任务一:IIS安全加固与证书签发
- 配置windows防火墙,使IIS web服务能够被访问.
选择windows防火墙:
对防火墙高级—本地连接—设置:
将允许web服务器(http)服务:
- 使用windows自带防火墙加固iis web服务器的安全配置,使得web服务只能被内网用户所在的网段访问。
对默认网站属性的IP地址和域名限制编辑:
选择拒绝访问,添加除外接受内网Ip的用户段,根据第一阶段题目可知,我组内网用户为:
- 为iis web服务器申请服务器证书。
申请证书过程:
在默认网站属性的安全通道里选择服务器证书:
选择下一步,新建证书:
设置名称为默认网站,选择下一步:
单位和部门分别设置名字,我使用简单的jj,下一步:
公用名字直接使用默认的名字,选择下一步:
选择国家cn,省ss 市ss:
请求的证书文件名字为默认certreq.txt:
摘要:申请成功后出现证书摘要:
- 为iis web 服务器颁发一年期服务器证书。对颁发过程截图。
颁发过程
先提交申请:
对挂失的申请里的证书进行颁发:
1年期:查看证书可以看到时间为1年期
- 将iis服务器启动SSL安全通信,并安装服务器证书。使用win-wireshark虚拟中的浏览器访问web服务进行测试。由于cn和iis的域名不一致,所以一定有警报弹出窗。
启动ssl安全通信:
对默认网站属性的安全通信编辑:
选择要求安全通道:
安装服务器证书
将证书复制到文件,为导出证书做准备:
选择DER编码,下一步:
文件名称使用moren.cer:
导出证书到c盘根目录:
对默认网站属性的安全通信的服务器证书编辑:
选择处理刮起的请求并安装证书:
选择刚导出到c盘根目下的.cer文件:
下一步,安全端口为默认的443:
客户机访问web服务器:
首先要在防火墙对将443https服务进行选择:
弹出警报窗口:访问后有警报窗口弹出:
- 将IIS服务器启用客户端证书设置。使用win-wireshark虚拟机自带的浏览器哦访问该web服务器进行测试。将要求客户端提供证书的弹出页面截屏:
启用客户端证书:
对默认网站属性的安全通信编辑,选择要求客户端证书:
弹出窗口:客户机浏览web服务端,弹出要求证书页面:
- 为win-wireshark虚拟机上安装CA证书。对申请和办法过程截屏:
申请证书:
客户机选择申请一个证书:
选择web浏览器证书:
对web浏览器证书的信息进行添加:
申请成功:
证书颁发:
服务器端打开证书颁发机构:对客户机挂起的证书进行颁发:
- 在win-wireshark虚拟机上安装ca证书。使用Pc浏览器访问该web服务进行测试
安装CA证书:
客户机选择查看挂起的证书申请:
对web浏览器证书下载:
安装证书:
安装证书成功:
访问测试
访问web服务器,将弹出选择证书页面:
选择证书,确定后访问成功:
