(載自:http://blog.csdn.net/taocsdn/archive/2004/07/12/39513.aspx)
Windows網(wǎng)絡(luò)操作系統(tǒng)內(nèi)置的IIS是大家最常用的Web服務(wù)器。但在系統(tǒng)默認(rèn)配置下,IIS使用的是“HTTP協(xié)議”以明文形式傳輸數(shù)據(jù),沒有采用任何加密手段,傳輸?shù)闹匾獢?shù)據(jù)很容易被竊取。這對于一些安全性要求高的網(wǎng)站來說,是遠(yuǎn)遠(yuǎn)不夠的。為了保證重要數(shù)據(jù)的萬無一失,IIS也提供了SSL安全加密機(jī)制,下面就向大家介紹如何在IIS服務(wù)器中使用SSL安全加密機(jī)制。
筆者以Windows Server 2003(簡稱Windows 2003)系統(tǒng)為例,介紹如何在IIS6服務(wù)器中應(yīng)用SSL安全加密機(jī)制功能。要想為某個(gè)IIS網(wǎng)站創(chuàng)建數(shù)字證書,首先必須使用“Web服務(wù)器證書向?qū)?#8221;功能為該網(wǎng)站生成一個(gè)證書請求文件。進(jìn)入“控制面板→管理工具→Internet 信息服務(wù)(IIS)管理器”,在IIS管理器窗口中展開“網(wǎng)站”目錄,右鍵點(diǎn)擊要使用SSL安全加密機(jī)制功能的網(wǎng)站,在彈出菜單中選擇“屬性”,然后切換到“目錄安全性”標(biāo)簽頁,接著點(diǎn)擊“服務(wù)器證書”按鈕。在“IIS證書向?qū)?#8221;窗口中選擇“新建證書”選項(xiàng),點(diǎn)擊“下一步”,選中“現(xiàn)在準(zhǔn)備證書請求,但稍后發(fā)送”,接著在“名稱”欄中為該證書起個(gè)名字,在“位長”下拉列表中選擇“密鑰的位長”,這里要注意,位長不能設(shè)置的過大,否則會(huì)影響通信質(zhì)量;接著設(shè)置證書的單位、部門、和地理信息,在站點(diǎn)“公用名稱欄”中輸入該網(wǎng)站的域名,然后指定證書請求文件的保存位置,這里筆者將該證書請求文本文件保存在“d\certreq.txt”。這樣就完成了證書請求文件的生成。
申請IIS網(wǎng)站證書
完成了證書請求文件的生成后,就可以開始申請IIS網(wǎng)站證書了。但這個(gè)過程需要證書服務(wù)(Certificate Services)的支持。Windows 2003系統(tǒng)默認(rèn)狀態(tài)沒安裝此服務(wù),需要手工添加。
● 安裝證書服務(wù)
在“控制面板”中運(yùn)行“添加或刪除程序”,切換到“添加/刪除Windows組件”頁,在“Windows組件向?qū)?#8221;對話框中,選中“證書服務(wù)”選項(xiàng),接下來選擇CA類型,這里筆者選擇“獨(dú)立根CA”,然后為該CA服務(wù)器起個(gè)名字,設(shè)置證書的有效期限,建議使用默認(rèn)值“5年”即可,最后指定證書數(shù)據(jù)庫和證書數(shù)據(jù)庫日志的位置后,就完成了證書服務(wù)的安裝。
完成了證書服務(wù)的安裝后,就能開始申請IIS網(wǎng)站證書了。運(yùn)行Internet Explorer瀏覽器,在地址欄中輸入“localhost/CertSrv/default.asp”。接著在“Microsoft 證書服務(wù)”歡迎窗口中點(diǎn)擊“申請一個(gè)證書”鏈接,然后在證書申請類型中點(diǎn)擊“高級證書申請”鏈接,在高級證書申請窗口中點(diǎn)擊“使用BASE64編碼的CMC或PKCS#10文件提交….”鏈接,接著將證書請求文件的內(nèi)容復(fù)制到“保存的申請”輸入框中,這里筆者的證書請求文件內(nèi)容保存在“d:\certreq.txt”,最后點(diǎn)擊“提交”按鈕。
頒發(fā)IIS網(wǎng)站證書
雖然完成了IIS網(wǎng)站證書的申請后,但這時(shí)它還處于掛起狀態(tài),需要頒發(fā)后才能生效。在“控制面板→管理工具”中,運(yùn)行“證書頒發(fā)機(jī)構(gòu)”程序。在“證書頒發(fā)機(jī)構(gòu)”左側(cè)窗口中展開目錄,選中“掛起的申請”目錄,在右側(cè)窗口找到剛才申請的證書,鼠標(biāo)右鍵點(diǎn)擊該證書,選擇“所有任務(wù)→頒發(fā)”。
接著點(diǎn)擊 “頒發(fā)的證書”目錄,打開剛剛頒發(fā)成功的證書,在 “證書”對話框中切換到“詳細(xì)信息”標(biāo)簽頁。點(diǎn)擊“復(fù)制到文件”按鈕,彈出證書導(dǎo)出對話框,一路下一步,在“要導(dǎo)出的文件”欄中指定文件名,這里筆者保存證書路徑為“d:\cce.cer”,最后點(diǎn)擊“完成”。
導(dǎo)入IIS網(wǎng)站證書
在IIS管理器的“目錄安全性”標(biāo)簽頁中,點(diǎn)擊“服務(wù)器證書”按鈕,這時(shí)彈出“掛起的證書請求”對話框,選擇“處理掛起的請求并安裝證書”選項(xiàng),點(diǎn)擊“下一步”后,指定好剛才導(dǎo)出的IIS網(wǎng)站證書文件的位置,接著指定SSL使用的端口,建議使用默認(rèn)的“443”,最后點(diǎn)擊“完成”按鈕
配置IIS服務(wù)器
完成了證書的導(dǎo)入后,IIS網(wǎng)站這時(shí)還沒有啟用SSL安全加密功能,需要對IIS服務(wù)器進(jìn)行配置。
在“目錄安全性”標(biāo)簽頁,點(diǎn)擊安全通信欄的“編輯”按鈕,選中“要求安全通道(SSL)”和“要求128位加密”選項(xiàng),最后點(diǎn)擊“確定”按鈕即可。
接著點(diǎn)擊“身份驗(yàn)證和訪問控制”欄的“編輯”按鈕,在對話框中取消“啟用匿名訪問”和“集成Windows身份驗(yàn)證”選項(xiàng),這里要選中“基本身份驗(yàn)證”選項(xiàng),最后點(diǎn)擊“確定”按鈕。
圖1
Windows網(wǎng)絡(luò)操作系統(tǒng)內(nèi)置的IIS是大家最常用的Web服務(wù)器。但在系統(tǒng)默認(rèn)配置下,IIS使用的是“HTTP協(xié)議”以明文形式傳輸數(shù)據(jù),沒有采用任何加密手段,傳輸?shù)闹匾獢?shù)據(jù)很容易被竊取。這對于一些安全性要求高的網(wǎng)站來說,是遠(yuǎn)遠(yuǎn)不夠的。為了保證重要數(shù)據(jù)的萬無一失,IIS也提供了SSL安全加密機(jī)制,下面就向大家介紹如何在IIS服務(wù)器中使用SSL安全加密機(jī)制。
筆者以Windows Server 2003(簡稱Windows 2003)系統(tǒng)為例,介紹如何在IIS6服務(wù)器中應(yīng)用SSL安全加密機(jī)制功能。要想為某個(gè)IIS網(wǎng)站創(chuàng)建數(shù)字證書,首先必須使用“Web服務(wù)器證書向?qū)?#8221;功能為該網(wǎng)站生成一個(gè)證書請求文件。進(jìn)入“控制面板→管理工具→Internet 信息服務(wù)(IIS)管理器”,在IIS管理器窗口中展開“網(wǎng)站”目錄,右鍵點(diǎn)擊要使用SSL安全加密機(jī)制功能的網(wǎng)站,在彈出菜單中選擇“屬性”,然后切換到“目錄安全性”標(biāo)簽頁,接著點(diǎn)擊“服務(wù)器證書”按鈕。在“IIS證書向?qū)?#8221;窗口中選擇“新建證書”選項(xiàng),點(diǎn)擊“下一步”,選中“現(xiàn)在準(zhǔn)備證書請求,但稍后發(fā)送”,接著在“名稱”欄中為該證書起個(gè)名字,在“位長”下拉列表中選擇“密鑰的位長”,這里要注意,位長不能設(shè)置的過大,否則會(huì)影響通信質(zhì)量;接著設(shè)置證書的單位、部門、和地理信息,在站點(diǎn)“公用名稱欄”中輸入該網(wǎng)站的域名,然后指定證書請求文件的保存位置,這里筆者將該證書請求文本文件保存在“d\certreq.txt”。這樣就完成了證書請求文件的生成。
申請IIS網(wǎng)站證書
完成了證書請求文件的生成后,就可以開始申請IIS網(wǎng)站證書了。但這個(gè)過程需要證書服務(wù)(Certificate Services)的支持。Windows 2003系統(tǒng)默認(rèn)狀態(tài)沒安裝此服務(wù),需要手工添加。
● 安裝證書服務(wù)
在“控制面板”中運(yùn)行“添加或刪除程序”,切換到“添加/刪除Windows組件”頁,在“Windows組件向?qū)?#8221;對話框中,選中“證書服務(wù)”選項(xiàng),接下來選擇CA類型,這里筆者選擇“獨(dú)立根CA”,然后為該CA服務(wù)器起個(gè)名字,設(shè)置證書的有效期限,建議使用默認(rèn)值“5年”即可,最后指定證書數(shù)據(jù)庫和證書數(shù)據(jù)庫日志的位置后,就完成了證書服務(wù)的安裝。
完成了證書服務(wù)的安裝后,就能開始申請IIS網(wǎng)站證書了。運(yùn)行Internet Explorer瀏覽器,在地址欄中輸入“localhost/CertSrv/default.asp”。接著在“Microsoft 證書服務(wù)”歡迎窗口中點(diǎn)擊“申請一個(gè)證書”鏈接,然后在證書申請類型中點(diǎn)擊“高級證書申請”鏈接,在高級證書申請窗口中點(diǎn)擊“使用BASE64編碼的CMC或PKCS#10文件提交….”鏈接,接著將證書請求文件的內(nèi)容復(fù)制到“保存的申請”輸入框中,這里筆者的證書請求文件內(nèi)容保存在“d:\certreq.txt”,最后點(diǎn)擊“提交”按鈕。
頒發(fā)IIS網(wǎng)站證書
雖然完成了IIS網(wǎng)站證書的申請后,但這時(shí)它還處于掛起狀態(tài),需要頒發(fā)后才能生效。在“控制面板→管理工具”中,運(yùn)行“證書頒發(fā)機(jī)構(gòu)”程序。在“證書頒發(fā)機(jī)構(gòu)”左側(cè)窗口中展開目錄,選中“掛起的申請”目錄,在右側(cè)窗口找到剛才申請的證書,鼠標(biāo)右鍵點(diǎn)擊該證書,選擇“所有任務(wù)→頒發(fā)”。
接著點(diǎn)擊 “頒發(fā)的證書”目錄,打開剛剛頒發(fā)成功的證書,在 “證書”對話框中切換到“詳細(xì)信息”標(biāo)簽頁。點(diǎn)擊“復(fù)制到文件”按鈕,彈出證書導(dǎo)出對話框,一路下一步,在“要導(dǎo)出的文件”欄中指定文件名,這里筆者保存證書路徑為“d:\cce.cer”,最后點(diǎn)擊“完成”。
導(dǎo)入IIS網(wǎng)站證書
在IIS管理器的“目錄安全性”標(biāo)簽頁中,點(diǎn)擊“服務(wù)器證書”按鈕,這時(shí)彈出“掛起的證書請求”對話框,選擇“處理掛起的請求并安裝證書”選項(xiàng),點(diǎn)擊“下一步”后,指定好剛才導(dǎo)出的IIS網(wǎng)站證書文件的位置,接著指定SSL使用的端口,建議使用默認(rèn)的“443”,最后點(diǎn)擊“完成”按鈕
配置IIS服務(wù)器
完成了證書的導(dǎo)入后,IIS網(wǎng)站這時(shí)還沒有啟用SSL安全加密功能,需要對IIS服務(wù)器進(jìn)行配置。
在“目錄安全性”標(biāo)簽頁,點(diǎn)擊安全通信欄的“編輯”按鈕,選中“要求安全通道(SSL)”和“要求128位加密”選項(xiàng),最后點(diǎn)擊“確定”按鈕即可。
接著點(diǎn)擊“身份驗(yàn)證和訪問控制”欄的“編輯”按鈕,在對話框中取消“啟用匿名訪問”和“集成Windows身份驗(yàn)證”選項(xiàng),這里要選中“基本身份驗(yàn)證”選項(xiàng),最后點(diǎn)擊“確定”按鈕。
圖1
SSL安全加密機(jī)制
SSL(Security Socket Layer)的中文全稱是“加密套接字協(xié)議層”,是由Netscape公司推出的一種安全通信協(xié)議,它位于HTTP協(xié)議層和TCP協(xié)議層之間,能夠?qū)π庞每ê蛡€(gè)人信息提供較強(qiáng)的保護(hù)。SSL在客戶和服務(wù)器之間建立一條加密通道,確保所傳輸?shù)臄?shù)據(jù)不被非法竊取,SSL安全加密機(jī)制功能是依靠使用數(shù)字證書來實(shí)現(xiàn)的。
應(yīng)用了SSL加密機(jī)制后,IIS服務(wù)器的數(shù)據(jù)通信過程如下:首先客戶端與IIS服務(wù)器建立通信連接,接著IIS把數(shù)字證書與公用密鑰發(fā)給客戶端。然后使用這個(gè)公共密鑰對客戶端的會(huì)話密鑰進(jìn)行加密后,傳遞給IIS服務(wù)器,服務(wù)器端接收后用私人密鑰進(jìn)行解密,這時(shí)就在客戶端和IIS服務(wù)器間創(chuàng)建了一條安全數(shù)據(jù)通道,只有被IIS服務(wù)器允許的客戶才能與它進(jìn)行通信。機(jī)制
SSL(Security Socket Layer)的中文全稱是“加密套接字協(xié)議層”,是由Netscape公司推出的一種安全通信協(xié)議,它位于HTTP協(xié)議層和TCP協(xié)議層之間,能夠?qū)π庞每ê蛡€(gè)人信息提供較強(qiáng)的保護(hù)。SSL在客戶和服務(wù)器之間建立一條加密通道,確保所傳輸?shù)臄?shù)據(jù)不被非法竊取,SSL安全加密機(jī)制功能是依靠使用數(shù)字證書來實(shí)現(xiàn)的。
應(yīng)用了SSL加密機(jī)制后,IIS服務(wù)器的數(shù)據(jù)通信過程如下:首先客戶端與IIS服務(wù)器建立通信連接,接著IIS把數(shù)字證書與公用密鑰發(fā)給客戶端。然后使用這個(gè)公共密鑰對客戶端的會(huì)話密鑰進(jìn)行加密后,傳遞給IIS服務(wù)器,服務(wù)器端接收后用私人密鑰進(jìn)行解密,這時(shí)就在客戶端和IIS服務(wù)器間創(chuàng)建了一條安全數(shù)據(jù)通道,只有被IIS服務(wù)器允許的客戶才能與它進(jìn)行通信。
Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=39513