https双向认证网站搭建

1. 新建网站

在搭建网站证书之前，我们先搭建好我们的网站

1、网站基本搭建

为我们的项目新建一个网站，按照如下的步骤来

1，打开IIS，右键单击网站弹出菜单，选择网站（如图1.1.1）

图1.1.1

2，如图1.1.2所示，点击下一步

、

图1.1.2

3，如图1.1.3所示，填写一个网站名，然后点击下一步

图1.1.3

4，如图1.1.4所示，给网站指定一个端口号（注意我们的网站最好不要默认的端口号80）

图1.1.4

5，如图1.1.5所示，路径要选择我们ToolPlatform目录下网页所在的目录

图1.1.5

6，如图1.1.6所示，给网站配置一个读取的权限

图1.1.6

7，如图1.1.7所示，最后点击完成，我们的网站就基本上创建好了。

图1.1.7

2、设置网站属性

1，右键单击创建好的网站名，弹出网站操作菜单，如图1.2.1所示

图1.2.1

2，选择"属性"菜单项，弹出网站属性窗口，设置"主目录"、"文档"、"Asp.NET"选项，按图1.2.2至图1.2.4中红色圈中的值设置

图1.2.2

图1.2.3

图1.2.4

3

、网站权限设置

1，右键单击创建好的网站名，弹出网站操作菜单，选择权限，如图1.3.1所示

图1.3.1

2，弹出网站目录权限设置页面，如图1.3.2

所示，点击添加按钮

图1.3.3

3，添加IIS_WPG、IUSER-xxx(xxx代表主机名)修改权限；以IIS_WPG为例；如图1.3.3为添加窗口，点击"高级"按钮

图1.3.3

4，如图1.3.4所示，点击"立即查找"

图1.3.4

5，如图1.3.5所示，点击"IIS_WPG"，然后点击"确定"

图 1.3.5

6，如图1.3.6所示，点击"确定"

图 1.3.6

7，如图1.3.7所示，"IIS_WPG"已经成功被添加进来了。注意修改"IIS_WPG"的权限

图1.3.7

8，同样的方法增加如图1.3.8窗口中来宾账户（IUSR_xxx）

图1.3.8

1. 服务端证书搭建

1、证书请求文件的生成

，在弹出菜单中选择"属性"，然后切换到"目录安全性"标签页,接着点击"服务器证书"按钮（如图2.1.1和图2.1.2）。

图2.1.1

图2.1.2

2，在web向导窗口，选择下一步，如图2.1.3

图2.1.3

3，在"IIS证书向导"窗口中选择"新建证书"选项，点击"下一步"，选中"现在准备证书请求，但稍后发送"。如图2.1.4和图2.1.5所示。

图2.1.4

图2.1.5

4，接着在"名称"栏中为该证书起个名字，在"位长"下拉列表中选择"密钥的位长"，这里要注意，位长不能设置的过大，否则会影响通信质量;接着设置证书的单位、部门、和地理信息. 在站点"公用名称栏"中输入该网站的域名（如图2.1.6，图2.1.7，图2.1.8和图2.1.9）

图2.1.6

图2.1.7

图2.1.8

图2.1.9

5，然后指定证书请求文件的保存位置，这里笔者将该证书请求文本文件保存在"c:/certreq.txt"。这样就完成了证书请求文件的生成（如图2.1.10，图2.1.11，图2.1.12和图2.1.13）。

图2.1.10

图2.1.11

图2.1.12

图2.1.13

2、安装证书服务

完成了证书请求文件的生成后，就可以开始申请IIS网站证书了。但这个过程需要证书服务(Certificate Services)的支持。Windows 2003系统默认状态没安装此服务，需要手工添加

1，在"控制面板"中运行"添加或删除程序"，切换到"添加/删除Windows组件"页，如图2.2.1。

图2.2.1

2，在"Windows组件向导"对话框中，选中"证书服务"选项，接下来选择CA类型，选择"是"，如图2.2.2所示。

图2.2.2

3,这里选择"独立根CA"，如图2.2.3

图2.2.3

4，然后为该CA服务器起个名字，设置证书的有效期限，建议使用默认值"5年"即可（如图2.2.4）

图2.2.4

5，最后指定证书数据库和证书数据库日志的位置后，选择"是" ，就完成了证书服务的安装。如图2.2.5和图2.2.6所示。

图2.2.5

图2.2.6

注意：这一步可能需要到装系统的ISO 镜像文件

3、申请IIS网站证书

1，运行 IE浏览器，在地址栏中输入

"http://127.0.0.1/CertSrv/default.asp"。

接着在"Microsoft 证书服务"欢迎窗口中点击"申请一个证书"链接。如图2.3.1所示。

图2.3.1

注意:这里的http:// 后面跟的IP地址根据服务器网站的IP地址而定,这里我们的网站部署在本地服务器上,所以IP是127.0.0.1

2，然后在证书申请类型中点击"高级证书申请"链接，在高级证书申请窗口中点击"使用BASE64编码的 CMC或PKCS#10文件提交…."链接（如图2.3.2和图2.3.3）

图2.3.2

图2.3.3

3，接着将证书请求文件的内容复制到"保存的申请"输入框中，这里我们的证书请求文件内容保存在"c:/ certreq.txt"，最后点击"提交"按钮。（如图2.3.4、图2.3.5和图2.3.6）

图2.3.4

图2.3.5

图2.3.6

4、颁发IIS网站证书

1，虽然完成了IIS网站证书的申请后，但这时它还处于挂起状态，需要颁发后才能生效。在"控制面板→管理工具"中，运行"证书颁发机构"程序。（如图2.4.1）

图2.4.1

2，在"证书颁发机构"左侧窗口中展开目录，选中"挂起的申请"目录，在右侧窗口找到刚才申请的证书，鼠标右键点击该证书，选择"所有任务→颁发"。（如图2.4.2和图2.4.3）

图2.4.2

图2.4.3

3，接着点击 "颁发的证书"目录，打开刚刚颁发成功的证书，右键选择"打开"，在 "证书"对话框中切换到"详细信息"标签页（如图2.4.4，图2.4.5和图2.4.6所示）

图2.4.4

图2.4.5

图2.4.6

3，点击"复制到文件"按钮，弹出证书导出对话框，一路下一步（如图2.4.7，图2.4.8和图2.4.9）

图2.4.7

图2.4.8

图2.4.9

4，在"要导出的文件"栏中指定文件名，这里我们保存证书路径为"c:/of.cer"，最后点击"完成"。（如图2.4.10，图2.4.11和图2.4.12）

图2.4.10

图2.4.11

图2.4.12

5、导入IIS网站证书

1，在IIS管理器的"目录安全性"标签页中，点击"服务器证书"按钮（如图2.5.1）

图2.5.1

2，点击"下一步"这时弹出"挂起的证书请求"对话框，选择"处理挂起的请求并安装证书"选项（如图2.5.2和图2.5.3）

图2.5.2

图2.5.3

3，点击"下一步"后，指定好刚才导出的IIS 网站证书文件的位置，接着指定SSL使用的端口，建议不要使用默认的"443"，最后点击"完成"按钮。（如图2.5.4，图2.5.5，图2.5.6和图2.5.7）

图2.5.4

图2.5.5

图2.5.6

图2.5.7

6、配置IIS服务器

1，完成了证书的导入后，IIS网站这时还没有启用SSL安全加密功能，需要对IIS服务器进行配置。选择需要加密访问的站点目录（如果希望全站加密，可以选择整个站点），这里以整个站点为例。右键单击打开属性页（如图2.6.1）

图2.6.1

2，在"目录安全性"标签页点击安全通信栏的"编辑"按钮

图2.6.2

3，选中"要求安全通道(SSL)"和"要求128位加密"选项，并且选择客户端证书，最后点击"确定"按钮即可（如图2.6.3）。

图2.6.3

7、导出根证书

1，打开IE浏览器，找到工具下的Interne选项（如图2.7.1所示）

图2.7.1

2，在Interne选项卡上选择"内容"，点击"证书"（如图2.7.2）

图2.7.2

3，在证书选项卡点击"受信任的根证书颁发机构"，找到根证书名称。点击该证书，然后再点击"导出"按钮。（如图2.7.3）

图2.7.3

4，点击下一步（如图2.7.4）

图2.7.4

5，这一步，我们可以直接写"c:\root.cer"（如图2.7.5）

图2.7.5

6，最后点击完成，最后在C盘我们就可以看到导出的根证书（如图2.7.6和图2.7.7）

图2.7.6

图2.7.7

三、客户端证书搭建

客户端证书的搭建根证书的搭建是差不多的。首先要做的事情是申请一个证书。

1、申请证书

1，按照申请根证书的步骤，打开申请证书的页面，点击"申请一个证书"，如图3.1.1

图3.1.1

2，选择"web浏览器证书，如图3.1.2

图3.1.2

3，打开"更多选项"和"请使用高级证书"，如图3.1.3和图3.1.4

图3.1.3

图3.1.4

4，"姓名"是指登陆的用户名，"密钥大小"要选2048，把"标志密钥为可导出"勾上。最后点击提交（如图3.1.5）。此时我们就能成功的申请了客户端证书（如图3.1.6）。

图3.1.5

图3.1.6

2、颁发证书

1，如图3.2.1所示，进入到颁发证书的窗口

图3.2.1

2，在证书颁发的窗口，点击"挂起的证书"，可以看到刚才申请的客户端证书。此时就可以按照图3.2.2所示，颁发该证书了。

图3.2.2

3、安装证书

1，打开证书申请的页面，如图3.3.1所示，点击"查看挂起的证书申请的状态"

图3.3.1

2，在查看证书页面，如图3.3.2所示，点击"客户端身份验证证书….."

图3.3.2

3，点击"安装此证书"，如图3.3.3所示。

图3.3.3

4，弹出一个警告窗口，选择"是"，如图3.3.4。成功安装了证书之后，就会显示如图3.3.5的页面。

图3.3.4

图3.3.4

4、导出证书

1，从IE浏览器进入到证书窗口，点击个人（如图3.4.1）。在个人证书窗口，可以看到之前安装的客户端证书。

图3.4.1

2，导出证书的步骤，跟导出根证书的步骤是差不多的。但是有个导出证书密钥的步骤，这个步骤，默认是不导出证书密钥的，为了安全起见，我们要选择导出密钥，如图3.4.2所示。

图3.4.2

3，导出的格式选择默认的格式，如图3.4.3。

图3.4.3

4，设置证书密码，如图3.4.4所示。

图3.4.4

5，如图3.4.5所示，收到写入文件名。文件名必须以.pfx结尾。

图3.4.5

6，点击图3.4.6窗口的"完成"过后，到c盘下去查看，就可以看到demo.pfx证书了，如图3.4.7。

图3.4.6

图3.4.7