配置IIS服务器，支持HTTPS SSL协议实现安全数据交换_W```J```+``勋勋``の``현 빈``の网王小窝^^^^

百度空间 | 百度首页

查看文章

配置IIS服务器，支持HTTPS SSL协议实现安全数据交换

2007-03-29 20:28

前言　　互联网是一个完全开放的网络，使得在其上传输的各种数据面临种种被窃听和丢失的危险。目前在互联网上很多Web应用，尤其是那些电子商务应用，如网上银行、网上超市、股票和债券的在线交易以及软件的付费下载等，都需要在Web服务器和客户端浏览器之间传输机密数据，这些数据包括信用卡号、密码、银行账号等高度机密数据，如果这些数据被别人截获或篡改就会对客户和网站造成不可估量的损失。　　为了保护敏感数据在传送过程中的安全，全球许多知名企业采用SSL（Security Socket Layer）加密机制，在浏览器（如Internet Explorer、Netscape Navigator）和Web服务器（如Netscape的Netscape Enterprise Server、ColdFusion Server等等）之间构造安全通道来进行数据传输。HTTPS协议内置于其浏览器中，HTTPS协议使用SSL在发送方把原始数据进行加密，然后在接受方进行解密，加密和解密需要发送方和接受方通过交换共知的密钥来实现，而交换密钥之前双方身份的认证成为安全的焦点。数字证书的使用允许SSL提供身份认证功能－－用户认证其所请求连接的服务器身份、服务器认证请求连接的用户身份。　　安全平台TongSEC是以公钥基础设施（PKI）为核心的、建立在一系列相关国际安全标准之上的一个开放式应用开发平台。TongSEC为电子商务、电子政务、金融加密等基于PKI的应用提供完全符合X.509v3标准的证书，包括：　　服务器证书：支持Microsoft公司的Internet Information Server，Apache组织的Aapache HTTP Server，BEA公司的Web Logic Server等。　　浏览器证书：支持Microsoft公司的Internet Explorer浏览器，Netscape公司的Netscape Navigate浏览器。　　个人证书：符合X.509v3标准。　　由于各种Web服务器设置SSL的过程各不相同，因此我们将针对常用的几种Web服务器进行SSL配置的说明。（一） IIS服务器 Internet 信息服务 (IIS) 是Windows的组件，此组件可以很容易将信息和业务应用程序发布到 Web。IIS是流行的Web服务器之一。Microsoft Windows 2000 Server 中包括了 Internet Information Services (IIS) 的更新版，称为 IIS 5.0。 1.1准备使用TongSEC申请IIS服务器证书成功后，IIS管理员会得到一个PKCS#12文件（命名方式：〔CN名〕.p12），它由服务器证书、服务器私钥、根CA证书三部分组成，私钥有口令保护。 1.2添加管理单元 1.点击“开始”－>“运行”，在对话框中输入“mmc”，启动控制台。 2.选择菜单“控制台” －>“添加/删除管理单元”，打开“添加/删除管理单元”对话框 3.选择“独立”页，点击“添加”按钮，打开“添加独立管理单元”窗口 4.选择“Internet信息服务”，点击“添加”按钮 5.选择“证书”，点击“添加”按钮，在“证书管理单元”中选择“计算机帐户”，点击“完成”按钮 6.点击“关闭”按钮，关闭“添加独立管理单元”窗口 7.点击“确定”按钮，关闭“添加/删除管理单元”窗口此时，控制台的界面如图1 图 1 添加控制台管理单元 1.3安装服务器证书在“控制台”窗口中选择“证书”，在“个人”项目上单击鼠标右键，选择“所有任务”－>“导入…”，打开“证书导入向导” 对话框，根据对话框提示输入PKCS12文件的路径（本例中是C:\cert\IIS\IISS.p12）以及私钥保护密码，完成证书导入。 1.4安装根CA证书在“控制台”窗口中选择“证书”，在“受信任的根证书颁发机构”项目上单击鼠标右键，选择“所有任务”－>“导入…”，打开“证书导入向导” 对话框，根据对话框提示输入PKCS12文件路径（PKCS12文件中包含有根CA证书，本例中是C:\cert\IIS\IISS.p12）和私钥保护密码。当弹出“根证书存储”对话框，询问管理员是否将根CA证书加入到根存储区中，单击“是”按钮；在接着弹出的“根证书存储”对话框中，询问管理员是否将IIS服务器证书加入到根存储区中，单击“是”按钮。弹出“导入成功”提示框，单击“确定”按钮，完成根CA证书的导入。 1.5检查导入结果选择控制台窗口左栏的“证书”－>“个人”－>“证书”，可以看到控制台窗口的右栏显示出导入的服务器证书，其中包括刚才导入的服务器证书。选择控制台窗口左栏的“证书”－>“受信任的根证书颁发机构”－>“证书”，可以看到控制台窗口的右栏显示出导入的根CA证书，其中包括刚才导入的根CA证书。 1.6配置IIS 选择控制台窗口左栏的“Internet信息服务”－>（机器名）－>默认Web站点，单击鼠标右键，选择菜单项“属性”。打开“默认Web站点属性”对话框，选择“目录安全性”页，单击“服务器证书(S)…”按钮（见图2）。图 2 默认Web站点属性进入“Web服务器证书向导”，在“服务器证书”对话框中选择“分配一个已存在的证书”（见图3），单击“下一步”按钮；图 3 “服务器证书”对话框在“可用的证书”对话框（见图4）中选择要安装的服务器证书（本例中是IISS），完成Web服务器证书的安装，回到“默认Web站点属性”对话框（见图5）。图 4 “可用的证书”对话框图 5 “默认Web服务器属性”对话框在“默认Web服务器属性”对话框的“目录安全性”页上单击“编辑”按钮，进入“安全通信”对话框（见图6）；图 6 安全通信选择“申请安全通道（SSL）”、“申请客户证书”，单击“确定”按钮，返回“默认的Web服务器属性”对话框，单击“确定”按钮，完成IIS的配置。 1.7安装浏览器证书用户双击自己的PKCS#12文件（本例中是BROWSER.p12），显示“欢迎使用证书导入向导”对话框，根据对话框提示输入PKCS#12文件的路径和私钥保护密码，将私钥和证书导入到浏览器中。打开一个IE浏览器，选择“工具”－>“Internet选项” －>“内容”－>“证书”，可以在个人证书列表中查看到刚才安装的浏览器证书（本例中是BROWSER）。图 7 个人证书列表 1.8建立SSL连接启动IIS服务器，打开IE浏览器，在地址栏输入https://xxx.xxx.xxx.xxx（IIS服务器所在机器的IP地址或机器名）。首先会弹出“安全警报”窗口（见图8）。该窗口对服务器方的证书进行验证，并将验证结果通知用户，由用户确定是否要继续。安全警报有三个项目：服务器证书是否可信，服务器证书是否有效，服务器证书的名称是否有效。标记了绿色钩的项目说明该项目验证通过，标记了黄色惊叹号的项目说明该项目验证没有通过。本例中，安全警报的第三个项目“安全证书上的名称无效，或者与站点名称不匹配”说明服务器证书的CN名与IIS的站点配置名不一致（实际应用中，发行证书时应该按照IIS的站点配置名产生证书CN名），可以通过修改IIS配置解决这一问题。当然，用户也可以忽略警告，点击“确定”按钮，继续进入站点。图 8 安全警报接下来，“客户身份验证”窗口（见图9）要求用户选择浏览器证书（本例中是BROWSER），单击“确定”按钮。图 9 客户身份验证进入站点页面后，可以看到页面下端的状态栏有一个闭合锁的图案（见图10），该图案说明浏览器与服务器之间已经建立了SSL连接。图 10 建立SSL连接

类别：学习 | 添加到搜藏 | 浏览() | 评论 (0)

最近读者：

网友评论：

©2009 Baidu