Windows網(wǎng)絡(luò)操作系統(tǒng)內(nèi)置的IIS是大家最常用的Web服務(wù)器����。但在系統(tǒng)默認(rèn)配置下,IIS使用的是"HTTP協(xié)議"以明文形式傳輸數(shù)據(jù)���,沒(méi)有采用任何加密手段���,傳輸?shù)闹匾獢?shù)據(jù)很容易被竊取��。這對(duì)于一些安全性要求高的網(wǎng)站來(lái)說(shuō)��,是遠(yuǎn)遠(yuǎn)不夠的����。為了保證重要數(shù)據(jù)的萬(wàn)無(wú)一失����,IIS也提供了SSL安全加密機(jī)制,下面就向大家介紹如何在IIS服務(wù)器中使用SSL安全加密機(jī)制�。 筆者以Windows Server 2003(簡(jiǎn)稱(chēng)Windows 2003)系統(tǒng)為例,介紹如何在IIS6服務(wù)器中應(yīng)用SSL安全加密機(jī)制功能�����。要想為某個(gè)IIS網(wǎng)站創(chuàng)建數(shù)字證書(shū)�����,首先必須使用"Web服務(wù)器證書(shū)向?qū)?功能為該網(wǎng)站生成一個(gè)證書(shū)請(qǐng)求文件�����。進(jìn)入"控制面板→管理工具→Internet 信息服務(wù)(IIS)管理器",在IIS管理器窗口中展開(kāi)"網(wǎng)站"目錄��,右鍵點(diǎn)擊要使用SSL安全加密機(jī)制功能的網(wǎng)站�,在彈出菜單中選擇"屬性",然后切換到"目錄安全性"標(biāo)簽頁(yè)����,接著點(diǎn)擊"服務(wù)器證書(shū)"按鈕。在"IIS證書(shū)向?qū)?窗口中選擇"新建證書(shū)"選項(xiàng)�����,點(diǎn)擊"下一步"��,選中"現(xiàn)在準(zhǔn)備證書(shū)請(qǐng)求����,但稍后發(fā)送"���,接著在"名稱(chēng)"欄中為該證書(shū)起個(gè)名字�����,在"位長(zhǎng)"下拉列表中選擇"密鑰的位長(zhǎng)"����,這里要注意,位長(zhǎng)不能設(shè)置的過(guò)大���,否則會(huì)影響通信質(zhì)量��;接著設(shè)置證書(shū)的單位��、部門(mén)�、和地理信息�,在站點(diǎn)"公用名稱(chēng)欄"中輸入該網(wǎng)站的域名,然后指定證書(shū)請(qǐng)求文件的保存位置��,這里筆者將該證書(shū)請(qǐng)求文本文件保存在"d?\certreq.txt"�����。這樣就完成了證書(shū)請(qǐng)求文件的生成����。
申請(qǐng)IIS網(wǎng)站證書(shū)
完成了證書(shū)請(qǐng)求文件的生成后,就可以開(kāi)始申請(qǐng)IIS網(wǎng)站證書(shū)了����。但這個(gè)過(guò)程需要證書(shū)服務(wù)(Certificate Services)的支持��。Windows 2003系統(tǒng)默認(rèn)狀態(tài)沒(méi)安裝此服務(wù)�,需要手工添加��。
● 安裝證書(shū)服務(wù)
在"控制面板"中運(yùn)行"添加或刪除程序"�����,切換到"添加/刪除Windows組件"頁(yè)�����,在"Windows組件向?qū)?對(duì)話(huà)框中�����,選中"證書(shū)服務(wù)"選項(xiàng)����,接下來(lái)選擇CA類(lèi)型����,這里筆者選擇"獨(dú)立根CA"�����,然后為該CA服務(wù)器起個(gè)名字��,設(shè)置證書(shū)的有效期限����,建議使用默認(rèn)值"5年"即可��,最后指定證書(shū)數(shù)據(jù)庫(kù)和證書(shū)數(shù)據(jù)庫(kù)日志的位置后�,就完成了證書(shū)服務(wù)的安裝。
完成了證書(shū)服務(wù)的安裝后�,就能開(kāi)始申請(qǐng)IIS網(wǎng)站證書(shū)了。運(yùn)行Internet Explorer瀏覽器����,在地址欄中輸入"localhost/CertSrv/default.asp"。接著在"Microsoft 證書(shū)服務(wù)"歡迎窗口中點(diǎn)擊"申請(qǐng)一個(gè)證書(shū)"鏈接����,然后在證書(shū)申請(qǐng)類(lèi)型中點(diǎn)擊"高級(jí)證書(shū)申請(qǐng)"鏈接,在高級(jí)證書(shū)申請(qǐng)窗口中點(diǎn)擊"使用BASE64編碼的CMC或PKCS#10文件提交…."鏈接�,接著將證書(shū)請(qǐng)求文件的內(nèi)容復(fù)制到"保存的申請(qǐng)"輸入框中,這里筆者的證書(shū)請(qǐng)求文件內(nèi)容保存在"d:\certreq.txt",最后點(diǎn)擊"提交"按鈕��。
頒發(fā)IIS網(wǎng)站證書(shū)
雖然完成了IIS網(wǎng)站證書(shū)的申請(qǐng)后����,但這時(shí)它還處于掛起狀態(tài),需要頒發(fā)后才能生效����。在"控制面板→管理工具"中,運(yùn)行"證書(shū)頒發(fā)機(jī)構(gòu)"程序�。在"證書(shū)頒發(fā)機(jī)構(gòu)"左側(cè)窗口中展開(kāi)目錄,選中"掛起的申請(qǐng)"目錄���,在右側(cè)窗口找到剛才申請(qǐng)的證書(shū)���,鼠標(biāo)右鍵點(diǎn)擊該證書(shū),選擇"所有任務(wù)→頒發(fā)"�。
接著點(diǎn)擊 "頒發(fā)的證書(shū)"目錄,打開(kāi)剛剛頒發(fā)成功的證書(shū)����,在 "證書(shū)"對(duì)話(huà)框中切換到"詳細(xì)信息"標(biāo)簽頁(yè)。點(diǎn)擊"復(fù)制到文件"按鈕����,彈出證書(shū)導(dǎo)出對(duì)話(huà)框,一路下一步�,在"要導(dǎo)出的文件"欄中指定文件名,這里筆者保存證書(shū)路徑為"d:\cce.cer"�����,最后點(diǎn)擊"完成"�。
導(dǎo)入IIS網(wǎng)站證書(shū)
在IIS管理器的"目錄安全性"標(biāo)簽頁(yè)中,點(diǎn)擊"服務(wù)器證書(shū)"按鈕��,這時(shí)彈出"掛起的證書(shū)請(qǐng)求"對(duì)話(huà)框���,選擇"處理掛起的請(qǐng)求并安裝證書(shū)"選項(xiàng)�����,點(diǎn)擊"下一步"后��,指定好剛才導(dǎo)出的IIS網(wǎng)站證書(shū)文件的位置��,接著指定SSL使用的端口�,建議使用默認(rèn)的"443"�,最后點(diǎn)擊"完成"按鈕
配置IIS服務(wù)器
完成了證書(shū)的導(dǎo)入后��,IIS網(wǎng)站這時(shí)還沒(méi)有啟用SSL安全加密功能����,需要對(duì)IIS服務(wù)器進(jìn)行配置�����。
在"目錄安全性"標(biāo)簽頁(yè)��,點(diǎn)擊安全通信欄的"編輯"按鈕�����,選中"要求安全通道(SSL)"和"要求128位加密"選項(xiàng)�,最后點(diǎn)擊"確定"按鈕即可。
接著點(diǎn)擊"身份驗(yàn)證和訪(fǎng)問(wèn)控制"欄的"編輯"按鈕���,在對(duì)話(huà)框中取消"啟用匿名訪(fǎng)問(wèn)"和"集成Windows身份驗(yàn)證"選項(xiàng)���,這里要選中"基本身份驗(yàn)證"選項(xiàng),最后點(diǎn)擊"確定"按鈕�����。
圖1
SSL安全加密機(jī)制
SSL(Security Socket Layer)的中文全稱(chēng)是"加密套接字協(xié)議層",是由Netscape公司推出的一種安全通信協(xié)議�,它位于HTTP協(xié)議層和TCP協(xié)議層之間,能夠?qū)π庞每ê蛡€(gè)人信息提供較強(qiáng)的保護(hù)��。SSL在客戶(hù)和服務(wù)器之間建立一條加密通道�,確保所傳輸?shù)臄?shù)據(jù)不被非法竊取����,SSL安全加密機(jī)制功能是依靠使用數(shù)字證書(shū)來(lái)實(shí)現(xiàn)的。
應(yīng)用了SSL加密機(jī)制后����,IIS服務(wù)器的數(shù)據(jù)通信過(guò)程如下:首先客戶(hù)端與IIS服務(wù)器建立通信連接,接著IIS把數(shù)字證書(shū)與公用密鑰發(fā)給客戶(hù)端�。然后使用這個(gè)公共密鑰對(duì)客戶(hù)端的會(huì)話(huà)密鑰進(jìn)行加密后,傳遞給IIS服務(wù)器���,服務(wù)器端接收后用私人密鑰進(jìn)行解密�,這時(shí)就在客戶(hù)端和IIS服務(wù)器間創(chuàng)建了一條安全數(shù)據(jù)通道����,只有被IIS服務(wù)器允許的客戶(hù)才能與它進(jìn)行通信。機(jī)制
SSL(Security Socket Layer)的中文全稱(chēng)是"加密套接字協(xié)議層"��,是由Netscape公司推出的一種安全通信協(xié)議,它位于HTTP協(xié)議層和TCP協(xié)議層之間�,能夠?qū)π庞每ê蛡€(gè)人信息提供較強(qiáng)的保護(hù)。SSL在客戶(hù)和服務(wù)器之間建立一條加密通道�,確保所傳輸?shù)臄?shù)據(jù)不被非法竊取,SSL安全加密機(jī)制功能是依靠使用數(shù)字證書(shū)來(lái)實(shí)現(xiàn)的����。
應(yīng)用了SSL加密機(jī)制后,IIS服務(wù)器的數(shù)據(jù)通信過(guò)程如下:首先客戶(hù)端與IIS服務(wù)器建立通信連接�,接著IIS把數(shù)字證書(shū)與公用密鑰發(fā)給客戶(hù)端。然后使用這個(gè)公共密鑰對(duì)客戶(hù)端的會(huì)話(huà)密鑰進(jìn)行加密后��,傳遞給IIS服務(wù)器����,服務(wù)器端接收后用私人密鑰進(jìn)行解密,這時(shí)就在客戶(hù)端和IIS服務(wù)器間創(chuàng)建了一條安全數(shù)據(jù)通道��,只有被IIS服務(wù)器允許的客戶(hù)才能與它進(jìn)行通信���。
ISAPI Rewrite實(shí)現(xiàn)IIS圖片防盜鏈
IIS6.0下配置MySQL+PHP5+Zend+phpMyAdmin
在Windows服務(wù)器上快速架設(shè)視頻編解碼器全攻略
win2000server IIS和tomcat5多站點(diǎn)配置