WEB服務(wù)器SSL雙向認證安裝使用指南

WEB效勞器SSL雙向認證證書安裝使用指南上海數(shù)字證書認證中心2003/04/08文檔說明：本文檔是WEB效勞器SSL雙向認證安裝使用指南，詳細描述了WEB效勞器證書的申請、安裝、備份、恢復(fù)以及SSL雙向認證的配置。版本信息：當(dāng)前版本1.1 技術(shù)支持部版本更新記錄：1.1 聞劍峰 增加SSL根證書的安裝 修改相關(guān)的操做步驟1.0 聞劍峰 本使用指南創(chuàng)立版權(quán)信息：SHECA是上海市電子商務(wù)平安證書管理中心的注冊商標(biāo)和縮寫。UCA是上海市電子商務(wù)平安證書管理中心研究開發(fā)的通用證書系統(tǒng)的商標(biāo)和縮寫。本文的版權(quán)屬于上海市電子商務(wù)平安證書管理中心，未經(jīng)許可，任何個人和團體不得轉(zhuǎn)載、粘貼或發(fā)布本文，也不得局部的轉(zhuǎn)載、粘貼或發(fā)布本文，更不得更改本文的局部詞匯進行轉(zhuǎn)貼。未經(jīng)許可不得拷貝，影印。Copyright@2000上海數(shù)字證書認證中心

文檔發(fā)行說明當(dāng)您閱讀完本文檔，您應(yīng)該能解決如下問題：WEB效勞器證書的請求文件CSR的產(chǎn)生；WEB效勞器證書的在線申請；WEB效勞器證書的安裝；WEB效勞器SSL平安配置；WEB效勞器證書的導(dǎo)出〔備份〕和導(dǎo)入〔恢復(fù)〕；SSL雙向認證的配置；使您的系統(tǒng)信任SHECA根證書；將證書從證書管理器導(dǎo)入IE瀏覽器證書容器本文檔不能使您到達如下目的：SHECA其他證書的具體申請方法請咨詢SHECA客戶效勞部證書管理器的具體使用方法請咨詢SHECA客戶效勞部證書編碼的說明請咨詢SHECA技術(shù)支持部SHECACSP的相關(guān)說明請咨詢SHECA技術(shù)支持部IIS的相關(guān)技術(shù)細節(jié)請咨詢微軟客戶效勞中心IE瀏覽器的相關(guān)技術(shù)細節(jié)請咨詢微軟客戶效勞中心文檔書寫環(huán)境說明：為了測試基于微軟架構(gòu)下強大的SSL雙向認證，本文檔采用了最新的微軟效勞器操作系統(tǒng)：Windows2003EnterpriseServer；另外，為了使整個操作環(huán)境保持兼容性、一致性，本文檔從效勞器端到客戶端都采用英文操作系統(tǒng)。當(dāng)然這并不等于說我們SHECA的證書不能在中文操作環(huán)境中使用，相反，經(jīng)過實踐證明，我們SHECA的證書在中文平臺上表現(xiàn)的格外出色。以下是本文檔的具體試驗環(huán)境：客戶端：WindowsXPProfessionalEnglishVersion+ServicePack1

一、WEB效勞器證書申請請求文件〔CSR〕產(chǎn)生產(chǎn)生證書請求〔CSR〕文件開始程序管理工具InternetInformationServices管理

鼠標(biāo)右鍵單擊默認WEB站點，并在彈出菜單中選擇屬性

在默認WEB站點屬性窗口選擇目錄平安性

在平安通訊欄目中用鼠標(biāo)點擊效勞器證書，出現(xiàn)WEB效勞器證書向?qū)髽?biāo)單擊下一步，選擇創(chuàng)立一個新證書，開始證書請求向?qū)?/p>

選擇產(chǎn)生請求文件，不直接發(fā)送以下根據(jù)提示按照您的WEB效勞器的實際信息輸入注意：選擇1024位密鑰長度注意：通用名一定是您WEB效勞器的域名〔FQDN〕，如果在這一步你輸入不正確，那會對您以后正確使用WEB效勞器證書有影響，我會在本文檔的第八章節(jié)做進一步闡述。注意：請確認證書請求文件〔CSR〕保存位置注意：確認剛剛您輸入的信息的正確性注意：完成證書申請請求，請求文件為，具體格式類似如下形式：

二、WEB效勞器證書在線申請拿WEB效勞器證書申請請求文件到SHECA網(wǎng)站開始進行證書申請第一步：登陸HYPERLINK，點擊申請數(shù)字證書我是證書用戶在線證書申請WEBServer證書申請

在方框里輸入從SHECA證書受理點獲取的密碼信封序列號和信封密碼。鼠標(biāo)點擊現(xiàn)在登錄，出現(xiàn)UniTrustWebServer證書申請頁面

閱讀完考前須知之后點擊馬上申請，進入下一個頁面

把效勞器生成的CSR請求文件中的-----BEGINNEWCERTIFICATEREQUEST-----到-----ENDNEWCERTIFICATEREQUEST-----之間的內(nèi)容貼在網(wǎng)頁的大方框里面，確認無誤后，單擊發(fā)送申請?zhí)崾網(wǎng)EB效勞器請求發(fā)送成功，單擊OK確認

開始下載證書，這里您可以下載DER或者是PEM編碼的證書，根據(jù)您的需要做選擇。如果是IISWEB效勞器，請選擇下載PEM編碼證書

7-1選擇下載DER編碼證書進入證書下載頁面，此時頁面上出現(xiàn)您的WEB效勞器證書相關(guān)信息，請用鼠標(biāo)單擊保存證書

7-2選擇下載PEM編碼證書屏幕上出現(xiàn)UCA根證書，第一級子CA證書以及您所申請的WEB效勞器證書

證書保存成功，WEB效勞器證書在線申請完成如果選擇下載PEM編碼，那么不會出現(xiàn)這個頁面

三、WEB效勞器證書的安裝進入InternetInformationServices管理開始程序管理工具InternetInformationServices管理

鼠標(biāo)右鍵單擊默認WEB站點，并在彈出菜單中選擇屬性

在默認WEB站點屬性窗口選擇目錄平安性

在平安通訊欄目中用鼠標(biāo)點擊效勞器證書，出現(xiàn)WEB效勞器證書向?qū)髽?biāo)單擊下一步，開始進行WEB效勞器正書安裝向?qū)В缓蟀凑仗崾静僮髯⒁猓哼@個文件是你從SHECA網(wǎng)站申請成功下載的證書比方說PEM編碼的證書，就是在端口默認的是443，您也可以根據(jù)實際情況更改注意：以上是您的WEB效勞器證書的具體信息注意：完成WEB效勞器證書的安裝注意：此時，您可以通過單擊平安通訊欄中的查看證書查看證書的詳細信息重啟IIS效勞，SSL效勞已經(jīng)啟動了，現(xiàn)在您可以通過瀏覽器以HTTPS方式訪問您的WEB站點了。雙擊瀏覽器右下腳鎖標(biāo)志，您可以查看WEB效勞器證書的相關(guān)信息

四、WEB效勞器SSL平安配置進入InternetInformationServices管理開始程序管理工具InternetInformationServices管理

鼠標(biāo)右鍵單擊默認WEB站點，并在彈出菜單中選擇屬性

在默認WEB站點屬性窗口選擇目錄平安性

在平安通訊欄目中用鼠標(biāo)點擊編輯，出現(xiàn)平安通訊界面注意：如果您在需要平安通道〔SSL〕前打上勾，那么以后客戶端瀏覽器僅可以通過HTTPS訪問您的WEB效勞器；如果您在需要128位加密前打上勾，那么以后客戶端瀏覽器只有具備128位加密強度之后才可以訪問您的WEB效勞器；有關(guān)瀏覽器的加密強度請咨詢相關(guān)軟件開發(fā)商；客戶端證書選項分三種：忽略客戶端證書：客戶端訪問WEB效勞器的時候不需要提供客戶端自己證書接收客戶端證書：客戶端訪問WEB效勞器的時候彈出客戶端驗證窗口，允許客戶端選擇自己的證書，進行身份驗證，然后訪問WEB效勞器，這時，如果客戶端沒有自己的證書，訪問仍舊可以照常進行需要客戶端證書：這里僅當(dāng)客戶端擁有自己的證書，并通過驗證之后，訪問才可以進行下去允許客戶端證書映射，這項功能是將您的WEB效勞器上的資源和WINDOWS帳號下的用戶通過證書捆綁，有關(guān)詳細操作，請參考?活動目錄中的證書使用?。允許證書信任列表：翻開這項功能之后，只有由列表中您添加的信任的根證書簽發(fā)的客戶端證書，才可以授權(quán)訪問您的WEB效勞器。具體操作如下：

鼠標(biāo)單擊新建下一步沉著器中添加，是指從您的IE瀏覽器證書庫中添加相應(yīng)的根證書；從文件添加，是指可以直接選定根證書文件添加。有關(guān)如何將我們SHECA的根證書添加到您的IE瀏覽器，請看本文檔的附錄。這里，我們選擇沉著器添加在列表中選擇您想信任的根證書比方用戶通過選擇UCA和SHECA把SHECA的根證書添加到您的信任列表中來，單擊下一步您可以給信任列表取一個名字，便于以后靈活配置您的訪問控制單擊下一步完成證書信任列表設(shè)置如果您已經(jīng)根據(jù)自己的實際需要完成了平安通訊的設(shè)置，請單擊確定按鈕

重啟您的IIS效勞器，通過客戶端瀏覽器訪問您的WEB效勞器，假設(shè)在先前的設(shè)置中需要您設(shè)置了需要客戶端證書的話，這時候會彈出客戶端認證窗口選擇您相應(yīng)的個人證書確認密鑰交換，請單擊OK按鈕。好了，根本的WEB效勞器平安配置〔SSL〕已經(jīng)完成了。

五、WEB效勞器證書的導(dǎo)出〔備份〕進入InternetInformationServices管理開始程序管理工具InternetInformationServices管理

鼠標(biāo)右鍵單擊默認WEB站點，并在彈出菜單中選擇屬性

在默認WEB站點屬性窗口選擇目錄平安性

在平安通訊欄目中用鼠標(biāo)點擊效勞器證書，出現(xiàn)WEB效勞器證書向?qū)Ы缑鎲螕粝乱徊?，出現(xiàn)IIS證書向?qū)Ы缑?，這時候您有假設(shè)干種選擇來處理您已安裝的WEB效勞器證書。

我們選擇導(dǎo)出當(dāng)前證書到.pfx文件，這樣，我們以后就可以通過這個文件恢復(fù)這個WEB效勞器證書。選擇一個保存路徑，單擊下一步輸入.pfx文件的保護口令

出現(xiàn)導(dǎo)出證書的簡要說明，確認之后，單擊下一步完成您的WEB效勞器證書的備份工作注意：請將導(dǎo)出的WEB效勞器證書妥善保管，以備不時之需。

六、WEB效勞器證書的導(dǎo)入〔恢復(fù)〕假設(shè)由于系統(tǒng)出了問題，導(dǎo)致IIS崩潰或其他不可測原因迫使你重新安裝了IIS或操作系統(tǒng)，那么您可以通過以下方式來恢復(fù)您的IISWEB效勞器證書。進入InternetInformationServices管理開始程序管理工具InternetInformationServices管理

鼠標(biāo)右鍵單擊默認WEB站點，并在彈出菜單中選擇屬性

在默認WEB站點屬性窗口選擇目錄平安性

在平安通訊欄目中用鼠標(biāo)點擊效勞器證書，出現(xiàn)WEB效勞器證書向?qū)Ы缑鎲螕粝乱徊剑霈F(xiàn)IIS證書向?qū)?。這里分兩種情況：僅僅是重新安裝了IIS，或者喪失了WEB效勞器證書：這時候我們可以選擇指派一個已經(jīng)存在本地容器里的證書然后出現(xiàn)本地容器中存在的證書列表確認端口，默認是443請確認證書簡要說明完成證書導(dǎo)入〔恢復(fù)〕假設(shè)說您重新安裝了您的WINDOWS操作系統(tǒng)，那還可以通過導(dǎo)入先前我們備份的WEB效勞器證書為了便于以后導(dǎo)出〔備份〕，請在標(biāo)記證書可導(dǎo)出前打勾。確認端口，默認是443請確認證書簡要說明完成證書導(dǎo)入〔恢復(fù)〕

七、SSL雙向認證的配置要實現(xiàn)SSL雙向認證，您必須同時配置WEB效勞器證書和客戶端證書，并且需要在效勞器和客戶端正確安裝根證書。我們已經(jīng)在前文中有過較為詳細的描述了如何配置WEB效勞器證書，下面就來談?wù)凷SL客戶端證書的配置和根證書的安裝。1、SSL客戶端證書的配置首先您需要清楚這個概念，所謂的SSL客戶端證書就是意味著這張證書存在于IE瀏覽器的證書容器中。您可以通過翻開IE瀏覽器工具Internet選項內(nèi)容證書個人至于如何使證書導(dǎo)入進IE瀏覽器的證書容器，方法有多種。假設(shè)說您通過您的瀏覽器在線申請了我們SHECA的平安電子郵件證書，那么這張證書已經(jīng)自動安裝到您的瀏覽器的證書容器中去了，也就是說不需要您手工做任何操作，已經(jīng)具備了SSL雙向認證的客戶端操作要求。如果您申請了我們SHECA的個人證書和其他類型的非直接在線安裝的證書，那您還需要以下操作：首先將您的個人證書包括私鑰導(dǎo)入我們SHECA的證書管理器〔證書管理器版本要求2.26以上可以通過網(wǎng)絡(luò)下載〕。有關(guān)證書管理器的操作說明請參考我們SHECA發(fā)布的相關(guān)手冊，或向我們SHECA客戶效勞部咨詢相關(guān)問題。選中你希望導(dǎo)入IE瀏覽器證書容器的證書，然后點擊證書管理器快捷菜單欄中的outlook圖標(biāo)，這時候會讓你輸入密碼，請輸入您證書的是要保護口令，然后確定。然后您可以通過翻開IE瀏覽器工具Internet選項內(nèi)容證書個人查看您導(dǎo)入的證書。由于通過證書管理器導(dǎo)入證書到IE瀏覽器的證書容器的時候，經(jīng)過了我們的CSP，所以在您以后進行SSL客戶端認證的時候，會跳出我們SHECA密碼設(shè)備選擇窗口，在這里您只要輸入相應(yīng)的私鑰保護口令就可以實現(xiàn)SSL雙向認證了。2、根證書的安裝 要實現(xiàn)SSL雙向認證，您必須分別在WEB效勞器和客戶端上正確部署上海CA中心的根證書。我們提供以下多種方式安裝根證書：安裝證書管理器訪問我們上海CA中心的主頁：HYPERLINK，會自動安裝根證書在我們上海CA中心的主頁的中進入根證書下載頁面，然后選擇下載SSL雙向認證根證書

八、常見問題如果您訪問的WEB效勞器時出現(xiàn)平安警報窗口，如下：那說明您在產(chǎn)生CSR時通用名〔CommonName〕與您實際站點的域名不符合，請重新生成CSR，然后再提交SHECA簽發(fā)新的證書。當(dāng)然，還有可能如下窗口：這說明在您的電腦上沒有安裝我們CA的根證書。有兩種方法可以將我們SHECA的根證書導(dǎo)入到您本地瀏覽器的證書容器：請訪問我們公司的主頁HYPERLINK，它會出現(xiàn)