WEB服务器SSL双向认证安装使用指南5644.docx

《WEB服务器SSL双向认证安装使用指南5644.docx》由会员分享，可在线阅读，更多相关《WEB服务器SSL双向认证安装使用指南5644.docx（57页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、WEB服服务器SSSL双双向认证证证书安装装使用指指南上海数字字证书认认证中心心有限公公司20033/04/08文档说明明：本文档是是WEBB服务器器SSLL双向认认证安装装使用指指南，详细描描述了WWEB服服务器证证书的申申请、安安装、备备份、恢恢复以及及SSLL双向认认证的配配置。版本信息息：当前版本本 1.1技术支支持部版本更新新记录：1.1闻剑峰峰增加SSSL根根证书的的安装修改相相关的操操做步骤骤1.0闻剑峰峰本使用用指南创创建版权信息息：SHECCA是上上海市电电子商务务安全证证书管理理中心有有限公司司的注册册商标和和缩写。UCA 是上海海市电子子商务安安全证书书管理中中心有限限公

2、司研研究开发发的通用用证书系系统的商商标和缩缩写。本文的版版权属于于上海市市电子商商务安全全证书管管理中心心有限公公司，未未经许可可，任何何个人和和团体不不得转载载、粘贴贴或发布布本文，也也不得部部分的转转载、粘粘贴或发发布本文文，更不不得更改改本文的的部分词词汇进行行转贴。未经许可可不得拷拷贝，影影印。Copyyrigght 20000上海数字字证书认认证中心心有限公公司文档发行行说明当您阅读读完本文文档，您您应该能能解决如如下问题题：1、 WEB服服务器证证书的请请求文件件CSRR的产生生；2、 WEB服服务器证证书的在在线申请请；3、 WEB服服务器证证书的安安装；4、 WEB服服务器S

3、SSL安安全配置置；5、 WEB服服务器证证书的导导出（备备份）和和导入（恢恢复）；6、 SSL双双向认证证的配置置；7、 使您的系系统信任任SHEECA根根证书；8、 将证书从从证书管管理器导导入IEE浏览器器证书容容器本文档不不能使您您达到如如下目的的：1、 SHECCA其他他证书的的具体申申请方法法请咨询询SHEECA客客户服务务部2、 证书管理理器的具具体使用用方法请请咨询SSHECCA客户户服务部部3、 证书编码码的说明明 请请咨询SSHECCA技术术支持部部4、 SHECCA CCSP的的相关说说明 请咨询询SHEECA技技术支持持部5、 IIS的的相关技技术细节节请咨询询微软客客

4、户服务务中心6、 IE浏览览器的相相关技术术细节请请咨询微微软客户户服务中中心文档书写写环境说说明：为了测试试基于微微软架构构下强大大的SSSL双向向认证，本本文档采采用了最最新的微微软服务务器操作作系统：Winndowws 220033 Ennterrpriise Serrverr；另外外，为了了使整个个操作环环境保持持兼容性性、一致致性，本本文档从从服务器器端到客客户端都都采用英英文操作作系统。当当然这并并不等于于说我们们SHEECA的的证书不不能在中中文操作作环境中中使用，相相反，经经过实践践证明，我我们SHHECAA的证书书在中文文平台上上表现的的格外出出色。以以下是本本文档的的具体试

5、试验环境境：WEB服服务器：Winndowws 220033 Ennterrpriise Serrverr Enngliish Ediitioon + IIIS 66.0客户端：Winndowws XXP PProffesssionnal Engglissh VVerssionn + Serrvicce PPackk 1一、WEEB服务务器证书书申请请请求文件件（CSSR）产产生1、 产生证书书请求（CCSR）文件开始程序序管理工工具Innterrnett Innforrmattionn Seerviicess管理2、 鼠标右键键单击默默认WEEB站点点，并在在弹出菜菜单中选选择属性性3、 在

6、默认WWEB站站点属性性窗口选选择目录录安全性性4、 在安全通通讯栏目目中用鼠标标点击服服务器证证书，出现WEEB服务务器证书书向导5、 鼠标单击击下一步步，选择择创建一一个新证证书，开开始证书书请求向向导6、 选择产生生请求文文件，不不直接发发送7、 以下根据据提示按按照您的的WEBB服务器器的实际际信息输输入注意：选选择10024位位密钥长长度注意：通通用名一一定是您您WEBB服务器器的域名名（FQQDN），如果在这一步你输入不正确，那会对您以后正确使用WEB服务器证书有影响，我会在本文档的第八章节做进一步阐述。注意：请请确认证证书请求求文件（CCSR）保保存位置置注意：确确认刚才才您输入

7、入的信息息的正确确性注意：完完成证书书申请请请求，请请求文件件为ceertrreq.txtt，具体体格式类类似如下下形式：二、WEEB服务务器证书书在线申申请1、 拿WEBB服务器器证书申申请请求求文件ccerttreqq.txxt到SHEECA网网站开始始进行证证书申请请第一步：登陆hhttpp:/wwww.shhecaa.coom，点点击申请请数字证证书我是是证书用用户在线线证书申申请WEEB SServver证证书申请请2、 在方框里里输入从从SHEECA证证书受理理点获取取的密码码信封序序列号和和信封密密码。3、 鼠标点击击现在登登录，出出现UnniTrrustt Web SServv

8、er证证书申请请页面4、 阅读完注注意事项项之后点点击马上上申请，进入下下一个页页面5、 把服务器器生成的的CSRR请求文文件ceertrreq.txtt中的-BEGGIN NEWW CEERTIIFICCATEE REEQUEEST-到-EEND NEWW CEERTIIFICCATEE REEQUEEST-之间间的内容容贴在网网页的大大方框里里面，确确认无误误后，单单击发送送申请6、 提示WEEB服务务器请求求发送成成功，单单击OKK确认7、 开始下载载证书，这这里您可可以下载载DERR或者是是PEMM编码的的证书，根根据您的的需要做做选择。如果是IIIS WEBB服务器器，请选选择下载载

9、PEMM编码证证书7-1选选择下载载DERR编码证证书进入证书书下载页页面，此此时页面面上出现现您的WWEB服服务器证证书相关关信息，请请用鼠标标单击保保存证书书7-2选选择下载载PEMM编码证证书屏幕上出出现UCCA根证证书，第第一级子子CA证证书以及及您所申申请的WWEB服服务器证证书，请请将每一一段PEEM编码码分别保保存到一一个空文文件中，文文件名可可以叫uuca.pemm，suubcaa.peem，mmyweebceert.pemm8、 证书保存存成功，WEB服务器证书在线申请完成如果选择择下载PPEM编编码，则则不会出出现这个个页面三、WEEB服务务器证书书的安装装1、 进入Inn

10、terrnett Innforrmattionn Seerviicess管理开始程序序管理工工具Innterrnett Innforrmattionn Seerviicess管理2、 鼠标右键键单击默默认WEEB站点点，并在在弹出菜菜单中选选择属性性3、 在默认WWEB站站点属性性窗口选选择目录录安全性性4、 在安全通通讯栏目目中用鼠鼠标点击击服务器器证书，出现WEEB服务务器证书书向导5、 鼠标单击击下一步步，开始始进行WWEB服服务器正正书安装装向导，然然后按照照提示操操作注意：这这个文件件是你从从SHEECA网网站申请请成功下下载的证证书比如说PPEM编编码的证证书，就就是在本本文档的的

11、第199页描述述的myywebbcerrt.ppem文文件端口默认认的是4443，您您也可以以根据实实际情况况更改注意：以以上是您您的WEEB服务务器证书书的具体体信息注意：完完成WEEB服务务器证书书的安装装注意：此此时，您您可以通通过单击击安全通通讯栏中中的查看看证书查查看证书书的详细细信息6、 重启IIIS服务务，SSSL服务务已经启启动了，现现在您可可以通过过浏览器器以HTTTPSS方式访访问您的的WEBB站点了了。7、 双击浏览览器右下下脚锁标志，您您可以查查看WEEB服务务器证书书的相关关信息四、WEEB服务务器SSSL安全全配置1、 进入Innterrnett Innforrma

12、ttionn Seerviicess管理开始程序序管理工工具Innterrnett Innforrmattionn Seerviicess管理2、 鼠标右键键单击默默认WEEB站点点，并在在弹出菜菜单中选选择属性性3、 在默认WWEB站站点属性性窗口选选择目录录安全性性4、 在安全通通讯栏目目中用鼠鼠标点击击编辑，出现安全全通讯界界面注意：l 如果您在在需要安安全通道道（SSSL）前前打上勾勾，则以以后客户户端浏览览器仅可可以通过过HTTTPS访访问您的的WEBB服务器器；l 如果您在在需要1128位位加密前前打上勾勾，则以以后客户户端浏览览器只有有具备1128位位加密强强度之后后才可以以访问

13、您您的WEEB服务务器；有有关浏览览器的加加密强度度请咨询询相关软软件开发发商；l 客户端证证书选项项分三种种：i. 忽略客户户端证书书：客户端端访问WWEB服服务器的的时候不不需要提提供客户户端自己己证书ii. 接收客户户端证书书：客户端端访问WWEB服服务器的的时候弹弹出客户户端验证证窗口，允允许客户户端选择择自己的的证书，进行身份验证，然后访问WEB服务器，这时，如果客户端没有自己的证书，访问仍旧可以照常进行iii. 需要客户户端证书书：这里仅仅当客户户端拥有有自己的的证书，并并通过验验证之后后，访问问才可以以进行下下去l 允许客户户端证书书映射，这这项功能能是将您您的WEEB服务务器上

14、的的资源和和WINNDOWWS帐号号下的用用户通过过证书捆捆绑，有有关详细细操作，请请参考活动目录中的证书使用。l 允许证书书信任列列表：打打开这项项功能之之后，只只有由列列表中您您添加的的信任的的根证书书签发的的客户端端证书，才才可以授授权访问问您的WWEB服服务器。具具体操作作如下：鼠标单击击新建下一步从容器中中添加，是是指从您您的IEE浏览器器证书库库中添加加相应的的根证书书；从文文件添加加，是指指可以直直接选定定根证书书文件添添加。有有关如何何将我们们SHEECA的的根证书书添加到到您的IIE浏览览器，请请看本文文档的附附录。这里，我我们选择择从容器器添加在列表中中选择您您想信任任的根

15、证证书比如用户户通过选选择UCCA和SSHECCA把SSHECCA的根根证书添添加到您您的信任任列表中中来，单单击下一一步您可以给给信任列列表取一一个名字字，便于于以后灵灵活配置置您的访访问控制制单击下一一步完成证书书信任列列表设置置5、 如果您已已经根据据自己的的实际需需要完成成了安全全通讯的的设置，请请单击确确定按钮钮6、 重启您的的IISS服务器器，通过过客户端端浏览器器访问您您的WEEB服务务器，假假如在先先前的设设置中需需要您设设置了需需要客户户端证书书的话，这这时候会会弹出客客户端认认证窗口口选择您相相应的个个人证书书确认密钥钥交换，请请单击OOK按钮钮。好了，基基本的WWEB服服

16、务器安安全配置置（SSSL）已已经完成成了。五、WEEB服务务器证书书的导出出（备份份）1、 进入Innterrnett Innforrmattionn Seerviicess管理开始程序序管理工工具Innterrnett Innforrmattionn Seerviicess管理2、 鼠标右键键单击默默认WEEB站点点，并在在弹出菜菜单中选选择属性性3、 在默认WWEB站站点属性性窗口选选择目录录安全性性4、 在安全通通讯栏目目中用鼠鼠标点击击服务器器证书，出现WEEB服务务器证书书向导界界面5、 单击下一一步，出出现IIIS证书书向导界界面，这这时候您您有若干干种选择择来处理理您已安安装的

17、WWEB服服务器证证书。6、 我们选择择导出当当前证书书到.ppfx文文件，这这样，我我们以后后就可以以通过这这个文件件恢复这这个WEEB服务务器证书书。选择择一个保保存路径径，单击击下一步步7、 输入.ppfx文文件的保保护口令令8、 出现导出出证书的的简要说说明，确确认之后后，单击击下一步步9、 完成您的的WEBB服务器器证书的的备份工工作注意：请请将导出出的WEEB服务务器证书书妥善保保管，以以备不时时之需。六、WEEB服务务器证书书的导入入（恢复）假如由于于系统出出了问题题，导致致IISS崩溃或或其他不不可测原原因迫使使你重新新安装了了IISS或操作作系统，那那么您可可以通过过以下方方

18、式来恢恢复您的的IISS WEEB服务务器证书书。1、 进入Innterrnett Innforrmattionn Seerviicess管理开始程序序管理工工具Innterrnett Innforrmattionn Seerviicess管理2、 鼠标右键键单击默默认WEEB站点点，并在在弹出菜菜单中选选择属性性3、 在默认WWEB站站点属性性窗口选选择目录录安全性性4、 在安全通通讯栏目目中用鼠鼠标点击击服务器器证书，出现WEEB服务务器证书书向导界界面5、 单击下一一步，出出现IIIS证书书向导。这里分两种情况：a) 仅仅是重重新安装装了IIIS，或或者丢失失了WEEB服务务器证书书：这

19、时时候我们们可以选选择指派派一个已已经存在在本地容容器里的的证书然后出现现本地容容器中存存在的证证书列表表确认端口口，默认认是4443请确认证证书简要要说明完成证书书导入（恢恢复）b) 假如说您您重新安安装了您您的WIINDOOWS操操作系统统，那还还可以通通过导入入先前我们们备份的的WEBB服务器器证书.pfxx文件来来恢复您您的WEEB服务务器证书书，所以以我们这这时候选选择从一一个.ppfx文文件导入入证书为了便于于以后导导出（备备份），请请在标记记证书可可导出前前打勾。输入您在在先前导导出WEEB服务务器证书书时输入入的.ppfx保保护口令令确认端口口，默认认是4443请确认证证书简要

20、要说明完成证书书导入（恢恢复）七、SSSL双向向认证的的配置要实现SSSL双双向认证证，您必必须同时时配置WWEB服服务器证证书和客客户端证证书，并并且需要要在服务务器和客客户端正正确安装装根证书书。我们们已经在在前文中中有过较较为详细细的描述述了如何何配置WWEB服服务器证证书，下下面就来来谈谈SSSL客客户端证证书的配配置和根根证书的的安装。1、SSSL客户户端证书书的配置置首先您需需要清楚楚这个概概念，所所谓的SSSL客客户端证证书就是是意味着着这张证证书存在在于IEE浏览器器的证书书容器中中。您可可以通过过打开IIE浏览览器工具具Intternnet选选项内容容证书个人人至于如何何使证

21、书书导入进进IE浏浏览器的的证书容容器，方方法有多多种。假假如说您您通过您您的浏览览器在线线申请了了我们SSHECCA的安安全电子子邮件证证书，那那么这张张证书已已经自动动安装到到您的浏浏览器的的证书容容器中去去了，也也就是说说不需要要您手工工做任何何操作，已已经具备备了SSSL双向向认证的的客户端端操作要要求。如如果您申申请了我我们SHHECAA的个人人证书和和其他类类型的非非直接在在线安装装的证书书，那您您还需要要以下操操作：l 首先将您您的个人人证书包包括私钥钥导入我我们SHHECAA的证书书管理器器（证书书管理器器版本要要求2.26以以上可以以通过网网络下载载）。有有关证书书管理器器的

22、操作作说明请请参考我我们SHHECAA发布的的相关手手册，或或向我们们SHEECA客客户服务务部咨询询相关问问题。l 选中你希希望导入入IE浏浏览器证证书容器器的证书书，然后后点击证证书管理理器快捷捷菜单栏栏中的ooutllookk图标，这这时候会会让你输输入密码码，请输输入您证证书的是是要保护护口令，然然后确定定。l 然后您可可以通过过打开IIE浏览览器工具具Intternnet选选项内容容证书个人人查看您您导入的的证书。l 由于通过过证书管管理器导导入证书书到IEE浏览器器的证书书容器的的时候，经经过了我我们的CCSP，所所以在您您以后进进行SSSL客户户端认证证的时候候，会跳跳出我们们S

23、HEECA密密码设备备选择窗窗口，在在这里您您只要输输入相应应的私钥钥保护口口令就可可以实现现SSLL双向认认证了。2、根证证书的安安装要实现现SSLL双向认认证，您您必须分分别在WWEB服服务器和和客户端端上正确确部署上上海CAA中心的的根证书书。我们们提供以以下多种种方式安安装根证证书：l 安装证书书管理器器l 访问我们们上海CCA中心心的主页页：htttp:/m，会自自动安装装根证书书l 在我们上上海CAA中心的的主页的的中进入入根证书书下载页页面，然然后选择择下载SSSL双双向认证证根证书书八、常见见问题1、 如果您访访问的WWEB服服务器时时出现安安全警报报窗口，如如下：那说明您您在

24、产生生CSRR时通用用名（CCommmon Namme）与与您实际际站点的的域名不不符合，请请重新生生成CSSR，然然后再提提交SHHECAA签发新新的证书书。2、 当然，还还有可能能如下窗窗口：这说明在在您的电电脑上没没有安装装我们CCA的根根证书。有两种方法可以将我们SHECA的根证书导入到您本地浏览器的证书容器：a) 请访问我我们公司司的主页页htttp:/wwww.sshecca.ccom，它它会出现现提示窗窗口，你你只要选选择是，就就会自动动给您安安装根证证书。b) 用鼠标右右键单击击CerrtChhainn.sppc，选选择弹出出菜单中中的安装装证书，然然后按照照提示完完成操作作步骤，以以下是图图解：点击neext注意，选选择pllacee alll.，然然后点击击broowsee在shoow pphyssicaal sstorres前前打上勾勾，然后后双击展展开Trrustted Rooot CCerttifiicatte AAuthhoriitiees，点点击Loocall Coompuuterr，然后后点击OOK回到原来来的页面面点击Neext点击fiinissh完成根根证书导导入3、 如果出现现下面窗窗口：这说明这这张WEEB证书书还未生生效或过过期。如如果证书书已过期期，那请请重新到到上海CCA中心心申请证证书。