WEB站点属性窗口选择目录安全性4、 在安全通讯

10、栏目中用鼠标点击编辑，出现安全通讯界面注意：l 如果您在需要安全通道（SSL）前打上勾，则以后客户端浏览器仅可以通过HTTPS访问您的WEB服务器；l 如果您在需要128位加密前打上勾，则以后客户端浏览器只有具备128位加密强度之后才可以访问您的WEB服务器；有关浏览器的加密强度请咨询相关软件开发商；l 客户端证书选项分三种：i. 忽略客户端证书：客户端访问WEB服务器的时候不需要提供客户端自己证书ii. 接收客户端证书：客户端访问WEB服务器的时候弹出客户端验证窗口，允许客户端选择自己的证书，进行身份验证，然后访问WEB服务器，这时，如果客户端没有自己的证书，访问仍旧可以照常进行iii. 需

11、要客户端证书：这里仅当客户端拥有自己的证书，并通过验证之后，访问才可以进行下去l 允许客户端证书映射，这项功能是将您的WEB服务器上的资源和WINDOWS帐号下的用户通过证书捆绑，有关详细操作，请参考活动目录中的证书使用。l 允许证书信任列表：打开这项功能之后，只有由列表中您添加的信任的根证书签发的客户端证书，才可以授权访问您的WEB服务器。具体操作如下：鼠标单击新建下一步从容器中添加，是指从您的IE浏览器证书库中添加相应的根证书；从文件添加，是指可以直接选定根证书文件添加。有关如何将我们SHECA的根证书添加到您的IE浏览器，请看本文档的附录。这里，我们选择从容器添加在列表中选择您想信任的根

12、证书比如用户通过选择UCA和SHECA把SHECA的根证书添加到您的信任列表中来，单击下一步您可以给信任列表取一个名字，便于以后灵活配置您的访问控制单击下一步完成证书信任列表设置5、 如果您已经根据自己的实际需要完成了安全通讯的设置，请单击确定按钮6、 重启您的IIS服务器，通过客户端浏览器访问您的WEB服务器，假如在先前的设置中需要您设置了需要客户端证书的话，这时候会弹出客户端认证窗口选择您相应的个人证书确认密钥交换，请单击OK按钮。好了，基本的WEB服务器安全配置（SSL）已经完成了。五、WEB服务器证书的导出（备份）1、 进入Internet Information Services管理

13、开始程序管理工具Internet Information Services管理2、 鼠标右键单击默认WEB站点，并在弹出菜单中选择属性3、 在默认WEB站点属性窗口选择目录安全性4、 在安全通讯栏目中用鼠标点击服务器证书，出现WEB服务器证书向导界面5、 单击下一步，出现IIS证书向导界面，这时候您有若干种选择来处理您已安装的WEB服务器证书。6、 我们选择导出当前证书到.pfx文件，这样，我们以后就可以通过这个文件恢复这个WEB服务器证书。选择一个保存路径，单击下一步7、 输入.pfx文件的保护口令8、 出现导出证书的简要说明，确认之后，单击下一步9、 完成您的WEB服务器证书的备份工作注意

14、：请将导出的WEB服务器证书妥善保管，以备不时之需。六、WEB服务器证书的导入（恢复）假如由于系统出了问题，导致IIS崩溃或其他不可测原因迫使你重新安装了IIS或操作系统，那么您可以通过以下方式来恢复您的IIS WEB服务器证书。1、 进入Internet Information Services管理开始程序管理工具Internet Information Services管理2、 鼠标右键单击默认WEB站点，并在弹出菜单中选择属性3、 在默认WEB站点属性窗口选择目录安全性4、 在安全通讯栏目中用鼠标点击服务器证书，出现WEB服务器证书向导界面5、 单击下一步，出现IIS证书向导。这里分两种

15、情况：a) 仅仅是重新安装了IIS，或者丢失了WEB服务器证书：这时候我们可以选择指派一个已经存在本地容器里的证书然后出现本地容器中存在的证书列表确认端口，默认是443请确认证书简要说明完成证书导入（恢复）b) 假如说您重新安装了您的WINDOWS操作系统，那还可以通过导入先前我们备份的WEB服务器证书.pfx文件来恢复您的WEB服务器证书，所以我们这时候选择从一个.pfx文件导入证书为了便于以后导出（备份），请在标记证书可导出前打勾。输入您在先前导出WEB服务器证书时输入的.pfx保护口令确认端口，默认是443请确认证书简要说明完成证书导入（恢复）七、SSL双向认证的配置要实现SSL双向认证

16、，您必须同时配置WEB服务器证书和客户端证书，并且需要在服务器和客户端正确安装根证书。我们已经在前文中有过较为详细的描述了如何配置WEB服务器证书，下面就来谈谈SSL客户端证书的配置和根证书的安装。1、SSL客户端证书的配置首先您需要清楚这个概念，所谓的SSL客户端证书就是意味着这张证书存在于IE浏览器的证书容器中。您可以通过打开IE浏览器工具Internet选项内容证书个人至于如何使证书导入进IE浏览器的证书容器，方法有多种。假如说您通过您的浏览器在线申请了我们SHECA的安全电子邮件证书，那么这张证书已经自动安装到您的浏览器的证书容器中去了，也就是说不需要您手工做任何操作，已经具备了SSL

17、双向认证的客户端操作要求。如果您申请了我们SHECA的个人证书和其他类型的非直接在线安装的证书，那您还需要以下操作：l 首先将您的个人证书包括私钥导入我们SHECA的证书管理器（证书管理器版本要求2.26以上可以通过网络下载）。有关证书管理器的操作说明请参考我们SHECA发布的相关手册，或向我们SHECA客户服务部咨询相关问题。l 选中你希望导入IE浏览器证书容器的证书，然后点击证书管理器快捷菜单栏中的outlook图标，这时候会让你输入密码，请输入您证书的是要保护口令，然后确定。l 然后您可以通过打开IE浏览器工具Internet选项内容证书个人查看您导入的证书。l 由于通过证书管理器导入证

18、书到IE浏览器的证书容器的时候，经过了我们的CSP，所以在您以后进行SSL客户端认证的时候，会跳出我们SHECA密码设备选择窗口，在这里您只要输入相应的私钥保护口令就可以实现SSL双向认证了。2、根证书的安装要实现SSL双向认证，您必须分别在WEB服务器和客户端上正确部署上海CA中心的根证书。我们提供以下多种方式安装根证书：l 安装证书管理器l 访问我们上海CA中心的主页：，会自动安装根证书l 在我们上海CA中心的主页的中进入根证书下载页面，然后选择下载SSL双向认证根证书八、常见问题1、 如果您访问的WEB服务器时出现安全警报窗口，如下：那说明您在产生CSR时通用名（Common Name）

19、与您实际站点的域名不符合，请重新生成CSR，然后再提交SHECA签发新的证书。2、 当然，还有可能如下窗口：这说明在您的电脑上没有安装我们CA的根证书。有两种方法可以将我们SHECA的根证书导入到您本地浏览器的证书容器：a) 请访问我们公司的主页，它会出现提示窗口，你只要选择是，就会自动给您安装根证书。b) 用鼠标右键单击CertChain.spc，选择弹出菜单中的安装证书，然后按照提示完成操作步骤，以下是图解：点击next注意，选择place all.，然后点击browse在show physical stores前打上勾，然后双击展开Trusted Root Certificate Authorities，点击Local Computer，然后点击OK回到原来的页面点击Next点击finish完成根证书导入3、 如果出现下面窗口：这说明这张WEB证书还未生效或过期。如果证书已过期，那请重新到上海CA中心申请证书。