IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

[第一部分 环境介绍]

架构

1台CA(独立根CA)

1台IIS Server

1台客户端计算机

版本

所有的计算机OS均为Windows Server 2008 R2,所以IIS为7.0版本。

[第二部分 测试环境准备]

一 搭建一台CA Server

此部分内容相对简单,如果你是刚接触这方面的内容,可以我之前的文章,链接如下:

http://mlxia.blog.51cto.com/972988/1217914

注意:本次环境我再安装证书时选择的是独立根CA,与链接中的不同;其他均为默认设定,无特殊注意事项。

二 搭建一台IIS Server

此部分内容相对简单,如果你是刚接触这方面的内容,可以我之前的文章。

三 创建一个IIS的测试用站点

1. 打开IIS控制台,添加网站站。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

2.输入站点名称和网页存放的物理路径。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

3.上图中由于默认端口选的是80与默认站点冲突,因此站点无法启动(不要嫌我烦,做测试呢最重要是心平气和。)

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

4.重新编辑绑定,选择一个未被占用的端口。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

关闭后,启动该站点。

二 为该IIS服务器申请证书

在申请前先将CA Server的根证书导入“所信任的根证书颁发机构”区域。此部分比较基础,不懂的可以参考我之前的博客,或者谷歌一下,到处都有相关的文档。

1.我们为服务器申请一张服务器证书。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

2.创建证书申请。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

这里我打算未来用IP地址访问站点,所以就这么写了,如果大家习惯用DNS Name也可以写成DNS name;另外也可以有办法申请多域名证书,实现无论我使用IP、NetBIOS或者DNS name都呢个正常访问网站。具体可以参考:http://mlxia.blog.51cto.com/972988/1217953

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

这事申请证书时需要提供的申请文件内容。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

3.访问证书服务器web注册站点(http://CAServer/certsrv),“Request a certificate”。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

4.advanced certificate request。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

5.第二项,提交申请文件申请。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

6.帮上面申请文件的内容Ctrl+A然后Ctrl+v到下图的第一个文本框中。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

9.点击上图中的“Submit”。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

10.来到CA服务器,手动颁发刚才申请的证书。(如果你使用的是企业根CA且IIS服务器加入域,那么这个审批会自动执行,无需人工参与)

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

11.看到被挂起的证书申请。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

12.手动颁发申请。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

13.查看已颁发的申请。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

14.再回到IIS Server,访问CA Server证书申请站点。选择“View the status of a pending certificate request”

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

15.将证书下载下来。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

17.保存后找到该证书,并双击打开。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

18.再次回到IIS服务器,完成证书申请。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

好记的名字无所谓写什么,只要不冲突,管理员能知道这个证书时干嘛的就行。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

完成之后我们可以在IIS服务器的本地计算机证书中看到刚申请的证书。这里就很有意思了,想想看我们是不是也可以在这里为IIS Server申请证书呢,答案是当然的,我之前的博客里也有相关的内容,这里就不给链接了,要么自己思考如何完成,要么就翻博客吧。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

三 IIS站点证书绑定

1.证书申请好了,那么就需要把证书与Web 站点进行绑定。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

3.必须选择类型为https才可以选择证书。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

5.哎,为什么访问不了呢;我也不清楚,但是我立即想到似乎这个网站还没有任何网页文件呢;可能是这个原因吧。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

6.那么我们建立一个简单的html文件在d:\test01文件夹下。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

7.再次访问。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

8.仔细看看访问的信息

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

9.我们再来看看网站的SSL设定。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

10.这个是默认设定。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

默认情况下,IIS服务器不要求客户端证书。

11.那么我们看看勾选“要求SSL”的时候访问的情况。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

忽略的意思是站点不会检查客户端的证书有没有,直接忽略。

12.我们把SSL客户端的设定设置为“接受”;再看看访问情况。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

接受的意思是站点会检查客户端有没有证书,证书有没有效;如果客户端的检查结果为没有,那么站点就忽略客户端证书;如果检查为结果为有,那么站点服务器和客户端将使用这张客户端证书进行通讯。

13. 我们把SSL客户端的设定设置为“必需”;再看看访问情况。

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

IISSSL客户端证书忽略/接受/必须之一——服务器证书申请

14.为了解决上面的问题,我们需要申请一张客户端证书。

未完,待续……

下一篇:IIS SSL客户端证书(忽略/接受/必须)之二——客户端证书申请

更多相关文章
  • 转自:http://tujack.com/本文目的,帮助用户完成初始化的证书申请.如果使用域根证书颁发机构签发的服务器证书则表示后续内部的客户端访问时无需另外安装证书,这对于POC 来说也是非常方便的.打开Netscaler web 控制台之后,到如下路径Configuration -> Tr ...
  • IISSSL客户端证书忽略/接受/必须之二——客户端证书申请
    Technorati 标记: IIS,CA,证书,SSL,客户端证书,夏明亮[第三部分 客户端证书申请]1. 来到需要访问站点的客户端服务器,运行mmc.下面是申请用户证书的步骤,比较简单没什么可以解释的,直接看图吧.创建自定义请求.下一步模板选择用户.属性.友好名称写需要使用证书的用户名.为证书添 ...
  • IISSSL客户端证书忽略/接受/必须之三——思考验证2
    Technorati 标记: IIS,CA,证书,SSL,客户端证书,夏明亮[二:通过网页申请证书是否也可以实现?]1.先删除所有用户证书,保证iis不可访问2.Web证书申请,注意证书类型,选择"Client Authentication Certificate".3.提交申请 ...
  • IISSSL客户端证书忽略/接受/必须之三——思考验证1
    Technorati 标记: IIS,CA,证书,SSL,客户端证书,夏明亮针对以上几点,我再设计如下实验.[一:把自己的证书发导出别人用是否可以?]1.另找一台没有加入域的计算机,访问https://192.168.111.122.调整IIS设置3.再访问4.再调整5.再调整6.导入根证书后结果一 ...
  • IISSSL客户端证书忽略/接受/必须之三——思考验证3
    Technorati 标记: IIS,CA,证书,SSL,客户端证书,夏明亮[三:CA服务器中删除客户端证书(CA),客户端可用?]1.在CA Server中吊销刚颁发的客户端证书.2.测试使用已经被吊销的客户端证书访问WEB Site.证明:删除CA服务器中的证书后,客户端证书依然可用.[四:证明 ...
  • 650) this.width=650;">      在紧接着的服务器证书窗口中选择旧证书后,在右边操作窗口选择"删除",如下图所示:                       删除旧证书之后,边缘同步就会失败了,可以从下面截图中看到结果.          ...
  • 搭建基于证书认证登录的OpenVPN服务器
    一.OpenVPN简介    OpenVPN 是一个基于 OpenSSL 库的应用层 VPN 实现.和传统 VPN 相比,它的优点是简单易用.    OpenVPN允许参与建立VPN的单点使用共享金钥,电子证书,或者用户名/密码来进行身份验证.它大量使用了OpenSSL加密库中的SSLv3/TLSv ...
  •     为了测试基于微软架构下强大的SSL双向认证,本文档采用了的微软服务器操作系统:Windows 2003 EnterpriseServer:另外,为了使整个操作环境保持兼容性.一致性,本文档从服务器端到客户端都采用英文操作系统.1.产生证书请求(CSR)文件开始à程序à管理工具àInterne ...
一周排行
  • 插件介绍:数学是我们生活中不可缺少的一部分,处处都会用的数学,在学习数学的过程中,普通的计算器已经无法满足数学学习了,图形计算器就运应而生,这大大滴提高了小伙伴们的学习效率,今天就给大家介绍一款图形计算器.GeoGe ...
  • 图解YARN工作原理
          YARN 即MapReduce V2版本.相比MapReduce V1 它有很 ...
  • 最近学习Cacti,在一路的学习中遇到了不少的问题.记下自己的学习过程.分为几个部分:一.Cacti的概述和安装二.Cacti的插件安装三.Cacti监控实例一.Cacti的概述和安装1.概述    Cacti是一个 ...
  • office2003完全卸载工具来自微软官方
    来自微软自家的Office卸载工具,支持Office2003卸载 .可以彻底解决Offic ...
  • 其实就算是现在,我还是有不少地方概念模糊,但是下面的内容是是没有什么问题的.稍微介绍一下,或许有些地方我无法解释:大部分内容都是查的Java SE 5.0 APIIcon:Icon位于javax.swing包中,它是 ...
  • 个人原创,欢迎转载,转载请注明地址,专栏地址http://blog.csdn.net/bill_man3D游戏中光照对于游戏效果占有举足轻重的作用,也是与2D游戏的重要区别.cocos引擎也提供了完善的光效效果支持. ...
  • 基于AFNetworking3.0网络封装
    概述 对于开发人员来说,学习网络层知识是必备的,任何一款App的开发,都需要到网络请求接口 ...
  • Spring+iBatis+JOTM实现JTA事务 JOTM是个开源的JTA事务管理组件,可以让程序脱离J2EE容器而获得分布式事务管理的能力. 测试过程如下: 一.环境 1.准备软件环境 spring-framew ...
  • 一."类方法"与"类引用"类型       一般所称的"方法",都是指"对象方法".也就是说,执行该方法,将可能导致对象的状态发生改变, ...
  • inode 存储所有和文件相关的的元数据.文件的元数据是文件名和文件内容以外的.所有有关文件的信息.比如,文件的所有者.权限及其修改时间.dentry是"Directory Entry"的缩写形式 ...