在IIS中使用SSL配置HTTPS網站
(載自:http://blog.csdn.net/nj_1st_excellence/archive/2008/01/18/2051515.aspx)
由于Windows系統的普及�,很多中小企業在自己的網站和內部辦公管理系統都是用默認的IIS來做WEB服務器使用。
默認情況下我們所使用的HTTP協議是沒有任何加密措施的�,所有的消息全部都是以明文形式在網絡上傳送的�,惡意的攻擊者可以通過安裝監聽程序來獲得我們和服務器之間的通訊內容�。這點危害在一些企業內部網絡中尤其比較大,對于使用HUB的企業內網來說簡直就是沒有任何安全可講因為任何人都可以在一臺電腦上看到其他人在網絡中的活動�,對于使用交換機來組網的網絡來說雖然安全威脅性要小很多�,但很多時候還是會有安全突破口�,比如沒有更改交換機的默認用戶和口令,被人上去把自己的網絡接口設置為偵聽口�,依然可以監視整個網絡的所有活動�。
IIS的身份認證除了匿名訪問�、基本驗證和Windows NT請求/響應方式外,還有一種安全性更高的認證�,就是通過SSL(Security Socket Layer)安全機制使用數字證書�。
因此�,為了網絡的安全越來越多的企業采用SSL來避免或減少這方面帶來的損失。
SSL(加密套接字協議層)位于HTTP層和TCP層之間�,建立用戶與服務器之間的加密通信�,確保所傳遞信息的安全性�。SSL是工作在公共密鑰和私人密鑰基礎上的,任何用戶都可以獲得公共密鑰來加密數據,但解密數據必須要通過相應的私人密鑰�。使用SSL安全機制時�,首先客戶端與服務器建立連接�,服務器把它的數字證書與公共密鑰一并發送給客戶端�,客戶端隨機生成會話密鑰,用從服務器得到的公共密鑰對會話密鑰進行加密,并把會話密鑰在網絡上傳遞給服務器�,而會話密鑰只有在服務器端用私人密鑰才能解密�,這樣�,客戶端和服務器端就建立了一個惟一的安全通道。
建立了SSL安全機制后,只有SSL允許的客戶才能與SSL允許的Web站點進行通信�,并且在使用URL資源定位器時�,輸入https:// �,而不是http://。
下面我們以WIN2000服務器版本的來做例子,介紹一下怎樣利用SSL加密HTTP通道來加強IIS安全的�。
操作辦法
我們首先需要在控制面板里的填加刪除WINDOWS組件中去安裝證書服務�,這個服務在默認安裝中是沒有安裝在系統里的�,需要安裝光盤來安裝。
然后選擇獨立根CA的安裝類型。然后在下一步中給自己的CA起一個名字來完成安裝就可以了。
安裝完成后,我們就可以啟動我們的IIS管理器來申請一個數字證書了,啟動INTERNET管理器選擇我們需要配置的WEB站點
選擇站點屬性里的,目錄安全性-安全通信-服務器證書
由于我們是第一次配置�,所以選擇創建一個新的證書�。
用默認的站點名稱和加密位長設置就可以了�。
選擇一個地方把我們剛才生成的一個請求證書保存起來。
完成上面的設置后,我們就要把我們剛剛生成的服務器證書提交給我們剛剛在本地安裝的證書服務器�。在默認情況下證書服務器完成安裝后會在本地的IIS里的WEB服務器里面生成幾個虛擬的目錄�。
我們打開http://localhost/CertSrv/default.asp
選擇申請證書
在選擇申請類型的時候�,選擇高級申請。
選擇使用base64的編碼方式來提交我們的證書申請。
在證書申請的地方把我們剛剛生成的certreq.txt的內容拷備進去,然后選擇提交�。
提交成功以后�,會返回一個頁面給我們告訴我們證書已經成功提交了�,現在是掛起狀態就是等待CA中心來頒發這個證書了。
好接下來啟動管理工具里的證書頒發機構,在待定申請中找到我們剛剛的申請條目然后點擊鼠標右鍵選擇頒發就好了�。
頒發成功以后我們在頒發的證書里找到剛才頒發的證書�,雙擊其屬性欄目然后在詳細信息里選擇將證書復制到文件�。
我們需要把證書導出到一個文件,這里我們把證書導出到c: \sql.cer這個文件里。
重新回到IIS的WEB管理界面里重新選擇證書申請,這個時候出來的界面就是掛起的證書請求了�。
選擇我們導處的sql.cer這個文件�。
確定一切信息正確以后�,就可以點擊下一步確定來完成SSL的安裝了。
默認安裝結束后�,SSL并沒有啟動我們需要自己給我們的站點SSL的加密通道�,并且確定HTTPS使用的端口是443 �。
第一次通過HTTPS進入站點的時候,會有一個對話框讓我們確認是否同意當前證書�,當然是同意啦~
好了�,這個時候我們看這個網站的時候所有信息在網上就是以加密的方式來傳送的了�,任何人都無法再輕易了解其中的內容了。
加密過的SSL會比普通的沒有加密的WEB瀏覽的時候慢一點�,主要是因為加密的隧道額外還要占用一點CPU的資源�,對于那些沒有任何秘密可言的WEB站點沒有需要用加密的SSL通道�。只要對于那些重要的目錄和站點才有這個必要性。
Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=2051515