SSL(Secure Sockets Layer,安全套阶层)是一个工作在TCP与应用层之间的安全协议。该协议提供私密性、信息完整性和身份认证特性。这些特性主要综合运用了各种加密技术,如数字证书、非对称加密算法和HMAC等实现。可用于加密HTTP、邮件、VPN等。
SSL大致的工作过程如下:通信双方先协商协议版本和加密算法。然后服务器将自己的证书发给客户机。客户机通过下载的权威机构CA的根证书来验证服务器证书的有效性。客户机产生一个随机数,用服务器证书中的公钥加密这个随机数后发送给服务器。服务器通过自己的私钥解密获取这个随机数。双方都拥有了这个随机数,都用这个随机数产生用于数据加密和用于校验的对称秘钥。随后双方通过这些对称秘钥加、解密数据和进行数据的完整性校验。
下面通过安装独立根CA、架设SSL网站,实现加密技术的综合运用。
实验环境:需要启动三台虚拟机,PC1为Win2012,用做CA服务器;PC2为Win2012,用做Web服务器,PC3为Win7,用做客户机。
(PC1:CA服务器 ,PC2:Web服务器,PC3:客户机)
IP DNS
PC1:192.168.10.1 192.168.10.2
PC2:192.168.10.2 192.168.10.2
PC3:192.168.10.3 192.168.10.2
一、配置CA服务器
打开服务器管理器,点击添加角色和功能,选择如下服务
在角色服务中勾选“证书颁发机构Web注册”,第一个默认会勾选。
接着一直单击下一步安装即可
二、配置Web服务器
打开服务器管理器,点击添加角色和功能,选择如下服务
一直下一步最后安装即可
三、配置DNS服务
一直单击下一步安装即可
四、获取根证书
为web服务器获取根证书,将根证书添加到“受信任的根证书颁发机构”。
如图打开浏览器,输入http://192.168.10.1/certsrv
五、生成秘钥对
在web服务器上为网站生成秘钥对,并生成数字证书申请文件。
六、申请数字证书
提交网站的数字证书申请文件内容,向CA申请网站的数字证书。
打开浏览器 输入http://192.168.10.1/certsrv
七、CA服务器颁发证书给web服务器
在CA服务器上,打开服务器管理器,选中证书服务中的“挂起的申请”
八、在web服务器上获取已颁发的证书
打开浏览器 输入http://192.168.10.1/certsrv
打开下载文件夹查看下载的证书
九、在web服务器上打开IIS完成证书申请
十、配置IIS的HTTPS的认证模式
十一、下载并安装根CA证书
进入win7客户机进行相关配置
打开浏览器输入http://192.168.10.1/certsrv
在桌面找到并双击打开
打开浏览器并输入网址https://www.lcvc.cn,可通过SSL正常访问网站
