CA证书服务器（6） 利用CA证书配置安全Web站点

    前面讲了这么多理论知识，其实真要操作起来还是很简单的，下面我们就利用证书来实现一个安全的Web站点，也就是当客户端在访问网站时使用https实现数据加密传输。

    要实现这个功能，首先要了解一下SSL协议。

“SSL安全套接字层”是一套提供身份验证、保密性和数据完整性的加密技术，属于传输层的协议。准确点来说，SSL其实是一个位于应用层和传输层之间的协议，所以才称之为“套接字层”。

我们都知道在Web浏览器和Web服务器之间传输数据是使用HTTP协议，本来HTTP协议产生的数据是直接送给传输层的TCP协议，有了SSL这个套接字层之后，就要先送给SSL处理一下，然后再送给TCP，这也就称之为HTTPS（基于SSL的HTTP）协议。之所以要经过SSL先处理一下，其目的主要是为了能够在Web服务器和客户端之间建立一条安全通信通道，在这条安全信道中传输的数据都是经过加密的。

SSL安全信道的建立过程是：

1. 首先客户端向服务器发出连接请求；

2. 服务器把它的数字证书发给客户端；

3. 客户端生成会话密钥（对称式加密），并用从服务器得到的公钥对它进行加密，然后通过网络传送给服务器；

4. 服务器使用私钥解密得到会话密钥，这样客户端和服务器端就建立了安全通道。

在安全信道建立好之后，在客户端与服务器之间传输的数据都是采用对称式加密，以提高通信效率，而对称式加密的密钥是通过非对称式加密的方式传送的，以保证会话密钥的安全性。

Web站点启用SSL之后，客户端在访问网站时必须使用“https:\\……”的URL形式，默认使用的端口号也不再是TCP 80，而是变成了TCP 443。

为支持SSL通信，必须为Web服务器配置证书。下面是在Web服务器上申请证书并安装的过程。

1. 生成证书请求

打开之前创建的Web服务器，以域管理员身份登录。

选中服务器，然后在中间的面板中打开“服务器证书”，点击“创建证书申请”。

输入网站的相关数据，注意“通用名称”文本框中必须输入网站所用的域名，否则客户端在访问网站时，将提示证书错误。

选择证书的加密算法和密钥长度。其中的“位长”是指网站公钥的长度，位长越长，安全性越高，但性能越低。这里都采用默认值。

为证书申请指定文件名和保存路径。单击“完成”按钮，证书申请文件创建成功，该文件是一个文本文件，里面包含了所生成的证书申请编码。

2. 提交证书申请

证书申请创建完成之后，打开IE浏览器，在地址栏中输入“http://192.168.1.2/certsrv/”，注意这里必须以域管理员的身份访问证书服务器，打开证书申请页面，点击“申请证书”，然后再单击“高级证书申请”。

选择使用base64编码申请证书。

将刚才生成的证书申请文件中的内部全部复制到“保存的申请”中，将“证书模板”选择“Web服务器”，点击“提交”按钮。

企业根CA会自动颁发证书，点击“下载证书”，并将证书保存到指定的位置。

3. 安装证书

回到IIS管理器的“服务器证书”界面中，点击“完成证书申请”。

找到刚才下载的证书，并为其起一个好记的名称。

至此，Web服务器证书申请并安装成功。

4. 绑定证书并启用SSL

证书安装完成之后，下面需要将证书绑定到网站之上。

选中默认站点，点击右侧的“绑定”。在“网站绑定”对话框中点击“添加”按钮，将类型设置为“https”，端口为默认的443，SSL证书设置为刚才安装的“web”。点击“确定”按钮之后，证书就绑定好了。

然后打开“SSL设置”界面，勾选“要求SSL”：

这样，在客户机上如果用http方式访问网站，便会被拒绝：

只有使用https方式才可以正常访问网站。

当然，如果在“SSL设置”中不勾选“要求SSL”，则客户端既可以使用https也可以使用http方式访问web站点。

5. 虚拟目录启用SSL

大多数情况下，我们并不需要对整个网站都启用SSL，而是只需要对网站中的某个版块（如交易支付页面）启用SSL。这时可以只对Web站点中的某个虚拟目录启用强制SSL设置。

下面在Web站点中创建一个名为“pay”的虚拟目录，并对其设置启用强制SSL。

编辑站点首页文件Default.htm。

这样在客户端可以直接使用http方式访问网站，但是当要访问pay子目录时，就会自动启用SSL。