部署PKI与证书服务给网页加“s”

          IIS部署PKI与证书服务

一、什么是PKI

  PKI（公钥基础设施），是通过使用公钥技术和数字签名来确保信息安全，并负责验证数字证书持有者身份的一种技术。

本次实验的目的是使用PKI协议中的SSL为了给网页地址“http”后边加“S”。浏览网页的时候更安全，不必担心其发送的信息被非法的第三方截获。

二、证书颁发机构

  证书颁发机构也称为数字证书认证中心（Certficate  Authority，CA），是PKI应用中权威的、可信任的、公正的第三方机构，也是电子交易中信赖的基础。CA的主要功能是负责生产、分配并管理所有参与网上交易的实体所需的身份认证数字证书。

三、实验要求

随便搭建一个网页，使用HTTPS（安全超文本传输协议）建立安全连接。

四、实验拓扑图

五、实验步骤

1、配置完相应的IP地址之后首先来配置证书颁发机构CA（实际工作中CA是不可能自己搭建的，是要像有权威的CA申请证书。）

1.1）、添加服务器角色，选择“Active Directory 证书服务”（这里做的是一台独立CA。如果做企业CA，需要AD服务）

1.2）、为WEB服务颁发证书需要勾上“证书颁发机构Web注册”

1.3）、没有域环境会默认装成独立CA。

1.4）、后边全部选择默认设置，完成安装。（此时如果在CA服务器上没有安装过WEB服务，会默认安装WEB服务。因为要使用网页来申请证书。）

2、安装并配置web服务器

2.1）、安装WEB服务器，后边的配置都选默认的。

2.2）、在C盘下创建一个网页的根文件夹。

2.3）、在文件夹里新建一个记事本，随便打点字保存。把文件名字改为index.html

2.4）、打开IIS服务器。

2.5）、右击网站，点击添加网站。名称随便，物理路径指向刚才在C盘创建的那个文件夹

2.6）、先把默认的网站停止，把新创建的网站启动。

2.7）、用客户机登录一下看能否访问。

3、网站搭建完毕。开始给网页加S吧。

3.1）、打开web服务器IIS管理器，双击证书服务。

3.2）、点击右侧窗格的创建证书申请。

3.3）、这里由于不是真的网页，所以没有真实的信息就随便填写

3.4）、加密服务选择默认的即可。

3.5）、为证书申请一个文件名，可以选择桌面，随便起一个名字，以“.txt”格式结尾的文本。（这个文件不用提前创建好，自动创建。）

3.6）、打开刚才这个文件，复制里边的所有内容。

3.7）、打开浏览器，输入CA（证书服务器）服务器的ip地址（也可以输入CA服务器的计算机名），并且加上“/certsrv”

3.8）、点击添加，并把CA服务器的地址添加进去。

3.9）、选择申请证书。

3.10）、再选择高级证书申请。

3.11）、选择第二项，使用base64…….证书申请。

3.12）、把刚才复制的那一堆乱码复制进去，点击提交。

3.13）、显示证书正在挂起，（独立CA需要手工颁发证书，企业CA就自动颁发了。）

3.14）、这时候回到CA服务器上，来颁发证书。

3.15）、选择挂起的申请，右击刚才申请的证书，选所有任务，点击颁发。

3.16）、回到WEB服务器上，在浏览器中重新登录CA的那个网站，选择查看挂起的证书申请的状态。

3.17）、选择保存的申请证书。

3.18）、这是可以看到证书已经颁发，点击Base64编码，下载证书。

3.19）、选择一个路径保存，这里保存到了桌面。

3.20）、打开IIS管理器，进入服务器证书，点击完成证书申请。

3.21）、选择刚才保存的证书。好记名称随便。

3.22）、右击网站名，选择编辑绑定。

3.23）、点击添加，类型选择“https”，证书选择刚才添加的“a”

3.24）、双击“ssl设置”

3.25）、勾选“要求SSL”，点击应用。

4.在客户机上验证。

4.1）、输入web服务器上创建的网站，前边输入https，会弹出“安全报警”，点击确定即可。

4.2）、又提示安全报警。继续点“是”（因为该证书不是有权威的CA颁发的，是自己做的CA所以不会被浏览器信任。不过不用担心。）

4.3）、成功打开网页，已经成功给网页加上了“S”。

实验完毕