加密技术PKI(公钥基础设施)
通过使用公钥技术和数字签名来确保信息安全
PKI体系能够实现的功能
- 身份验证
- 数据完整性
- 数据机密性
- 操作的不可否认性
对称加密:用相同的密钥进行加密和解密。不安全,但处理速度快
非对称加密:使用两个不同的密码进行加密和解密,这两个密码被称为公钥和私钥
X.509是由ITU-T(国际电信联盟)制定的数字证书标准
PKI协议
SSL
HTTPS
IPSec
windowsserver2016步骤
添加角色和功能-服务器角色-AD证书服务-角色服务-全勾选-勾选自动重启-安装
安装完成后,勾选“如果需要,自动更新启动目标服务器”
点击右上角感叹号-配置目标服务器上的Active Directory证书服务
勾选证书颁发机构和证书颁发机构Web注册
到证书数据库这步,保存证书数据库位置与日志位置
确认配置后,点击配置。
点击工具-证书颁发机构,可以查看与管理证书。
点击工具-IIS管理器然后找到服务器证书,点击创建证书申请。
填写信息,通用名称格式为www.xxx.com
可以修改加密程序与密码位长,位长越高安全性越强
证书创建完成。
打开文本文件,可以看到刚刚创建的密钥信息。
打开浏览器,输入服务器的IP地址,格式:
https://x.x.x.x/certsrv
然后输入administrator与密码
成功会进入到此页面,然后点击申请证书-高级证书申请-使用base64编码的CMC或PKCS #10文件提交一个证书申请國使用 base64编码的 PKCS #7文件续订证书申请。
进入到此页面后,将保存的.txt中的密钥信息全部复制进制定框中,然后证书模板选择Web服务器-提交。
会进入到此界面,选择Base64编码-下载证书,如果没有反应或者点击提交之后证书模板和编码被清除,尝试使用解决步骤
#解决步骤:
#解决步骤
回到IIS管理器,将证书应用服务器,点击服务器证书-完成管理证书-选择刚刚下载的证书,并取一个方便记忆的名称这里取ymqsc。
完成配置后,点击Default Web Site-默认文档,然后在C盘新建一个与上一步骤的“好记名称”项名字相同的文件夹,并在文件夹内新建一个Default.htm的文件
右键网站-添加网站,修改内容,物理路径是上一步中创建的文件路径,绑定选择https,ip地址选择服务器的ip地址。ssl证书选择下载的ymqsc证书
添加完成后,选择http-SSL设置-勾选要求SSL-客户证书选择忽略。
使用Windows10,用浏览器访问https://10.10.1.130,会看到提示不安全,查看证书详情,可以看到,证书配置成功
。
