在配置IIS的HTTPS和IE客户端的证书时,我们经常出错,本文就是通过在实际生产环境中配置SSL的过程,让您看看您可能会错在哪里?
当我们在企业需要WEB发布较为保密的数据时,我们一般把IIS 配置成HTTPS的模式。同时,如果我们只希望企业内部人员进行访问而又不希望进行登录时,我们可以在客户端上配置“浏览器证书”(根CA)或“用户证书”(企业CA),具体的做法可以分为如下几步:
1、通过Windows 2003 安装 证书CA服务器 功能。
在这一步容易出错的主要是,安装CA证书服务时,没有安装同步安装CA服务器的IIS功能,这样会导致无法通过浏览器来访问,
即: http://CA_Server/CertSRV,打不开。
解决办法是通过命令行
"certutil -vroot"
就可以自动给IIS安装上相应的WEB功能,以给其它机器提供CA服务。
2、 通过WEB服务器的IIS里的证书申请功能,向CA申请一个服务器证书,其作用是“验证远程服务器的身份”。
在一步容易出错的主要问题是,在申请证书时通用名称或是好记的名称里,我们要加上WEB服务器的URL,最好内部URL和外部URL要相同,如:www.boc.cn
3、申请完毕后在IIS中安装,只要“目录安全性”的证书框中点击“编辑”勾上“要求安全通道(SSL)”,就OK了。
这一步容易出错的是,如何在生产环境中,CA服务器和WEB服务器不是同一台机器,必须让WEB服务器和客户端的PC机都“信任”CA服务器,可以通过在WEB服务器或是PC机客户端中访问CA的WEB
http://CA_Server/CertSRV/Certcarc.asp
中的“请安装CA证书链”,来完成。
4、客户端访问CA的WEB完成如下步:申请“WEB浏览器证书”或是“用户”证书-到CA服务器用MMC颁布-客户端通过IE再安装证书。
填写:大家怕错都会填上国家什么的,其实只要写一个姓名,就好。
类型:在访问CA的WEB申请时,最好,打开“更多选择”和“高级证书申请”,“好记的名称”一栏填上WEB服务器的URL,如www.boc.cn
请注意:在申请的时候就要决定这个证书的私钥是不是可以导出的。所以,如果这个证书,你希望别人也用,那么你申请时就要勾上这个选项,否则只能重申请。
5、在WEB服务器的IIS中,勾上“要求客户端证书”,就可以实现双向的SSL认证了。
在测试环境是这样,但是生产环境,客户端IE总是显示SSL服务器认为“证书吊销”的错误。
大家都认为,只要客户端证书与服务器证书的颁发机构是一样的, 就OK了。 其实大家都错了。
一旦打上了这个勾,一定一定要请你确认你客户端证书内的“CRL分发点”字段,内有2个URL,起码有一个URL对于开启SSL的IIS来说是可以访问的。
在生产环境,CA和SSL WEB不总是在一起,并且由于DNS和内部名称的关系,这个“CRL分发点”URL对于IIS服务器来说,并不是可以访问的。
所以80%的SSL问题其实是由于这个URL对于IIS来说访问不了。
最后,如果你是初学者还没有碰到这个问题,请你先先看看下面的文章,如何碰到问题,再来看看本文。
IIS客户端证书访问配置 http://www.cnblogs.com/chnking/archive/2008/08/18/1270063.html
和如何在客户端使用证书连接WEB服务器,有了相当详细的教程。然而,在企业实际的生产网络中