superwei

（載自：http://blog.csdn.net/taocsdn/archive/2004/07/12/39513.aspx）
Windows網絡操作系統內置的IIS是大家最常用的Web服務器。但在系統默認配置下，IIS使用的是“HTTP協議”以明文形式傳輸數據，沒有采用任何加密手段，傳輸的重要數據很容易被竊取。這對于一些安全性要求高的網站來說，是遠遠不夠的。為了保證重要數據的萬無一失，IIS也提供了SSL安全加密機制，下面就向大家介紹如何在IIS服務器中使用SSL安全加密機制。

　　筆者以Windows Server 2003(簡稱Windows 2003)系統為例，介紹如何在IIS6服務器中應用SSL安全加密機制功能。要想為某個IIS網站創建數字證書，首先必須使用“Web服務器證書向導”功能為該網站生成一個證書請求文件。進入“控制面板→管理工具→Internet 信息服務(IIS)管理器”，在IIS管理器窗口中展開“網站”目錄，右鍵點擊要使用SSL安全加密機制功能的網站，在彈出菜單中選擇“屬性”，然后切換到“目錄安全性”標簽頁，接著點擊“服務器證書”按鈕。在“IIS證書向導”窗口中選擇“新建證書”選項，點擊“下一步”，選中“現在準備證書請求，但稍后發送”，接著在“名稱”欄中為該證書起個名字，在“位長”下拉列表中選擇“密鑰的位長”，這里要注意，位長不能設置的過大，否則會影響通信質量；接著設置證書的單位、部門、和地理信息，在站點“公用名稱欄”中輸入該網站的域名，然后指定證書請求文件的保存位置，這里筆者將該證書請求文本文件保存在“d＼certreq.txt”。這樣就完成了證書請求文件的生成。

　　申請IIS網站證書

　　完成了證書請求文件的生成后，就可以開始申請IIS網站證書了。但這個過程需要證書服務(Certificate Services)的支持。Windows 2003系統默認狀態沒安裝此服務，需要手工添加。

　　● 安裝證書服務

　　在“控制面板”中運行“添加或刪除程序”，切換到“添加/刪除Windows組件”頁，在“Windows組件向導”對話框中，選中“證書服務”選項，接下來選擇CA類型，這里筆者選擇“獨立根CA”，然后為該CA服務器起個名字，設置證書的有效期限，建議使用默認值“5年”即可，最后指定證書數據庫和證書數據庫日志的位置后，就完成了證書服務的安裝。

　　完成了證書服務的安裝后，就能開始申請IIS網站證書了。運行Internet Explorer瀏覽器，在地址欄中輸入“localhost/CertSrv/default.asp”。接著在“Microsoft 證書服務”歡迎窗口中點擊“申請一個證書”鏈接，然后在證書申請類型中點擊“高級證書申請”鏈接，在高級證書申請窗口中點擊“使用BASE64編碼的CMC或PKCS＃10文件提交….”鏈接，接著將證書請求文件的內容復制到“保存的申請”輸入框中，這里筆者的證書請求文件內容保存在“d:\certreq.txt”，最后點擊“提交”按鈕。

　　頒發IIS網站證書

　　雖然完成了IIS網站證書的申請后，但這時它還處于掛起狀態，需要頒發后才能生效。在“控制面板→管理工具”中，運行“證書頒發機構”程序。在“證書頒發機構”左側窗口中展開目錄，選中“掛起的申請”目錄，在右側窗口找到剛才申請的證書，鼠標右鍵點擊該證書，選擇“所有任務→頒發”。

　　接著點擊 “頒發的證書”目錄，打開剛剛頒發成功的證書，在 “證書”對話框中切換到“詳細信息”標簽頁。點擊“復制到文件”按鈕，彈出證書導出對話框，一路下一步，在“要導出的文件”欄中指定文件名，這里筆者保存證書路徑為“d:\cce.cer”，最后點擊“完成”。

　　導入IIS網站證書

　　在IIS管理器的“目錄安全性”標簽頁中，點擊“服務器證書”按鈕，這時彈出“掛起的證書請求”對話框，選擇“處理掛起的請求并安裝證書”選項，點擊“下一步”后，指定好剛才導出的IIS網站證書文件的位置，接著指定SSL使用的端口，建議使用默認的“443”，最后點擊“完成”按鈕

　　配置IIS服務器

　　完成了證書的導入后，IIS網站這時還沒有啟用SSL安全加密功能，需要對IIS服務器進行配置。

　　在“目錄安全性”標簽頁，點擊安全通信欄的“編輯”按鈕，選中“要求安全通道(SSL)”和“要求128位加密”選項，最后點擊“確定”按鈕即可。

　　接著點擊“身份驗證和訪問控制”欄的“編輯”按鈕，在對話框中取消“啟用匿名訪問”和“集成Windows身份驗證”選項，這里要選中“基本身份驗證”選項，最后點擊“確定”按鈕。

圖1

　　Windows網絡操作系統內置的IIS是大家最常用的Web服務器。但在系統默認配置下，IIS使用的是“HTTP協議”以明文形式傳輸數據，沒有采用任何加密手段，傳輸的重要數據很容易被竊取。這對于一些安全性要求高的網站來說，是遠遠不夠的。為了保證重要數據的萬無一失，IIS也提供了SSL安全加密機制，下面就向大家介紹如何在IIS服務器中使用SSL安全加密機制。

　　筆者以Windows Server 2003(簡稱Windows 2003)系統為例，介紹如何在IIS6服務器中應用SSL安全加密機制功能。要想為某個IIS網站創建數字證書，首先必須使用“Web服務器證書向導”功能為該網站生成一個證書請求文件。進入“控制面板→管理工具→Internet 信息服務(IIS)管理器”，在IIS管理器窗口中展開“網站”目錄，右鍵點擊要使用SSL安全加密機制功能的網站，在彈出菜單中選擇“屬性”，然后切換到“目錄安全性”標簽頁，接著點擊“服務器證書”按鈕。在“IIS證書向導”窗口中選擇“新建證書”選項，點擊“下一步”，選中“現在準備證書請求，但稍后發送”，接著在“名稱”欄中為該證書起個名字，在“位長”下拉列表中選擇“密鑰的位長”，這里要注意，位長不能設置的過大，否則會影響通信質量；接著設置證書的單位、部門、和地理信息，在站點“公用名稱欄”中輸入該網站的域名，然后指定證書請求文件的保存位置，這里筆者將該證書請求文本文件保存在“d＼certreq.txt”。這樣就完成了證書請求文件的生成。

　　申請IIS網站證書

　　完成了證書請求文件的生成后，就可以開始申請IIS網站證書了。但這個過程需要證書服務(Certificate Services)的支持。Windows 2003系統默認狀態沒安裝此服務，需要手工添加。

　　● 安裝證書服務

　　在“控制面板”中運行“添加或刪除程序”，切換到“添加/刪除Windows組件”頁，在“Windows組件向導”對話框中，選中“證書服務”選項，接下來選擇CA類型，這里筆者選擇“獨立根CA”，然后為該CA服務器起個名字，設置證書的有效期限，建議使用默認值“5年”即可，最后指定證書數據庫和證書數據庫日志的位置后，就完成了證書服務的安裝。

　　完成了證書服務的安裝后，就能開始申請IIS網站證書了。運行Internet Explorer瀏覽器，在地址欄中輸入“localhost/CertSrv/default.asp”。接著在“Microsoft 證書服務”歡迎窗口中點擊“申請一個證書”鏈接，然后在證書申請類型中點擊“高級證書申請”鏈接，在高級證書申請窗口中點擊“使用BASE64編碼的CMC或PKCS＃10文件提交….”鏈接，接著將證書請求文件的內容復制到“保存的申請”輸入框中，這里筆者的證書請求文件內容保存在“d:\certreq.txt”，最后點擊“提交”按鈕。

　　頒發IIS網站證書

　　雖然完成了IIS網站證書的申請后，但這時它還處于掛起狀態，需要頒發后才能生效。在“控制面板→管理工具”中，運行“證書頒發機構”程序。在“證書頒發機構”左側窗口中展開目錄，選中“掛起的申請”目錄，在右側窗口找到剛才申請的證書，鼠標右鍵點擊該證書，選擇“所有任務→頒發”。

　　接著點擊 “頒發的證書”目錄，打開剛剛頒發成功的證書，在 “證書”對話框中切換到“詳細信息”標簽頁。點擊“復制到文件”按鈕，彈出證書導出對話框，一路下一步，在“要導出的文件”欄中指定文件名，這里筆者保存證書路徑為“d:\cce.cer”，最后點擊“完成”。

　　導入IIS網站證書

　　在IIS管理器的“目錄安全性”標簽頁中，點擊“服務器證書”按鈕，這時彈出“掛起的證書請求”對話框，選擇“處理掛起的請求并安裝證書”選項，點擊“下一步”后，指定好剛才導出的IIS網站證書文件的位置，接著指定SSL使用的端口，建議使用默認的“443”，最后點擊“完成”按鈕

　　配置IIS服務器

　　完成了證書的導入后，IIS網站這時還沒有啟用SSL安全加密功能，需要對IIS服務器進行配置。

　　在“目錄安全性”標簽頁，點擊安全通信欄的“編輯”按鈕，選中“要求安全通道(SSL)”和“要求128位加密”選項，最后點擊“確定”按鈕即可。

　　接著點擊“身份驗證和訪問控制”欄的“編輯”按鈕，在對話框中取消“啟用匿名訪問”和“集成Windows身份驗證”選項，這里要選中“基本身份驗證”選項，最后點擊“確定”按鈕。

圖1

　　SSL安全加密機制

　　SSL(Security Socket Layer)的中文全稱是“加密套接字協議層”，是由Netscape公司推出的一種安全通信協議，它位于HTTP協議層和TCP協議層之間，能夠對信用卡和個人信息提供較強的保護。SSL在客戶和服務器之間建立一條加密通道，確保所傳輸的數據不被非法竊取，SSL安全加密機制功能是依靠使用數字證書來實現的。

　　應用了SSL加密機制后，IIS服務器的數據通信過程如下：首先客戶端與IIS服務器建立通信連接，接著IIS把數字證書與公用密鑰發給客戶端。然后使用這個公共密鑰對客戶端的會話密鑰進行加密后，傳遞給IIS服務器，服務器端接收后用私人密鑰進行解密，這時就在客戶端和IIS服務器間創建了一條安全數據通道，只有被IIS服務器允許的客戶才能與它進行通信。機制

　　SSL(Security Socket Layer)的中文全稱是“加密套接字協議層”，是由Netscape公司推出的一種安全通信協議，它位于HTTP協議層和TCP協議層之間，能夠對信用卡和個人信息提供較強的保護。SSL在客戶和服務器之間建立一條加密通道，確保所傳輸的數據不被非法竊取，SSL安全加密機制功能是依靠使用數字證書來實現的。

　　應用了SSL加密機制后，IIS服務器的數據通信過程如下：首先客戶端與IIS服務器建立通信連接，接著IIS把數字證書與公用密鑰發給客戶端。然后使用這個公共密鑰對客戶端的會話密鑰進行加密后，傳遞給IIS服務器，服務器端接收后用私人密鑰進行解密，這時就在客戶端和IIS服務器間創建了一條安全數據通道，只有被IIS服務器允許的客戶才能與它進行通信。

Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=39513