打造IIS网站的专用“护心甲”—实战SSL加密 - 网页设计及多媒体设计专区

	开课时间		优惠政策
	付款方式		乘车方式
	招生简章		关于就业
	师资介绍		学生作品
	关于食宿		常见问题

您在这里首页 > 交流社区


	社区首页	游客: 注册 \| 登录 \| 统计 \| 帮助

水晶石数字论坛 » 网页设计及多媒体设计专区 » 打造IIS网站的专用“护心甲”—实战SSL加密

‹‹ 上一主题 | 下一主题 ››

店小一

UID 10001
精华 0
积分 0
帖子 2233
积分 11165 分
水晶石 0 颗
学徒 0 级
阅读权限 10
注册 2008-7-15

使用道具

发表于 2008-8-13 16:06 资料个人空间短消息加为好友

打造IIS网站的专用“护心甲”—实战SSL加密

　　Windows网络操作系统内置的IIS是大家最常用的Web服务器。但在系统默认配置下，IIS使用的是“HTTP协议”以明文形式传输数据，没有采用任何加密手段，传输的重要数据很容易被窃取。这对于一些安全性要求高的网站来说，是远远不够的。为了保证重要数据的万无一失，IIS也提供了SSL安全加密机制，下面就向大家介绍如何在IIS服务器中使用SSL安全加密机制。

　　笔者以 Windows Server 2003(简称 Windows 2003)系统为例，介绍如何在IIS6服务器中应用SSL安全加密机制功能。要想为某个IIS网站创建数字证书，首先必须使用“Web服务器证书向导”功能为该网站生成一个证书请求文件。进入“控制面板→管理工具→Internet 信息服务(IIS)管理器”，在IIS管理器窗口中展开“网站”目录，右键点击要使用SSL安全加密机制功能的网站，在弹出菜单中选择“属性”，然后切换到“目录安全性”标签页，接着点击“服务器证书”按钮。在“IIS证书向导”窗口中选择“新建证书”选项，点击“下一步”，选中“现在准备证书请求，但稍后发送”，接着在“名称”栏中为该证书起个名字，在“位长”下拉列表中选择“密钥的位长”，这里要注意，位长不能设置的过大，否则会影响通信质量；接着设置证书的单位、部门、和地理信息，在站点“公用名称栏”中输入该网站的域名，然后指定证书请求文件的保存位置，这里笔者将该证书请求文本文件保存在“d＼certreq.txt”。这样就完成了证书请求文件的生成。

　　申请IIS网站证书

　　完成了证书请求文件的生成后，就可以开始申请IIS网站证书了。但这个过程需要证书服务(Certificate Services)的支持。Windows 2003系统默认状态没安装此服务，需要手工添加。

　　● 安装证书服务

　　在“控制面板”中运行“添加或删除程序”，切换到“添加/删除 Windows组件”页，在“Windows组件向导”对话框中，选中“证书服务”选项，接下来选择CA类型，这里笔者选择“独立根CA”，然后为该CA服务器起个名字，设置证书的有效期限，建议使用默认值“5年”即可，最后指定证书数据库和证书数据库日志的位置后，就完成了证书服务的安装。

　　完成了证书服务的安装后，就能开始申请IIS网站证书了。运行Internet Explorer浏览器，在地址栏中输入“localhost/CertSrv/default.asp”。接着在“Microsoft 证书服务”欢迎窗口中点击“申请一个证书”链接，然后在证书申请类型中点击“高级证书申请”链接，在高级证书申请窗口中点击“使用BASE64编码的CMC或PKCS＃10文件提交….”链接，接着将证书请求文件的内容复制到“保存的申请”输入框中，这里笔者的证书请求文件内容保存在“d:certreq.txt”，最后点击“提交”按钮。

　　颁发IIS网站证书

　　虽然完成了IIS网站证书的申请后，但这时它还处于挂起状态，需要颁发后才能生效。在“控制面板→管理工具”中，运行“证书颁发机构”程序。在“证书颁发机构”左侧窗口中展开目录，选中“挂起的申请”目录，在右侧窗口找到刚才申请的证书，鼠标右键点击该证书，选择“所有任务→颁发”。

　　接着点击 “颁发的证书”目录，打开刚刚颁发成功的证书，在 “证书”对话框中切换到“详细信息”标签页。点击“复制到文件”按钮，弹出证书导出对话框，一路下一步，在“要导出的文件”栏中指定文件名，这里笔者保存证书路径为“d:cce.cer”，最后点击“完成”。

　　导入IIS网站证书

　　在IIS管理器的“目录安全性”标签页中，点击“服务器证书”按钮，这时弹出“挂起的证书请求”对话框，选择“处理挂起的请求并安装证书”选项，点击“下一步”后，指定好刚才导出的IIS网站证书文件的位置，接着指定SSL使用的端口，建议使用默认的“443”，最后点击“完成”按钮

　　配置IIS服务器

　　完成了证书的导入后，IIS网站这时还没有启用SSL安全加密功能，需要对IIS服务器进行配置。

　　在“目录安全性”标签页，点击安全通信栏的“编辑”按钮，选中“要求安全通道(SSL)”和“要求128位加密”选项，最后点击“确定”按钮即可。

　　接着点击“身份验证和访问控制”栏的“编辑”按钮，在对话框中取消“启用匿名访问”和“集成 Windows身份验证”选项，这里要选中“基本身份验证”选项，最后点击“确定”按钮。　

　　SSL安全加密机制

　　SSL(Security Socket Layer)的中文全称是“加密套接字协议层”，是由Netscape公司推出的一种安全通信协议，它位于HTTP协议层和TCP协议层之间，能够对信用卡和个人信息提供较强的保护。SSL在客户和服务器之间建立一条加密通道，确保所传输的数据不被非法窃取，SSL安全加密机制功能是依靠使用数字证书来实现的。

　　应用了SSL加密机制后，IIS服务器的数据通信过程如下：首先客户端与IIS服务器建立通信连接，接着IIS把数字证书与公用密钥发给客户端。然后使用这个公共密钥对客户端的会话密钥进行加密后，传递给IIS服务器，服务器端接收后用私人密钥进行解密，这时就在客户端和IIS服务器间创建了一条安全数据通道，只有被IIS服务器允许的客户才能与它进行通信。

清除 Cookies - 联系我们 - 水晶石数字论坛 - Archiver - WAP

北京培训中心地址: 北京市海淀区西三环北路89号中国外文大厦A座5层	联系电话：400-810-3112 传真：010-88823311 邮编：100089
上海培训中心地址: 上海市上大路668号动漫产业园（海纳科技大厦）3层	联系电话：400-820-6192 传真：021-61677207 邮编：200444
青岛培训中心地址: 青岛市宁夏路288号青岛市南软件产业基地5号楼1层	联系电话：400-618-0966 传真：0532-88727205 邮编：266071