基于数字证书安全Web的配置V13.docx
- 文档编号:18171081
- 上传时间:2023-08-13
- 格式:DOCX
- 页数:30
- 大小:757.12KB
基于数字证书安全Web的配置V13.docx
《基于数字证书安全Web的配置V13.docx》由会员分享,可在线阅读,更多相关《基于数字证书安全Web的配置V13.docx(30页珍藏版)》请在冰点文库上搜索。
基于数字证书安全Web的配置V13
基于数字证书安全Web的配置V1.3
最初创建:
2005-4-18
最后修改:
2005-4-26
南瑞
目录
1.引言3
2.IISWeb服务器配置步骤3
2.1安装IISWeb服务器3
2.2添加证书管理单元3
2.3国调根证书和网省调根证书的导入7
2.4安装Web服务器证书10
2.5配置IIS11
3.厂站端的配置14
4.ApacheWEB服务管理器的配置15
5.常见问题和解决方法17
1.我插入usbkey,远程访问我的web服务器,为什么在连接后,跳出的提示选择证书对话框中看不到我的Key内的证书?
17
3.我在电厂客户端为什么访问不了调度侧web,为什么没有提示我输入PIN码的对话框出现?
20
4为什么我不能访问web,并提示401.1401.2401.3等错误?
21
5.为什么我修改了我的IIS配置,还是访问不了我的Webserver呢?
27
6.如何让我的IIS支持多种访问目录和页面,如何同时支持http和https呢?
27
1.引言
为了保护敏感数据在传送过程中的安全,可以采用SSL(SecuritySocketLayer)加密机制,在浏览器(如InternetExplorer、NetscapeNavigator)和Web服务器之间构造安全通道来进行数据传输。
HTTPS协议内置于其浏览器中,HTTPS协议使用SSL在发送方把原始数据进行加密,然后在接受方进行解密,加密和解密需要发送方和接受方通过交换共知的密钥来实现,而交换密钥之前双方身份的认证成为安全的焦点。
数字证书的使用允许SSL提供身份认证功能--客户端认证其所请求连接的服务器身份,服务器认证请求连接的客户端身份。
2.IISWeb服务器配置步骤
2.1安装IISWeb服务器
Internet信息服务(IIS)是Windows的组件,此组件可以很容易将信息和业务应用程序发到Web,IIS是流行的Web服务器之一。
要安装IIS,首先插入win2000光盘,选择添加/删除Windows组件,选择Internet信息服务组件,就可顺利安装IISWeb服务器。
2.2添加证书管理单元
1.点击“开始”->“运行”,在对话框中输入“mmc”,启动控制台。
下面是启动后的新控制台
2.选择菜单“控制台”->“添加/删除管理单元”,打开“添加/删除管理单元”对话框
3.选择“独立”页,点击“添加”按钮,打开“添加独立管理单元”窗口
4.选择“Internet信息服务”,点击“添加”按钮
5.选择“证书”,点击“添加”按钮,在“证书管理单元”中选择“计算机帐户”,点击“完成”按钮
6.点击“关闭”按钮,关闭“添加独立管理单元”窗口
7.点击“确定”按钮,关闭“添加/删除管理单元”窗口
8.点击控制台上的“保存”按钮,保存为“证书管理控制台.msc”.
此时,控制台的界面如图1
2.3国调根证书和网省调根证书的导入
1.国调根证书导入
打开建立的mmc控制台,鼠标右击“受信任的根证书颁发机构”,选择“所有任务”的导入,
点击“下一步”,导入文件(浏览国调根证书文件,文件类型为X.509证书(*.cer;*.crt)),然后点击“下一步”;
注意一定要点击浏览按钮,手动来选择导入证书
在证书存储对话框中,选择“将所有的证书放入下列存储区(P),证书存储:
点击浏览,选择证书存储,一定要选中“显示物理存储区(S)”复选框,点击“受信任的根证书颁发机构”,一定要选择“本地计算机”,然后“确定”,然后点击“下一步”即可完成导入。
=
2.中级根证书(即国调颁发给你们的证书)的导入步骤与国调根证书导入相似。
打开建立的mmc控制台,鼠标右击“中级证书颁发机构”,选择“所有任务”的导入,点击“下一步”,导入文件(浏览国调颁发给你们的证书文件,文件类型为X.509证书(*.cer;*.crt)),然后点击“下一步”;在证书存储对话框中,选择“将所有的证书放入下列存储区(P),证书存储:
点击浏览,选择证书存储,一定要选中“显示物理存储区(S)”复选框,点击“中级证书颁发机构”,一定要选择“本地计算机”,然后“确定”,然后点击“下一步”即可完成导入。
2.4安装Web服务器证书
打开刚才建立的证书管理控制台,在“控制台”窗口中选择“证书”,在“个人”项目上单击鼠标右键,选择“所有任务”->“导入…”,打开“证书导入向导”对话框,根据对话框提示输入PKCS12文件的路径,以及私钥保护密码(生成时有,用文件方式发行),完成服务器证书导入。
注意:
在控制台需要刷新,才能看到您导入的证书,按F5键或者按照下图操作―――>刷新来查看您当前证书
2.5配置IIS
启动“Internet信息服务”->(机器名)->默认Web站点,单击鼠标右键,选择菜单项“属性”。
打开“默认Web站点属性”对话框,选择“目录安全性”页,单击“服务器证书(S)…”按钮(见图2)。
图2默认Web站点属性
进入“Web服务器证书向导”,在“服务器证书”对话框中选择“分配一个已存在的证书”(见图3),单击“下一步”按钮;
图3“服务器证书”对话框
在“可用的证书”对话框(见图4)中选择要安装的服务器证书(本例中是10.144.100.244,和前面的过程类似,和导入国调根证书相同的方法,用控制台->证书->个人->所有任务->导入),完成Web服务器证书的安装,回到“默认Web站点属性”对话框(见图5)。
图4“可用的证书”对话框
图5“默认Web服务器属性”对话框
在“默认Web服务器属性”对话框的“目录安全性”页上单击“编辑”按钮,进入“安全通信”对话框(见图6)
图6安全通信
选择“申请安全通道(SSL)”、“申请128位加密”,“申请客户证书”,单击“确定”按钮。
返回“默认的Web服务器属性”对话框,单击“确定”按钮,完成IIS的配置。
需要注意的一点是,在您的IIS配置中,需要让外界访问的虚拟目录,它的设置必须在目录安全性匿名访问和验证控制编辑需要选中匿名访问的选择,否则不能访问。
3.厂站端的配置
1.国调根证书导入
打开建立的mmc控制台,鼠标右击“受信任的根证书颁发机构”,选择“所有任务”的导入,点击“下一步”,导入文件(浏览国调根证书文件,文件类型为X.509证书(*.cer;*.crt)),然后点击“下一步”;在证书存储对话框中,选择“将所有的证书放入下列存储区(P),证书存储:
点击浏览,选择证书存储,一定要选中“显示物理存储区(S)”复选框,点击“受信任的根证书颁发机构”,一定要选择“本地计算机”,然后“确定”,然后点击“下一步”即可完成导入。
2.中级根证书(即网省调根证书)的导入步骤与国调根证书导入相似。
打开建立的mmc控制台,鼠标右击“中级证书颁发机构”,选择“所有任务”的导入,点击“下一步”,导入文件(浏览网省调根证书的证书文件,文件类型为X.509证书(*.cer;*.crt)),然后点击“下一步”;在证书存储对话框中,选择“将所有的证书放入下列存储区(P),证书存储:
点击浏览,选择证书存储,一定要选中“显示物理存储区(S)”复选框,点击“中级证书颁发机构”,一定要选择“本地计算机”,然后“确定”,然后点击“下一步”即可完成导入。
3.客户端要装好USBkey的驱动后,USBKEY中的人员证书在插入USB后,系统会自动识别,并将人员证书导入浏览器中。
4.浏览器版本要是IE6.0以上。
支持的加密密钥长度128位。
(您现在的版本可以通过打开IE的帮助关于得到)。
5.键入网址时,要记得“https:
//”,而不是“http:
//”。
4.ApacheWEB服务管理器的配置
因为Apache本身不带SSL协议模块,所以要请负责Apache的应用厂商将Apache配置SSL协议模块,使之支持SSL.
还要使Apache支持OPENSSL,配置OPENSSL支持模块.
这两项工作需由web服务器提供厂商支持.
1.在Apache的http.d文件中填加定义字段,打开默认的443端口(网页原来的端口为80)
.这样可以同时监听普通网页的80端口和加密通道的443端口。
例如:
Listen80
Listen443
2.配置好系统根证书和系统证书
例如:
443> DocumentRoot"c: /apache/htdocs"//系统文挡目录 ServerName127.0.0.1//服务器名称 ServerAdminyou@your.address//管理员邮件地址 ErrorLoglogs/error_log TransferLoglogs/access_log SSLEngineon SSLCipherSuiteALL: ! ADH: ! EXPORT56: RC4+RSA: +HIGH: +MEDIUM: +LOW: +SSLv2: +EXP: +eNULL SSLCertificateFileconf/ssl/_Cert.crt //本系统web服务器证书 SSLCertificateKeyFileconf/ssl/_Key.pem //本系统web服务器的私钥文件 #enableclientcertificaterequirement SSLVerifyClientrequire //SSL验证需要客户端证书 SSLVerifyDepth1 //SSL证书认证的深度 SSLCACertificatePathconf/ssl //存放签发本系统web服务器的根证书文件的目录 SSLCACertificateFileconf/ssl/RootCert.crt //存放签发本系统web服务器的根证书的文件 ………… ………… ………… 5.常见问题和解决方法 1.我插入usbkey,远程访问我的web服务器,为什么在连接后,跳出的提示选择证书对话框中看不到我的Key内的证书? 这种情况有可能是客户机或者web服务器端没有安装国调根证书和中级CA证书,注意,两端都要导入两级证书,解决方法如下: 双击国调根证书文件,如下图所示,, 点击安装证书按钮,则 点击下一步,则选择“将所有证书放入下列存储区”, 并点击浏览按钮,则出现下面,选择“显示物理存储区”-受信任的根证书颁发机构->localcomputer, 接着,完成国调根证书的配置,与此过程类似,完成中级CA证书的配置。 ,如您是 浙江省调CA,则接着导入浙江省调的CA证书,重复强调一点的是,电厂和Web服务器端都要导入根证书和中级CA证书,缺一不可! 2.我怎么测试我的IIS服务配置是否正确? 可以在本机上测试我的https的web服务器吗? 怎么测试? 可以的,最简单的方法是安装您的webserver证书到您的IE中,这里的安装不同于前面的控制台方式的安装,必须,双击证书手动安装证书到IE中。 如上图所示,填写您的私钥保护口令,这在我们发行P12文件时是有指定的文件存放的,然后,按照默认配置一直安装证书至完成。 如我们在IE中输入https: //.........................,则会提示发现一个本机的证书, 点击确认后则可以接着访问了,由此,可以测试本机IIS配置的正确性。 3.我在电厂客户端为什么访问不了调度侧web,为什么没有提示我输入PIN码的对话框出现? 请检查您的厂站工具软件,一定要装最新的国调给的usbkey的软件,装之前将您的旧工具软件卸载再装。 请注意南瑞网站上www.nari- 电厂专用工具---国家电力调度证书系统客户端电子钥匙用户工具.exe,这是最新工具 4为什么我不能访问web,并提示401.1401.2401.3等错误? “IIS配置401错误”完美解决方案(54powerman) 1、错误号401.1 症状: HTTP错误401.1-XX: 访问由于凭据无效被拒绝。 分析: 由于用户匿名访问使用的账号(默认是IUSR_机器名)被禁用,或者没有权限访问计算机,将造成用户无法访问。 解决方案: (1)查看IIS管理器中站点安全设置的匿名帐户是否被禁用,如果是,请尝试用以下办法启用: 控制面板->管理工具->计算机管理->本地用户和组,将IUSR_机器名账号启用。 如果还没有解决,请继续下一步。 选择“控制面板” 再选择”管理工具” 再选择”计算机管理” 察看当前IUSR_机器名账号是否启用 (2)查看本地安全策略中,IIS管理器中站点的默认匿名访问帐号或者其所属的组是否有通过网络访问服务器的权限,如果没有尝试用以下步骤赋予权限: 开始->程序->管理工具->本地安全策略->安全策略->本地策略->用户权限分配, 双击“从网络访问此计算机”,添加IIS默认用户或者其所属的组。 下面是已经添加好用户的情形: 注意: 一般自定义IIS默认匿名访问帐号都属于组,为了安全,没有特殊需要,请遵循此规则。 2、错误号401.2 症状: HTTP错误401.2-XX: 访问由于服务器配置被拒绝。 原因: 关闭了匿名身份验证 解决方案: 运行,控制面板->计算机管理-〉Internet信息服务-> 如下,CAtest是我们建立的一个虚拟目录,建立虚拟目录的方法见下图 打开您所建立的站点,右键属性->目录安全性->匿名访问和身份验证控制->点编辑, 一般匿名方式访问,windows会为所有外网客户主机设立一个匿名帐号,请不要修改此帐号,一切按照默认配置。 3、错误号: 401.3 症状: HTTP错误401.3-XX: 访问由于ACL对所请求资源的设置被拒绝。 原因: IIS匿名用户一般属于Guests组,而我们一般把存放网站的硬盘的权限只分配给administrators组,这时候按照继承原则,网站文件夹也只有administrators组的成员才能访问,导致IIS匿名用户访问该文件的NTFS权限不足,从而导致页面无法访问。 解决方案: 给IIS匿名用户访问网站文件夹的权限,方法: 进入该文件夹的安全选项,添加IIS匿名用户,并赋予相应权限,一般是读、写。 5.为什么我修改了我的IIS配置,还是访问不了我的Webserver呢? 请确认您保存了您的所有配置,并且重新启动了您的IIS服务,如下图所示 点默认网站,右上角出现的录音机形式的播放、停止、暂定的图标,先停止一下,再点击开始按钮,重新启动IIS 6.如何让我的IIS支持多种访问目录和页面,如何同时支持http和https呢? 可以通过建立虚拟目录和进行不同的配置,进行同时支持http和https的访问,下图是建立虚拟目录的方法: 虚拟目录建立好以后,右键属性->目录安全性->安全通信->编辑 如果您不需要ssl访问,则不需要选择安全通道,并且忽略客户证书, 如果您需要https的访问,则必须选择安全通道和要求客户证书 7.为什么我修改过后的默认web网站,我原先建立的虚拟目录,现在https访问不行了呢? 请注意您修改的默认web网站―――>右键属性――>目录安全性―――>安全通信―――>编辑,修改过配置后,会提示您是不是要将此属性应用到它的下层子目录中,需要特别注意,不要让上层设置覆盖了下层虚拟目录属性。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 数字证书 安全 Web 配置 V13
![提示](https://static.bingdoc.com/images/bang_tan.gif)