用CA实现通过https（或443端口）访问网站

在Windows环境下，CA被分为企业CA和独立CA，他们之间的区别如下：

①企业CA：要求域环境，负责为域中的用户和计算机颁发证书；由于域用户在登录过程中已经进行了身份验证，因而域用户向企业CA申请证书时，证书会自动颁发，无需管理员操作。
②独立CA：不要求域环境，即可以为企业内网中的用户，也可以为互联网上的用户颁发证书；证书颁发必须要由管理员操作。

证书

目前所使用的证书都是遵循由国际电信联盟制定的X.509数字证书标准。
证书在网络服务器中应用的非常广泛，如Web服务器中的服务器和用户身份验证、邮件服务器中的安全电子邮件等都要用到证书。

实验准备

准备三台虚拟机，分别作为CA证书服务器（客户端）、DNS服务器、WEB服务器
IP地址分配：
CA证书服务器（客户端）：192.168.18.2 首选DNS：192.168.18.3
DNS服务器：192.168.18.3
WEB服务器：192.168.18.1 首选DNS：192.168.18.3

实验步骤

架设独立CA服务器

1、打开“服务器管理器”，点击“添加角色”

2、点击“下一步”

3、勾选“证书服务”，点击“下一步”

4、点击“下一步”

5、除了默认的证书颁发机构外，还需要安装“证书颁发机构web注册”组件，在添加角色向导中点击“添加所需的角色服务”按钮来安装IIS角色，以便让用户可以利用浏览器来申请证书

6、点击“下一步”

7、选择“独立”，点击“下一步”

8、选择“根”，点击“下一步”（其中，根CA是CA信任体系结构的最高层，它一般负责整个CA体系的管理，为下属的子CA签发并管理证书，而不直接为用户签发证书。根以下的各级CA都称为子CA，负责为本辖区的用户颁发和管理证书）

9、选择“新建私钥”，点击“下一步”，点击“下一步”

10、“公用名称”可以修改，点击“下一步”，点击“下一步”，点击“下一步”，点击“下一步”


11、根据自己的需求添加功能，点击“下一步”

12、点击“安装”，安装成功点击“关闭”


13、在[开始]——管理工具——打开“证书颁发机构”，在此可以进行证书的管理

14、用浏览器访问证书（## 格式:主机IP地址/certsrv）

若访问时出现此警示框，点击“添加”即可

DNS的搭建

1、在服务管理器中添加角色，选择“DNS服务器”，点击“下一步”，进行安装

2、在【开始】——管理工具——打开DNS，在DNS服务器中右击“正向查找域”，点击“新建主域”，我在这里创建了一个名为hello.com的主域,并将主机A记录的IP地址指向了WEB服务器

WEB服务器的搭建

1、打开“服务器管理器”，点击“添加角色”

2、点击“下一步”

3、勾选“WEB服务器（IIS）”，点击“下一步”

4、点击“下一步”

5、点击“下一步”（如果网页为动态网页，再勾选“应用程序开发”，但是不是很安全）

6、点击“安装”

7、点击“关闭”

8、打开“计算机”——“本地磁盘C”——“inetpub文件”——新创建文件夹“wangzhan1”——在文件夹里面右击新建“文本文档”——打开文本文档，在里面输入内容——另存为.html文件
9、点击“开始”——“管理工具”——打开“Internet信息服务（IIS）管理器”

10、右击“网站”——点击“添加网站”

11、输入“网站名”，选择“应用程序池”，选择“物理路径，点击“确定”。

12、单机“wangzhan1”，双击“默认文档”，点击右侧“添加”，输入刚才创建的用于wangzhan1的html文件名称，点击确定

配置安全WEB站点

生成证书请求
1、选中服务器，在中间的面板中打开“服务器证书”，单机“创建证书申请”
2、输入网站的相关数据，注意“通用名称”文本框中必须输入网站所用的域名，否则客户端在访问网站时，将提示证书错误。

3、选择证书的加密算法和密钥长度。其中的“位长”是指网站公钥的长度，位长越长，安全性越高，但性能越低。这里都采用默认值。

4、为证书申请指定文件名和保存路径，单击“完成”按钮，证书申请文件创建成功，该文件是一个文本文件，里面包含了所生成的证书申请编码。

提交证书申请
1、证书申请创建完成之后，打开IE浏览器，在地址栏中输入“http://192.168.18.2/certsrv”，注意这里必须以域管理员的身份访问证书服务。打开证书申请页面，单击“申请证书”，然后再单击“高级证书申请”。

2、选择使用base64编码申请证书。

3、将刚才生成的证书申请文件中的内容全部复制到“保存的申请”中，单击“提交”按钮

4、此时在CA证书服务器上就会出现正在挂起的申请，右击挂起的证书申请，点击“所有任务”，选择“颁发”即可

5、证书颁发之后，单击“下载证书”，并将证书保存到指定的位置。

6、回到IIS管理器的“证书服务器”界面，单击“完成证书申请”，找到刚下载的证书，并为其起一个好记的名称。

7、至此，WEB服务器证书申请成功
安装证书并启用SSL
证书申请完成之后，下面需要将证书绑定到网站之上。
1、选中默认站点，单击右侧的“绑定”。在“网站绑定”对话框中单击“添加”按钮，将类型设置为https，端口为默认的443，SSL证书设置为刚才创建的web。单击“确定”按钮之后，就绑定好了证书。

2、打开“SSL设置”界面，勾选“要求SSL”。

3、此后，在客户端上如果用http方式访问网站，便会被拒绝 。只有使用https方式才可以正常访问网站。
当然，如果在“SSL设置”中不勾选“要求SSL”，则客户端既可以使用https，也可以使用http方式访问web站点。