您现在的位置: 365建站网 > 365学习 > 局域网内多台机器使用自签发证书架设https网站的设置方法

局域网内多台机器使用自签发证书架设https网站的设置方法

文章来源:365jz.com     点击数:248    更新时间:2020-07-19 16:41   参与评论

局域网内多台机器使用自签发证书架设https网站的设置方法

https总是与数字证书联系在一起。所谓的https,就是采用了SSL协议的http。SSL协议负责加密通信,采用对称加密。但采用哪种加密方法,密钥如何,并不是固定的,而是在客户端与服务器建立连接之初协商产生的。这个协商步骤,采用了非对称加密。非对称加密,就牵扯到公钥私钥。私钥自己保管,公钥呢?客户端与服务器如何能保证收到的公钥就是对方提供的?这里就要用到数字证书了。数字证书,负责身份验证,公钥就放在数字证书里。

然而新的问题又来了。谁来保证数字证书的真伪?答案是权威机构,由他们签发的数字证书有权威性。但权威机构颁发的证书需要购买,好像还很贵,我们在开发阶段,或者局域网内,采用自签发证书即可。

自签发证书怎么用呢?步骤是这样的:

1、以一台机器作为根证书服务器(其实就是CA),负责生成根证书
2、所有网站的证书,都由这张根证书来签发
3、客户端导入这张根证书到自己的“受信任的根证书颁发机构”里


为什么网站用自签发证书,客户端也要安装证书呢?你看我们访问互联网上的一些著名站点,都是https,但我们啥证书都不用,就能很顺畅的打开。这是因为,大网站都采用了权威机构颁发的证书,浏览器有一个名单,所以我们无须多做些什么。而自签发证书的话,没有权威性,客户端不认,需要手动将根证书安装到自己机器上的“受信任的根证书颁发机构”里。由于网站证书就是由这个根证书签发的,这样客户端才会认可、信任网站证书,访问得以顺利进行。

image.png


生成网站证书

https数字证书制作工具itisscg.exe
这是一个用.NET开发的证书生成工具,图形界面。这个工具小巧玲珑,只有200多K,需要.NET4.6的支持。

目前官网不可访问,可到CSDN资源页进行下载:
https://down.365jz.com/24898.html

1)输入subject 和 subject alternative name,存储位置为本机(区别于当前用户)
image.png

2)
选择根证书进行签发
image.png

3)
我的情况是,网站跟CA不是同一台机,签发的网站证书没必要装在CA这台机器上,因此将证书输出到文件里,同时删掉本机存储的这个证书。估计它的流程是不管3721,都要先生成到本机证书存储区域。
image.png

然后将这个证书文件,拷到网站服务器,导入到 “本机”的“个人证书”,然后在IIS里与网站的https绑定即可。方法为:

运行 mmc 命令
image.png

添加证书管理单元
image.png


image.png


image.png

image.png

鼠标右键,导入网站证书。

然后在IIS里绑定

本来双击这个证书文件,也能安装证书。但安装的路径是“当前账号”而不是“本机”,IIS貌似是访问“本机”,“当前账号”下的证书它看不到。

三、客户端导入根证书
将根证书文件拷贝到客户端机器,在“本机”的“受信任的根证书颁发机构” 里导入即可。

完成以上3个步骤,已经大功告成。但是,开发阶段,一个网站往往需要多张证书:

四、网站多张证书
依我看,开发过程中,一个网站往往有两张以上的证书。为什么这么说呢?我们开发的时候,访问本机的网站,一般都用localhost,而别人访问我们,肯定要用IP。虽然证书里的subject alternative name 支持多个域名和IP,但如果是localhost与IP混在一起的话,谷歌浏览器支持,IE又不干了,它会警告说这张证书是颁布给别的网站的。所以localhost要与IP分开成两张证书。
image.png

相应地,https要分开绑定:
image.png


image.png

如对本文有疑问,请提交到交流论坛,广大热心网友会为你解答!! 点击进入论坛


发表评论 (248人查看0条评论)
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
用户名: 验证码: 点击我更换图片
最新评论
------分隔线----------------------------