基本SSL实验:
开三台虚拟机 2008(HTTPS服务器) 2008(CA服务器) XP(客户机)
1.检查网络设置:(IP 防火墙)是否可以ping通。
把虚拟机放置V2虚拟交换机上面,并配上ip地址,可以ping通。
2.安装IIS服务 并建立一个站点。(必须使用域名)
在2008上发布http服务器(可以关闭默认网站),见之前详细步骤
在XP(因为没有dns服务器,所以要在hosts文件中加入解析)上可以访问
3.安装CA
在2008(CA服务器)上安装CA,也要安装http服务器,设置的期限为:CA可以使用多长时间
4.向CA申请证书 打开CA
关闭Internet explorer :计算机右键管理-服务器管理-配置IE ESC(中间)-把两个启用点成禁用
先在web服务器上,创建证书申请,生成相关文件
方法:在web服务器上打开网页输入: 192.168.1.1/certsrv
注释:192.168.1.1是CA服务器的IP
打开网页并向CA发送web服务器申请文件 高级证书申请-第二个(base64)
5.CA颁发
打开CA,挂起的申请,所有任务,颁发
6.在web服务器上下载并完成安装
192.168.1.1/certsrv 查看挂起的证书申请的状态,下载证书(选择桌面)
完成证书申请
7.在web服务器上启用SSL443
添加443端口
8.在客户端上验证(此时会出现安全警报)
此时,http,HTTPS都可以访问
二、要求用户必须使用443访问,不能使用80访问!
三、如何让客户端不出现安全警报
1.让客户端下载证书(不是要通过自己申请的证书,而是直接下载CA证书)
192.168.1.1/certsrv 下载CA证书、证书链或CRL -- 下载CA 证书-- 保存桌面安装
2.在客户端上验证 此时已经有两个对号
四、让服务器对客户端验证
1.在web服务器上要求客户端有证书
192.168.1.1/certsrv 申请证书--web浏览器证书--在CA服务器颁发证书--在客户端 查看挂起的证书申请的状态--安装
2.客户端申请证书(客户端若没有证书,则无法访问web网页)
3.CA颁发
4.客户端上安装证书
5.客户端上再验证!
在web服务器,配置SSL如下,意思是必须使用HTTPS访问
五、也可以在真实机验证,把真实机放到和虚拟机同样的虚拟网卡就可以!!