使用证书保护网站--兼谈证书服务器吊销列表的使用 - 王春海的博客 - 51CTO技术博客

来源：百度文库编辑：神马文学网时间：2024/10/02 18:41:21

使用证书保护网站--兼谈证书服务器吊销列表的使用 2010-09-15 11:05:01标签：CA 证书吊销保护网站原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处、作者信息和本声明。否则将追究法律责任。http://wangchunhai.blog.51cto.com/225186/392067

现在许多企业与个人，都拥有属于自己的网站，并且发布在Internet供朋友、合作伙伴或其他人所访问，但是，在许多情况下，某些发布到Internet的网站，只想让指定的用户或指定的人来访问，那么应该怎么办呢？我想，可能的方法有：

ü 限制客户端的IP地址

ü 在网站中，取消匿名访问权限，只让拥有用户名与密码的人访问

ü 搭建证书服务器为指定的用户颁发证书只让拥有证书的客户端访问

在这三种方法中，各有利弊：

（1）对于某些用户来说，IP地址可能是经常要变的。另外，如果访问的用户比较多，就需要频繁的维护一张列表，当用户IP地址更改时需要在服务器上修改。

（2）取消“允许匿名访问”权限的方法最简单，但用户名与密码可能很容易“泄露”。

（3）使用证书方法最安全，但需要维护证书服务器。

本节介绍配合证书服务器、让指定用户访问网站的方法，网络拓扑如图1所示。

图1 网络拓扑牢图

在图1中，证书服务器、网站服务器、内网用户在同一个局域网中，网站服务器中有一个测试网站，通过防火墙发布到Internet，对外服务地址是https://61.x.x.6:6688，Internet网络用户可以使用该地址访问“网站服务器”发布的网站，而内网用户，可以直接通过IP地址https://192.168.1.8（或端口或内部域名）访问该网站。

在这个案例中，各服务器的主要配置步骤如下：

（1）在“证书服务器”上安装“标准证书服务器”。

（2）在“网站服务器”上配置网站，并从“证书服务器”申请用于网站的“服务器”证书。

（3）使用“防火墙”发布“网站服务器”与“证书服务器”到Internet，例如，可以将证书服务器用TCP的432端口发布，将网站服务器用TCP的6688端口发布。即将61.x.x.6的TCP的432端口转发到192.168.1.35的80端口，将61.x.x.6的TCP的6688端口转发到192.168.1.8的443端口。

（4）“内网用户”从“证书服务器”申请证书，“Internet网络用户”通过http://61.x.x.6:432/certsrv申请证书。申请的证书类型为“客户端身份验证证书”，如图2所示。

图2 申请“客户端身份验证证书”

（4）管理员登录“证书服务器”，进入“证书颁发机构”，颁发用户与服务器申请的证书。

（5）在“网站服务器”，从“证书服务器”获得并安装证书，然后配置网站，要求客户端证书（在网站“目录安全性→安全通信→编辑”进入“安全通信”对话框，选中“要求安全通通（SSL）”与“要求客户端证书”选项），如图3所示。

图3 要求客户端证书

（6）客户端获得并安装证书，并“信任”证书颁发机构，然后登录https://61.x.x.6:6688，在弹出的对话框中，选择安装的用户证书（如图4所示），就可以浏览使用证书保护的网站了。

图4 选择用户证书

这样就达到了我们的目的。对于管理员来说，如果不想让某个用户继续访问网站，则在“证书服务器”上“吊销”该用户的证书并发布证书吊销列表即可。

在上述配置中，一个特别注意的问题就是：“网站服务器”必须要能访问“证书服务器”的吊销列表，否则，当用户访问网站时会出现“HTTP 403.13 禁止访问：客户证书己在web服务器上吊销”的错误，如图5所示。

图5 出现HTTP403.13错误

当出现这个错误时，用户首先想到的可能就是客户端证书已经被吊销，但许多情况下，并不是用户证书被吊销，而是网站服务器无法访问证书服务器的证书吊销列表 (CRL)导致无法检查证书的吊销状态时，也会发生该错误消息。那么，怎样检查网站服务器能否访问证书吊销列表呢？你可以通过如下的方式验证。

在网站服务器上，登录证书申请页面http://192.168.1.35/certsrv，单击“下载一个 CA 证书，证书链或 CRL”链接，在“下载 CA 证书、证书链或 CRL”页，单击“下载最新的基 CRL ”链接，在弹出的“文件下载”对话框中单击“打开”按钮，打开“证书吊销列表”，在“发行的CRL位置”，查看“CN＝”后面的名字，例如，本例中名称是“std-ca.sjqlq.gov.cn”，如图6所示。

图6 查看CRL地址

然后用http:// std-ca.sjqlq.gov.cn/certsrv的方式，看能否打开证书申请网站，如果不能打开，表示当前的网站服务器不能访问证书吊销列表，这通常是名称解析造成的问题，你可以修改网站服务器本地的hosts文件（通常在c:\WINDOWS\system32\drivers\etc\目录中），添加如下一行：

192.168.1.35 std-ca.sjqlq.gov.cn

以正确的解析该名称。

其中“std-ca.sjqlq.gov.cn”这个名称是你安装“标准证书服务器”时设置的名称，如果你想采用其他的名称颁发证书吊销列表，你可以登录到“证书服务器→证书颁发机构”，右击“证书服务器名称”，在弹出的对话框中选择“属性”，在“扩展”选项卡中，通过添加“CRL分发点”来达到这个目的，如图7所示。

图7 添加CRL分发点位置

其中，CRL分发点的格式如“http://std-ca.sjqlq.gov.cn/certenroll/std-ca.sjqlq.gov.cn.crl”，其中std-ca.sjqlq.gov.cn是证书服务器的名称。

如果你想修改证书吊销列表的颁发周期，可以通过右击“吊销的证书→属性”，在“CRL发布参数”修改CRL发布间隔，如图8所示。

图8 修改CRL发布间隔

本文出自 “王春海的博客” 博客，请务必保留此出处http://wangchunhai.blog.51cto.com/225186/392067

使用证书保护网站--兼谈证书服务器吊销列表的使用 - 王春海的博客 - 51CTO技术博客并行版本管理软件的使用(1)---3W 王泽宾 - 网站架构之家 - 51CTO技术博客 RTF域在b/s下的一些使用技巧 - wnight88 - 51CTO技术博客 linux下监控磁盘使用空间的脚本 - firsthoo - 51CTO技术博客网站的正规证书在Exchange Server 2007中使用多主机名称证书 - 叶俊坚 - 51CTO... 关于《事业单位法人证书》使用问题的通知使用脚本自动创建AD中的层次化结构容器及对象 - 矩阵天空 - 51CTO技术博客-领先的... 使用反向代理技术保护Web服务器使用反向代理技术保护Web服务器会计博客-hanjingen-各类会计证书的职业前景1 配置DNS辅助服务器：DNS系列之四 - 岳雷的微软网络课堂 - 51CTO技术博客-领先... 管好你网站的“破窗” - 网络新势力 - 51CTO技术博客-领先的IT技术博客网站的正规证书---生活经济电子商务市场的主要分类 - 关注企业电子商务网站 - 51CTO技术博客修改默认远程桌面登陆端口 - 凯旋博客 - 51CTO技术博客-领先的IT技术博客最不称职网络管理员 - 周海鹏微软技术社区 - 51CTO技术博客-领先的IT技术博客讨人喜欢的27个原则 - 雨荷 - 51CTO技术博客 VRRP与HSRP的区别 - SENSE - 51CTO技术博客 regsvr32 注册.dll的用法 - carywu - 51CTO技术博客 hosts文件不起作用的解决办法 - 熊窝 - 51CTO技术博客 Resin服务器的使用 Resin服务器的使用大学生必要的证书