基于數(shù)字證書安全Web的配置V1.3

1、1基于數(shù)字證書安全 web 的配置 v1.3 目 錄1.引言引言 .32. iis web 服務(wù)器配置步驟服務(wù)器配置步驟.32.1 安裝 iis web服務(wù)器.32.2 添加證書管理單元.32.3 國調(diào)根證書和網(wǎng)省調(diào)根證書的導(dǎo)入.72.4 安裝 web服務(wù)器證書.102.5 配置 iis .113. 廠站端的配置廠站端的配置 .144. apache web 服務(wù)管理器的配置服務(wù)管理器的配置.155. 常見問題和解決方法常見問題和解決方法.171. 我插入 usbkey，遠(yuǎn)程訪問我的 web 服務(wù)器，為什么在連接后，跳出的提示選擇證書對話框中看不到我的 key 內(nèi)的證書？.173.我在電廠客戶

2、端為什么訪問不了調(diào)度側(cè) web，為什么沒有提示我輸入 pin 碼的對話框出現(xiàn)？.204 為什么我不能訪問 web,并提示 401.1 401.2 401.3 等錯誤？.215.為什么我修改了我的 iis 配置，還是訪問不了我的 web server 呢？.276. 如何讓我的 iis 支持多種訪問目錄和頁面，如何同時支持 http 和 https 呢？.27 21.引言引言為了保護敏感數(shù)據(jù)在傳送過程中的安全，可以采用 ssl（security socket layer）加密機制，在瀏覽器（如 internet explorer、netscape navigator）和 web服務(wù)器之間構(gòu)造安全

3、通道來進行數(shù)據(jù)傳輸。https 協(xié)議內(nèi)置于其瀏覽器中，https 協(xié)議使用 ssl 在發(fā)送方把原始數(shù)據(jù)進行加密，然后在接受方進行解密，加密和解密需要發(fā)送方和接受方通過交換共知的密鑰來實現(xiàn)，而交換密鑰之前雙方身份的認(rèn)證成為安全的焦點。數(shù)字證書的使用允許 ssl 提供身份認(rèn)證功能客戶端認(rèn)證其所請求連接的服務(wù)器身份，服務(wù)器認(rèn)證請求連接的客戶端身份。2. iis web 服務(wù)器配置步驟服務(wù)器配置步驟2.1 安裝安裝 iis web 服務(wù)器服務(wù)器internet 信息服務(wù) (iis) 是 windows 的組件，此組件可以很容易將信息和業(yè)務(wù)應(yīng)用程序發(fā)到 web, iis 是流行的 web 服務(wù)器之一。要

4、安裝 iis，首先插入 win2000 光盤，選擇添加/刪除 windows 組件，選擇 internet 信息服務(wù)組件，就可順利安裝 iis web 服務(wù)器。2.2 添加證書管理單元添加證書管理單元1.點擊“開始”“運行”，在對話框中輸入“mmc”，啟動控制臺。3下面是啟動后的新控制臺2.選擇菜單“控制臺” “添加/刪除管理單元”，打開“添加/刪除管理單元”對話框43.選擇“獨立”頁，點擊“添加”按鈕，打開“添加獨立管理單元”窗口4.選擇選擇“internet 信息服務(wù)信息服務(wù)”，點擊，點擊“添加添加”按鈕按鈕55.選擇“證書”，點擊“添加”按鈕，在“證書管理單元”中選擇“計算機帳戶計算機帳

5、戶”，點擊“完成”按鈕6.點擊“關(guān)閉”按鈕，關(guān)閉“添加獨立管理單元”窗口7.點擊“確定”按鈕，關(guān)閉“添加/刪除管理單元”窗口8.點擊控制臺上的“保存”按鈕，保存為“證書管理控制臺.msc”.此時，控制臺的界面如圖 162.3 國調(diào)根證書和網(wǎng)省調(diào)根證書的導(dǎo)入國調(diào)根證書和網(wǎng)省調(diào)根證書的導(dǎo)入1.國調(diào)根證書導(dǎo)入打開建立的 mmc 控制臺，鼠標(biāo)右擊“受信任的根證書頒發(fā)機構(gòu)” ，選擇“所有任務(wù)”的導(dǎo)入，7點擊“下一步” ，導(dǎo)入文件（瀏覽國調(diào)根證書文件，文件類型為 x.509 證書（*.cer; *.crt） ）, 然后點擊“下一步” ；8注意一定要點擊瀏覽按鈕，手動來選擇導(dǎo)入證書注意一定要點擊瀏覽按鈕，手

6、動來選擇導(dǎo)入證書在證書存儲對話框中，選擇“將所有的證書放入下列存儲區(qū)（p）, 證書存儲: 點擊瀏覽，選擇證書存儲，一定要選中一定要選中“顯示物理存儲區(qū)（顯示物理存儲區(qū)（s） ”復(fù)選框復(fù)選框，點擊 “受信任的根證書頒發(fā)機構(gòu)” ，一定要選擇一定要選擇“本地計算機本地計算機” ，然后“確定”9，然后點擊“下一步”即可完成導(dǎo)入。=2.中級根證書（即國調(diào)頒發(fā)給你們的證書）的導(dǎo)入步驟與國調(diào)根證書導(dǎo)入相似。打開建立的 mmc 控制臺，鼠標(biāo)右擊“中級證書頒發(fā)機構(gòu)” ，選擇“所有任務(wù)” 的導(dǎo)入，點擊“下一步” ，導(dǎo)入文件（瀏覽國調(diào)頒發(fā)給你們的證書文件，文件類型為 x.509 證書（*.cer; *.crt） ）

7、, 然后點擊“下一步” ；在證書存儲對話10框中，選擇“將所有的證書放入下列存儲區(qū)（p）, 證書存儲: 點擊瀏覽，選擇證書存儲，一定要選中一定要選中“顯示物理存儲區(qū)（顯示物理存儲區(qū)（s） ”復(fù)選框復(fù)選框，點擊 “中級證書頒發(fā)機構(gòu)” ，一定要選擇一定要選擇“本地計算機本地計算機” ，然后“確定” ，然后點擊“下一步”即可完成導(dǎo)入。2.4 安裝安裝 web 服務(wù)器證書服務(wù)器證書打開剛才建立的證書管理控制臺，在“控制臺”窗口中選擇“證書”，在“個人”項目上單擊鼠標(biāo)右鍵，選擇選擇“所有任務(wù)所有任務(wù)”“導(dǎo)入導(dǎo)入”，打開，打開“證書導(dǎo)入向?qū)ёC書導(dǎo)入向?qū)А?對對話框，根據(jù)對話框提示輸入話框，根據(jù)對話框提示輸

8、入 pkcs12 文件的路徑，以及私鑰保護密碼（生成時文件的路徑，以及私鑰保護密碼（生成時有，用文件方式發(fā)行）有，用文件方式發(fā)行） ，完成服務(wù)器證書導(dǎo)入。，完成服務(wù)器證書導(dǎo)入。注意：在控制臺需要刷新，才能看到您導(dǎo)入的證書，按注意：在控制臺需要刷新，才能看到您導(dǎo)入的證書，按 f5 鍵或者按照下鍵或者按照下圖操作圖操作刷新來查看您當(dāng)前證書刷新來查看您當(dāng)前證書112.5 配置配置 iis啟動 “internet 信息服務(wù)”（機器名）默認(rèn) web 站點，單擊鼠標(biāo)右鍵，選擇菜單項“屬性”。打開“默認(rèn) web 站點屬性”對話框，選擇“目錄安全性”頁，單擊“服務(wù)器證書(s)”按鈕（見圖 2） 。圖 2 默認(rèn)

9、 web 站點屬性進入“web 服務(wù)器證書向?qū)А?，在“服?wù)器證書”對話框中選擇“分配一個已存在的證書”（見圖 3） ，單擊“下一步”按鈕；圖 3 “服務(wù)器證書”對話框12在“可用的證書”對話框（見圖 4）中選擇要安裝的服務(wù)器證書（本例中是本例中是44,和前面的過程類似，和導(dǎo)入國調(diào)根證書相同的方法，和前面的過程類似，和導(dǎo)入國調(diào)根證書相同的方法，用控制臺用控制臺證書證書個人個人所有任務(wù)所有任務(wù)導(dǎo)入導(dǎo)入） ，完成 web 服務(wù)器證書的安裝，回到“默認(rèn) web 站點 屬性”對話框（見圖 5） 。圖 4 “可用的證書”對話框圖 5 “默認(rèn) web 服務(wù)器 屬性”對話框13在“默認(rèn)

10、 web 服務(wù)器 屬性”對話框的“目錄安全性”頁上單擊“編輯”按鈕，進入“安全通信”對話框（見圖 6）圖 6 安全通信選擇“申請安全通道（ssl） ”、 “申請 128 位加密” ， “申請客戶證書”，單擊“確定”按鈕。返回“默認(rèn)的 web 服務(wù)器 屬性”對話框，單擊“確定”按鈕，完成iis 的配置。需要注意的一點是，在您的需要注意的一點是，在您的 iis 配置中，需要讓外界訪問配置中，需要讓外界訪問的虛擬目錄，它的設(shè)置必須在目錄安全性的虛擬目錄，它的設(shè)置必須在目錄安全性 匿名訪問和驗證匿名訪問和驗證控制控制 編輯編輯 需要選中匿名訪問的選擇，否則不能訪問。需要選中匿名訪問的選擇，否則不能訪問

11、。143. 廠站端的配置廠站端的配置1.國調(diào)根證書導(dǎo)入打開建立的 mmc 控制臺，鼠標(biāo)右擊“受信任的根證書頒發(fā)機構(gòu)” ，選擇“所有任務(wù)”的導(dǎo)入，點擊“下一步” ，導(dǎo)入文件（瀏覽國調(diào)根證書文件，文件類型為 x.509 證書（*.cer; *.crt） ）, 然后點擊“下一步” ；在證書存儲對話框中，選擇“將所有的證書放入下列存儲區(qū)（p）, 證書存儲: 點擊瀏覽，選擇證書存儲，一定要選中“顯示物理存儲區(qū)（s） ”復(fù)選框，點擊 “受信任的根證書頒發(fā)機構(gòu)” ，一定要選擇“本地計算機” ，然后“確定” ，然后點擊“下一步”即可完成導(dǎo)入。2.中級根證書（即網(wǎng)省調(diào)根證書）的導(dǎo)入步驟與國調(diào)根證書導(dǎo)入相似。打開

12、建立的 mmc 控制臺，鼠標(biāo)右擊“中級證書頒發(fā)機構(gòu)” ，選擇“所有任務(wù)”的導(dǎo)入，點擊“下一步” ，導(dǎo)入文件（瀏覽網(wǎng)省調(diào)根證書的證書文件，文件類型為 x.509 證書（*.cer; *.crt） ）, 然后點擊“下一步” ；在證書存儲對話框中，選擇“將所有的證書放入下列存儲區(qū)（p）, 證書存儲: 點擊瀏覽，選擇證書存15儲，一定要選中“顯示物理存儲區(qū)（s） ”復(fù)選框，點擊 “中級證書頒發(fā)機構(gòu)” ，一定要選擇“本地計算機” ，然后“確定” ，然后點擊“下一步”即可完成導(dǎo)入。3.客戶端要裝好 usb key 的驅(qū)動后， usb key 中的人員證書在插入 usb 后， 系統(tǒng)會自動識別，并將人員證書導(dǎo)

13、入瀏覽器中。4.瀏覽器版本要是 ie 6.0 以上。支持的加密密鑰長度 128 位。 （您現(xiàn)在的版本可以通過 打開 ie 的 幫助 關(guān)于得到 ） 。5.鍵入網(wǎng)址時，要記得“https：/” ，而不是“http ：/” 。4. apache web 服務(wù)管理器的配置服務(wù)管理器的配置因為 apache 本身不帶 ssl 協(xié)議模塊, 所以要請負(fù)責(zé) apache的應(yīng)用廠商將 apache 配置 ssl 協(xié)議模塊,使之支持 ssl.還要使 apache 支持 openssl,配置 openssl 支持模塊. 這兩項工作需由 web 服務(wù)器提供廠商支持.1.在在 apache 的的 http.d 文件中填

14、加定義字段，打開默認(rèn)的文件中填加定義字段，打開默認(rèn)的443 端口端口(網(wǎng)頁原來的端口為網(wǎng)頁原來的端口為 80) .這樣可以同時監(jiān)聽普通網(wǎng)頁的 80 端口和加密通道的 443 端口 。例如: listen 80 listen 443162. 配置好系統(tǒng)根證書和系統(tǒng)證書配置好系統(tǒng)根證書和系統(tǒng)證書例如: documentroot c:/apache/htdocs /系統(tǒng)文擋目錄 servername /服務(wù)器名稱 serveradmin youyour.address /管理員郵件地址 errorlog logs/error_log transferlog logs/access

15、_log sslengine on sslciphersuite all:!adh:!export56:rc4+rsa:+high:+medium:+low:+sslv2:+exp:+enull sslcertificatefile conf/ssl/_cert.crt /本系統(tǒng) web 服務(wù)器證書 sslcertificatekeyfile conf/ssl/_key.pem /本系統(tǒng) web 服務(wù)器的私鑰文件 # enable client certificate requirement sslverifyclient require /ssl 驗證需要客戶端證書 sslverifydep

16、th 1 /ssl 證書認(rèn)證的深度 sslcacertificatepath conf/ssl /存放簽發(fā)本系統(tǒng) web 服務(wù)器的根證書文件的目錄 sslcacertificatefile conf/ssl/rootcert.crt /存放簽發(fā)本系統(tǒng) web 服務(wù)器的根證書的文件 175. 常見問題和解決方法常見問題和解決方法 1. 我插入我插入 usbkey，遠(yuǎn)程訪問我的，遠(yuǎn)程訪問我的 web 服務(wù)器，為什么在連接后，服務(wù)器，為什么在連接后，跳出的提示選擇證書對話框中看不到我的跳出的提示選擇證書對話框中看不到我的 key 內(nèi)的證書？內(nèi)的證書？這種情況有可能是客戶機或者 web 服務(wù)器端沒有安

17、裝國調(diào)根證書和中級 ca證書，注意，兩端都要導(dǎo)入兩級證書注意，兩端都要導(dǎo)入兩級證書，解決方法如下：雙擊國調(diào)根證書文件，如下圖所示， ，點擊安裝證書按鈕, 則18點擊下一步，則選擇 “將所有證書放入下列存儲區(qū)” ， 并點擊瀏覽按鈕，則出現(xiàn)下面，選擇“顯示物理存儲區(qū)”-受信任的根證書 頒發(fā)機構(gòu)- local computer,19接著，完成國調(diào)根證書的配置，與此過程類似，完成中級 ca 證書的配置。 ，如您是浙江省調(diào) ca，則接著導(dǎo)入浙江省調(diào)的 ca 證書，重復(fù)強調(diào)一點的是，電廠和重復(fù)強調(diào)一點的是，電廠和 web 服服務(wù)器端都要導(dǎo)入根證書和中級務(wù)器端都要導(dǎo)入根證書和中級 ca 證書，缺一不可！證書

18、，缺一不可！2我怎么測試我的我怎么測試我的 iis 服務(wù)配置是否正確？可以在本機上測試我的服務(wù)配置是否正確？可以在本機上測試我的https 的的 web 服務(wù)器嗎？怎么測試？服務(wù)器嗎？怎么測試？可以的，最簡單的方法是安裝您的 web server 證書到您的 ie 中，這里的安裝不同于前面的控制臺方式的安裝，必須，雙擊證書手動安裝證書到 ie 中。20如上圖所示，填寫您的私鑰保護口令，這在我們發(fā)行如上圖所示，填寫您的私鑰保護口令，這在我們發(fā)行 p12 文件時是有指定的文文件時是有指定的文件存放的，然后，按照默認(rèn)配置一直安裝證書至完成。件存放的，然后，按照默認(rèn)配置一直安裝證書至完成。如我們在 i

19、e 中輸入 https:/.,則會提示發(fā)現(xiàn)一個本機的證書，點擊確認(rèn)后則可以接著訪問了，由此，可以測試本機 iis 配置的正確性。3.我在電廠客戶端為什么訪問不了調(diào)度側(cè)我在電廠客戶端為什么訪問不了調(diào)度側(cè) web，為什么沒有提示我，為什么沒有提示我輸入輸入 pin 碼的對話框出現(xiàn)？碼的對話框出現(xiàn)？請檢查您的廠站工具軟件，一定要裝最新的國調(diào)給的 usbkey 的軟件，裝21之前將您的舊工具軟件卸載再裝。請注意南瑞網(wǎng)站上 www.nari- 為什么我不能訪問為什么我不能訪問 web,并提示并提示 401.1 401.2 401.3 等錯誤？等錯誤？“iis 配置 401 錯誤”完美解決方案（54pow

20、erman）1、錯誤號 401.1癥狀：http 錯誤 401.1 - 未經(jīng)授權(quán)：訪問由于憑據(jù)無效被拒絕。分析：由于用戶匿名訪問使用的賬號(默認(rèn)是 iusr_機器名)被禁用，或者沒有權(quán)限訪問計算機，將造成用戶無法訪問。解決方案：（1）查看 iis 管理器中站點安全設(shè)置的匿名帳戶是否被禁用，如果是，請嘗試用以下辦法啟用：控制面板-管理工具-計算機管理-本地用戶和組，將iusriusr_ _機器名賬號機器名賬號啟用。如果還沒有解決，請繼續(xù)下一步。選擇 “控制面板”再選擇”管理工具”22再選擇”計算機管理”察看當(dāng)前iusriusr_ _機器名賬號是否啟用機器名賬號是否啟用（2）查看本地安全策略中，i

21、is 管理器中站點的默認(rèn)匿名訪問帳號或者其所屬的組是否有通過網(wǎng)絡(luò)訪問服務(wù)器的權(quán)限，如果沒有嘗試用以下步驟賦予權(quán)限：23開始-程序-管理工具-本地安全策略-安全策略-本地策略-用戶權(quán)限分配，雙擊“從網(wǎng)絡(luò)訪問此計算機”，添加 iis 默認(rèn)用戶或者其所屬的組。下面是下面是已經(jīng)添加好用戶的情形：已經(jīng)添加好用戶的情形：24注意：一般自定義 iis 默認(rèn)匿名訪問帳號都屬于組，為了安全，沒有特殊需要，請遵循此規(guī)則。2、錯誤號 401.2癥狀：http 錯誤 401.2 - 未經(jīng)授權(quán)：訪問由于服務(wù)器配置被拒絕。原因：關(guān)閉了匿名身份驗證解決方案：運行，控制面板-計算機管理-internet 信息服務(wù)- 如下，c

22、atestcatest 是我們建立的一個虛擬目錄，建立虛擬目錄的方法見是我們建立的一個虛擬目錄，建立虛擬目錄的方法見下圖下圖25打開您所建立的站點，右鍵屬性-目錄安全性-匿名訪問和身份驗證控制-點編輯， 26一般匿名方式訪問，一般匿名方式訪問，windowswindows 會為所有外網(wǎng)客戶主機設(shè)立一個匿名會為所有外網(wǎng)客戶主機設(shè)立一個匿名帳號，請不要修改此帳號，一切按照默認(rèn)配置。帳號，請不要修改此帳號，一切按照默認(rèn)配置。3、錯誤號：401.3癥狀：http 錯誤 401.3 - 未經(jīng)授權(quán)：訪問由于 acl 對所請求資源的設(shè)置被拒絕。原因：iis 匿名用戶一般屬于 guests 組，而我們一般把存放網(wǎng)站的硬盤的權(quán)限只分配給 administrators 組，這時候按照繼承原則，網(wǎng)站文件夾也只有administrators 組的成員才能訪問，導(dǎo)致 iis 匿名用戶訪問該文件的 ntfs 權(quán)限不足，從而導(dǎo)致頁面無法訪問。解決方案：給