安全套接字層(SSL)是一套提供身份驗證��、保密性和數(shù)據(jù)完整性的加密技術(shù)�。SSL 最常用來在Web瀏覽器和web服務(wù)器之間建立安全通信通道�����。它也可以在客戶端應(yīng)用程序和Web服務(wù)之間使用。
要求
以下各項介紹了推薦的硬件�、軟件、網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)��、技巧和知識以及您需要的服務(wù)包�。
•MicrosoftWindows 2000 Server操作系統(tǒng) (Service Pack 2)
•Microsoft證書服務(wù)(如果您需要生成自己的證書,這是必需的)�����。
一�、生成證書申請
此過程創(chuàng)建一個新的證書申請,此申請可發(fā)送到證書頒發(fā)機構(gòu) (CA) 進行處理�����。如果成功��,CA 將給您發(fā)回一個包含生效證書的文件�。
生成證書申請
1. 啟動 iisMicrosoft管理控制臺 (MMC) 管理單元。
2. 展開Web服務(wù)器名��,選擇要安裝證書的Web站點�。
3. 右擊該Web站點,然后單擊"屬性"�����。
4. 單擊"目錄安全性"選項卡。
5. 單擊"安全通信"中的"服務(wù)器證書"按鈕���,啟動Web服務(wù)器證書向?qū)А?
注意:如果"服務(wù)器證書"不可用��,可能是因為您選擇了虛擬目錄���、目錄或文件。返回第 2 步�,選擇Web站點。
5. 單擊"下一步"跳過歡迎對話框���。
6. 單擊"創(chuàng)建一個新證書"�,然后單擊"下一步"��。
7. 該對話框有以下兩個選項:
• "現(xiàn)在準備申請��,但稍后發(fā)送"
該選項總是可用的�����。
• "立即將申請發(fā)送到在線證書頒發(fā)機構(gòu)"
僅當Web服務(wù)器可以在配置為頒發(fā)Web服務(wù)器證書的Windows 2000 域中訪問一個或多個Microsoft證書服務(wù)器時�����,該選項才可用�。在后面的申請過程中,您有機會從列表中選擇將申請發(fā)送到的頒發(fā)機構(gòu)��。
單擊"現(xiàn)在準備申請���,但稍后發(fā)送"��,然后單擊"下一步"�����。
8. 在"名稱"字段中鍵入證書的描述性名稱�,在"位長"字段中鍵入密鑰的位長���,然后單擊"下一步"���。
向?qū)褂卯斍癢eb站點名稱作為默認名稱。它不在證書中使用���,但作為友好名稱以幫助管理員�����。
9. 在"組織"字段中鍵入組織名稱(例如 Contoso)��,在"組織單位"字段中鍵入組織單位(例如"銷售部")��,然后單擊"下一步"���。
注意:這些信息將放在證書申請中��,因此應(yīng)確保它的正確性���。CA 將驗證這些信息并將其放在證書中。瀏覽您的Web站點的用戶需要查看這些信息�����,以便決定他們是否接受證書���。
10. 在"公用名"字段中�,鍵入您的站點的公用名�,然后單擊"下一步"。
重要說明:公用名是證書最后的最重要信息之一���。它是Web站點的DNS名稱(即用戶在瀏覽您的站點時鍵入的名稱)���。如果證書名稱與站點名稱不匹配,當用戶瀏覽到您的站點時��,將報告證書問題�����。
如果您的站點在Web上并且被命名為 www.contoso.com���,這就是您應(yīng)當指定的公用名�����。
如果您的站點是內(nèi)部站點��,并且用戶是通過計算機名稱瀏覽的�����,請輸入計算機的NetBIOS或DNS名稱�。
11. 在"國家/地區(qū)��、州/省和城市/縣市"字段中輸入適當?shù)男畔ⅲ缓髥螕?quot;下一步"�。
12. 輸入證書申請的文件名。
該文件包含類似下面這樣的信息�����。
-----開始新的證書申請-----
MIIDZjCCAs8CAQAwgYoxNjA0BgNvbAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy…
-----結(jié)束新的證書申請-----
這是您的證書申請的Base 64編碼表示形式��。申請中包含輸入到向?qū)е械男畔�,還包括您的公鑰和用您的私鑰簽名的信息。
將此申請文件發(fā)送到 CA�。然后CA會使用證書申請中的公鑰信息驗證用您的私鑰簽名的信息。CA 也驗證申請中提供的信息�。
當您將申請?zhí)峤坏紺A后,CA將在一個文件中發(fā)回證書�����。然后您應(yīng)當重新啟動Web服務(wù)器證書向?qū)А?
13. 單擊"下一步"�����。該向?qū)э@示證書申請中包含的信息概要��。
14. 單擊"下一步"���,然后單擊"完成"完成申請過程���。
證書申請現(xiàn)在可以發(fā)送到CA進行驗證和處理。當您從CA收到證書響應(yīng)以后���,可以再次使用 IIS 證書向?qū)�,在Web服務(wù)器上繼續(xù)安裝證書���。
二�����、提交證書申請
此過程使用Microsoft證書服務(wù)提交在前面的過程中生成的證書申請�。
提交證書申請
1. 使用"記事本"打開在前面的過程中生成的證書文件�,將它的整個內(nèi)容復制到剪貼板。
2. 啟動InternetExplorer�����,導航到 https://hostname/CertSrv���,其中hostname是運行Microsoft證書服務(wù)的計算機的名稱���。
3. 單擊"申請證書"��,然后單擊"下一步"��。
4. 在"選擇申請類型"頁中�����,單擊"高級申請"�����,然后單擊"下一步"�����。
5. 在"高級證書申請"頁中�����,單擊"使用 base64 編碼的 PKCS#10 文件提交證書申請"���,然后單擊"下一步"。
6. 在"提交一個保存的申請"頁中,單擊"Base64 編碼的證書申請(PKCS #10 或 #7)"文本框���,按住 CTRL+V�,粘貼先前復制到剪貼板上的證書申請�。
7. 在"證書模板"組合框中,單擊"Web 服務(wù)器"��。
8. 單擊"提交"���。
9. 關(guān)閉InternetExplorer。
三�����、頒發(fā)證書
頒發(fā)證書
1. 從"管理工具"程序組中啟動"證書頒發(fā)機構(gòu)"工具���。
2. 展開您的證書頒發(fā)機構(gòu)�,然后選擇"待定申請"文件夾�。
3. 選擇剛才提交的證書申請。
4. 在"操作"菜單中�����,指向"所有任務(wù)",然后單擊"頒發(fā)"���。
5. 確認證書顯示在"頒發(fā)的證書"文件夾中�,然后雙擊查看它�����。
6. 在"詳細信息"選項卡中���,單擊"復制到文件"���,將證書保存為Base-64編碼的X.509證書。
7. 關(guān)閉證書的屬性窗口�。
8. 關(guān)閉"證書頒發(fā)機構(gòu)"工具。
四��、在Web服務(wù)器上安裝證書
此過程在Web服務(wù)器上安裝在前面的過程中頒發(fā)的證書�����。
在Web服務(wù)器上安裝證書
1. 如果Internet信息服務(wù)尚未運行��,則啟動它��。
2. 展開您的服務(wù)器名稱,選擇要安裝證書的Web站點���。
3. 右擊該Web站點�����,然后單擊"屬性"��。
4. 單擊"目錄安全性"選項卡�。
5. 單擊"服務(wù)器證書"啟動Web服務(wù)器證書向?qū)А?
6. 單擊"處理待定申請和安裝證書"��,然后單擊"下一步"���。
7. 輸入包含CA響應(yīng)的文件的路徑和文件名,然后單擊"下一步"��。
8. 檢查證書概述���,單擊"下一步"���,然后單擊"完成"。
證書現(xiàn)在安裝在Web服務(wù)器上���。
五��、將資源配置為要求SSL訪問
此過程使用Internet服務(wù)管理器�,將虛擬目錄配置為要求SSL訪問。您可以為特定的文件���、目錄或虛擬目錄要求使用SSL�������?蛻舳吮仨毷褂肏TTPS協(xié)議訪問所有這類資源��。
關(guān)鍵詞標簽:Web安全,服務(wù)器
ISAPI Rewrite實現(xiàn)IIS圖片防盜鏈
IIS6.0下配置MySQL+PHP5+Zend+phpMyAdmin
在Windows服務(wù)器上快速架設(shè)視頻編解碼器全攻
win2000server IIS和tomcat5多站點配置