基本SSL實驗：

開三臺虛擬機器 2008(HTTPS伺服器)  2008(CA伺服器)  XP(客戶機)

1.檢查網路設定：(IP  防火牆)是否可以ping通。

把虛擬機器放置V2虛擬交換機上面，並配上ip地址，可以ping通。

2.安裝IIS服務 並建立一個站點。(必須使用域名)

在2008上釋出http伺服器(可以關閉預設網站)，見之前詳細步驟

在XP(因為沒有dns伺服器，所以要在hosts檔案中加入解析)上可以訪問

3.安裝CA

在2008(CA伺服器)上安裝CA，也要安裝http伺服器，設定的期限為：CA可以使用多長時間

4.向CA申請證書     開啟CA 

關閉Internet explorer  ：計算機右鍵管理-伺服器管理-配置IE ESC(中間)-把兩個啟用點成禁用

先在web伺服器上，建立證書申請，生成相關檔案

方法：在web伺服器上開啟網頁輸入：   192.168.1.1/certsrv      

註釋：192.168.1.1是CA伺服器的IP

開啟網頁並向CA傳送web伺服器申請檔案 高階證書申請-第二個(base64)

5.CA頒發

開啟CA，掛起的申請，所有任務，頒發

6.在web伺服器上下載並完成安裝

192.168.1.1/certsrv  檢視掛起的證書申請的狀態，下載證書(選擇桌面)

完成證書申請

7.在web伺服器上啟用SSL443

新增443埠

8.在客戶端上驗證(此時會出現安全警報)  

此時，http，HTTPS都可以訪問

二、要求使用者必須使用443訪問，不能使用80訪問！

三、如何讓客戶端不出現安全警報

1.讓客戶端下載證書（不是要通過自己申請的證書，而是直接下載CA證書）

192.168.1.1/certsrv    下載CA證書、證書鏈或CRL  -- 下載CA 證書-- 儲存桌面安裝

2.在客戶端上驗證   此時已經有兩個對號

四、讓伺服器對客戶端驗證

1.在web伺服器上要求客戶端有證書

192.168.1.1/certsrv   申請證書--web瀏覽器證書--在CA伺服器頒發證書--在客戶端 檢視掛起的證書申請的狀態--安裝

2.客戶端申請證書(客戶端若沒有證書，則無法訪問web網頁)

3.CA頒發

4.客戶端上安裝證書

5.客戶端上再驗證!

在web伺服器，配置SSL如下，意思是必須使用HTTPS訪問

五、也可以在真實機驗證，把真實機放到和虛擬機器同樣的虛擬網絡卡就可以！！