快捷搜索:  as  2018  FtCWSyGV  С˵  test  xxx  Ψһ  w3viyKQx

葡京娱乐场的官网_龟发之家论坛



现在许多企业与小我,都拥有属于自己的网站,并且宣布在Internet供同伙、相助伙伴或其他人所造访,然则,在许多环境下,某些宣布到Internet的网站,只想让指定的用户或指定的人来造访,那么应该怎么办呢?我想,可能的措施有:

ü 限定客户真个IP地址

ü 在网站中,取消匿名造访权限,只让拥有用户名与密码的人造访

ü 搭建证书办事器为指定的用户揭橥证书只让拥有证书的客户端造访

在这三葡京娱乐场的官网种措施中,各有利弊:

(1)对付某些用户来说,IP地址可能是常常要变的。别的,假如造访的用户对照多,就必要频繁的掩护一张列表,当用户IP地址变动时必要在办事器上改动。

(2)取消“容许匿名造访”权限的措施最简单,但用户名与密码可能很轻易“泄露”。

(3)应用证书措施最安然,但必要掩护证书办事器。

本节先容共同证书办事器、让指定用户造访网站的措施,收集拓扑如图1所示。

图1 收集拓扑牢图

在图1中,证书办事器、网站办事器、内网用户在同一个局域网中,网站办事器中有一个测试网站,经由过程防火墙宣布到Internet,对外办事地址是 https://61.x.x.6:6688,Internet收集用户可以应用该地址造访“网站办事器”宣布的网站,而内网用户,可以直接经由过程IP地址 https://192.168.1.8(或端口或内部域名)造访该网站。

在这个案例中,各办事器的主要设置设置设备摆设摆设步骤如下:

(1)在“证书办事器”上安装“标准证书办事器”。

(2)在“网站办事器”上设置设置设备摆设摆设网站,并从“证书办事器”申请用于网站的“办事器”证书。

(3)应用“防火墙”宣布“网站办事器”与“证书办事器”到Internet,例如,可以将证书办事器用TCP的432端口宣布,将网站办事器用 TCP的6688端口宣布。即将61.x.x.6的TCP的432端口转发到192.168.1.35的80端口,将61.x.x.6的TCP的6688 端口转发到192.168.1.8的443端口。

(4)“内网用户”从“证书办事器”申请证书,“Internet收集用户”经由过程http://61.x.x.6:432/certsrv申请证书。申请的证书类型为“客户端身份验证证书”,如图2所示。

图2 申请“客户端身份验证证书”

(4)治理员登录“证书办事器”,进入“证书揭橥机构”,揭橥用户与办事器申请的证书。

(5)在“网站办事器”,从“证书办事器”得到并安装证书,然后设置设置设备摆设摆设网站,要求客户端证书(在网站“目录安然性→安然通信→编辑”进入“安然通信”对话框,选中“要求安然通通(SSL)”与“要求客户端证书”选项),如图3所示。

图3 要求客户端证书

(6)客户端得到并安装证书,并“相信”证书揭橥机构,然后登录https://61.x.x.6:6688,在弹出的对话框中,选择安装的用户证书(如图4所示),就可以浏览应用证书保护的网站了。

图4 选择用户证书

这样就达到了我们的目的。对付治理员来说,假如不想让某个用户继承造访网站,则在“证书办事器”上“吊销”该用户的证书并宣布证书吊销列表即可。

在上述设置设置设备摆设摆设中,一个分外留意的问题便是:“网站办事器”必须要能造访“证书办事器葡京娱乐场的官网”的吊销列表,否则,当用户造访网站时会呈现“HTTP 403.13 禁止造访: 客户证书己在web办事器悬梁销”的差错,如图5所示。

图5葡京娱乐场的官网 呈现HTTP403.13差错

当呈现这个差错时,用户首先想到的可能便是客户端证书已经被吊销,但许多环境下,并不是用户证书被吊销,而是网站办事器无法造访证书办事器的证书吊销列表 (CRL)导致无法反省证书的吊销状态时,也会发生该差错消息。那么,如何反省网站办事器能否造访证书吊销列表呢?你可以经由过程如下的要领验证。

在网站办事器上,登录证书申请页面http://192.168.1.35/certsrv,单击“下载一个 CA 证书,证书链或 CRL”链接,在“下载 CA 证书、证书链或 CRL”页,单击“下载最新的基 CRL ”链接,在弹出的“文件下载”对话框中单击“打开”按钮,打开“证书吊销列表”,在“发行的CRL位置”,查看“CN=”后面的名字,例如,本例中名称是 “std-ca.sjqlq.gov.cn”,如图6所示。

图6 查看CRL地址

然后用http:// std-ca.sjqlq.gov.cn/certsrv的要领,看能否打开证书申请网站,假如不能打开,表示当前的网站办事器不能造访证书吊销列表,这平日是名称解析造成的问题,你可以改动网站办事器本地的hosts文件(平日在c:WINDOWSsystem32driversetc目录中),添加如下一行:

192.168.1.35 std-ca.sjqlq.gov.cn

以精确的解析该名称。

此中“std-ca.sjqlq.gov.cn”这个名称是你安装“标准证书办事器”时设置的名称,假如你想采纳其他的名称揭橥证书吊销列表,你可以登录到“证书办事器→证书揭橥机构”,右击“证书办事器名称”,在弹出的对话框葡京娱乐场的官网中选择“属性”,在“扩展”选项卡中,经由过程添加“CRL分发点”来达到这个目的,如图7所示。

图7 葡京娱乐场的官网添加CRL分发点位置

此中 ,CRL分发点的款式如“http://std-ca.sjqlq.gov.cn/certenroll/std-ca.sjqlq.gov.cn.crl”,此中std-ca.sjqlq.gov.cn是证书办事器的名称。

假如你想改动证书吊销列表的揭橥周期,可以经由过程右击“吊销的证书→属性”,在“CRL宣布参数”改动CRL宣布距离,如图8所示。

图8 改动CRL宣布距离

出处http://wangchunhai.blog.51cto.com/225186/392067

您可能还会对下面的文章感兴趣: