在IIS中使用SSL配置HTTPS網(wǎng)站

   由于Windows系統(tǒng)的普及，很多中小企業(yè)在自己的網(wǎng)站和內(nèi)部辦公管理系統(tǒng)都是用默認(rèn)的IIS來(lái)做WEB服務(wù)器使用。
    默認(rèn)情況下我們所使用的HTTP協(xié)議是沒(méi)有任何加密措施的，所有的消息全部都是以明文形式在網(wǎng)絡(luò)上傳送的，惡意的攻擊者可以通過(guò)安裝監(jiān)聽(tīng)程序來(lái)獲得我們和服務(wù)器之間的通訊內(nèi)容。這點(diǎn)危害在一些企業(yè)內(nèi)部網(wǎng)絡(luò)中尤其比較大，對(duì)于使用HUB的企業(yè)內(nèi)網(wǎng)來(lái)說(shuō)簡(jiǎn)直就是沒(méi)有任何安全可講因?yàn)槿魏稳硕伎梢栽谝慌_(tái)電腦上看到其他人在網(wǎng)絡(luò)中的活動(dòng)，對(duì)于使用交換機(jī)來(lái)組網(wǎng)的網(wǎng)絡(luò)來(lái)說(shuō)雖然安全威脅性要小很多，但很多時(shí)候還是會(huì)有安全突破口，比如沒(méi)有更改交換機(jī)的默認(rèn)用戶和口令，被人上去把自己的網(wǎng)絡(luò)接口設(shè)置為偵聽(tīng)口，依然可以監(jiān)視整個(gè)網(wǎng)絡(luò)的所有活動(dòng)。
    IIS的身份認(rèn)證除了匿名訪問(wèn)、基本驗(yàn)證和Windows NT請(qǐng)求/響應(yīng)方式外，還有一種安全性更高的認(rèn)證，就是通過(guò)SSL(Security Socket Layer)安全機(jī)制使用數(shù)字證書(shū)。
    因此，為了網(wǎng)絡(luò)的安全越來(lái)越多的企業(yè)采用SSL來(lái)避免或減少這方面帶來(lái)的損失。
    SSL(加密套接字協(xié)議層)位于HTTP層和TCP層之間，建立用戶與服務(wù)器之間的加密通信，確保所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰基礎(chǔ)上的，任何用戶都可以獲得公共密鑰來(lái)加密數(shù)據(jù)，但解密數(shù)據(jù)必須要通過(guò)相應(yīng)的私人密鑰。使用SSL安全機(jī)制時(shí)，首先客戶端與服務(wù)器建立連接，服務(wù)器把它的數(shù)字證書(shū)與公共密鑰一并發(fā)送給客戶端，客戶端隨機(jī)生成會(huì)話密鑰，用從服務(wù)器得到的公共密鑰對(duì)會(huì)話密鑰進(jìn)行加密，并把會(huì)話密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器，而會(huì)話密鑰只有在服務(wù)器端用私人密鑰才能解密，這樣，客戶端和服務(wù)器端就建立了一個(gè)惟一的安全通道。
    建立了SSL安全機(jī)制后，只有SSL允許的客戶才能與SSL允許的Web站點(diǎn)進(jìn)行通信，并且在使用URL資源定位器時(shí)，輸入https:// ，而不是http://。
    下面我們以WIN2000服務(wù)器版本的來(lái)做例子，介紹一下怎樣利用SSL加密HTTP通道來(lái)加強(qiáng)IIS安全的。    操作辦法
    我們首先需要在控制面板里的填加刪除WINDOWS組件中去安裝證書(shū)服務(wù)，這個(gè)服務(wù)在默認(rèn)安裝中是沒(méi)有安裝在系統(tǒng)里的，需要安裝光盤(pán)來(lái)安裝。

   
    然后選擇獨(dú)立根CA的安裝類(lèi)型。然后在下一步中給自己的CA起一個(gè)名字來(lái)完成安裝就可以了。
     安裝完成后，我們就可以啟動(dòng)我們的IIS管理器來(lái)申請(qǐng)一個(gè)數(shù)字證書(shū)了，啟動(dòng)INTERNET管理器選擇我們需要配置的WEB站點(diǎn)

   
    選擇站點(diǎn)屬性里的，目錄安全性-安全通信-服務(wù)器證書(shū)

   
    由于我們是第一次配置，所以選擇創(chuàng)建一個(gè)新的證書(shū)。

   
    用默認(rèn)的站點(diǎn)名稱(chēng)和加密位長(zhǎng)設(shè)置就可以了。

   
    選擇一個(gè)地方把我們剛才生成的一個(gè)請(qǐng)求證書(shū)保存起來(lái)。

   
    完成上面的設(shè)置后，我們就要把我們剛剛生成的服務(wù)器證書(shū)提交給我們剛剛在本地安裝的證書(shū)服務(wù)器。在默認(rèn)情況下證書(shū)服務(wù)器完成安裝后會(huì)在本地的IIS里的WEB服務(wù)器里面生成幾個(gè)虛擬的目錄。
    我們打開(kāi)http://localhost/CertSrv/default.asp

   
    選擇申請(qǐng)證書(shū)

   
    在選擇申請(qǐng)類(lèi)型的時(shí)候，選擇高級(jí)申請(qǐng)。

   
    選擇使用base64的編碼方式來(lái)提交我們的證書(shū)申請(qǐng)。

   
    在證書(shū)申請(qǐng)的地方把我們剛剛生成的certreq.txt的內(nèi)容拷備進(jìn)去，然后選擇提交。

   
    提交成功以后，會(huì)返回一個(gè)頁(yè)面給我們告訴我們證書(shū)已經(jīng)成功提交了，現(xiàn)在是掛起狀態(tài)就是等待CA中心來(lái)頒發(fā)這個(gè)證書(shū)了。
    好接下來(lái)啟動(dòng)管理工具里的證書(shū)頒發(fā)機(jī)構(gòu)，在待定申請(qǐng)中找到我們剛剛的申請(qǐng)條目然后點(diǎn)擊鼠標(biāo)右鍵選擇頒發(fā)就好了。

   
    頒發(fā)成功以后我們?cè)陬C發(fā)的證書(shū)里找到剛才頒發(fā)的證書(shū)，雙擊其屬性欄目然后在詳細(xì)信息里選擇將證書(shū)復(fù)制到文件。

   
    我們需要把證書(shū)導(dǎo)出到一個(gè)文件，這里我們把證書(shū)導(dǎo)出到c: \sql.cer這個(gè)文件里。
    重新回到IIS的WEB管理界面里重新選擇證書(shū)申請(qǐng)，這個(gè)時(shí)候出來(lái)的界面就是掛起的證書(shū)請(qǐng)求了。

   
    選擇我們導(dǎo)處的sql.cer這個(gè)文件。

   
    確定一切信息正確以后，就可以點(diǎn)擊下一步確定來(lái)完成SSL的安裝了。

   
    默認(rèn)安裝結(jié)束后，SSL并沒(méi)有啟動(dòng)我們需要自己給我們的站點(diǎn)SSL的加密通道，并且確定HTTPS使用的端口是443 。

   
    第一次通過(guò)HTTPS進(jìn)入站點(diǎn)的時(shí)候，會(huì)有一個(gè)對(duì)話框讓我們確認(rèn)是否同意當(dāng)前證書(shū)，當(dāng)然是同意啦~

   
    好了，這個(gè)時(shí)候我們看這個(gè)網(wǎng)站的時(shí)候所有信息在網(wǎng)上就是以加密的方式來(lái)傳送的了，任何人都無(wú)法再輕易了解其中的內(nèi)容了。
    加密過(guò)的SSL會(huì)比普通的沒(méi)有加密的WEB瀏覽的時(shí)候慢一點(diǎn)，主要是因?yàn)榧用艿乃淼李~外還要占用一點(diǎn)CPU的資源，對(duì)于那些沒(méi)有任何秘密可言的WEB站點(diǎn)沒(méi)有需要用加密的SSL通道。只要對(duì)于那些重要的目錄和站點(diǎn)才有這個(gè)必要性。
 - 本文出自零點(diǎn)IDC論壇http://bbs.0dianidc.com，原文地址：http://bbs.0dianidc.com/thread-407-1-1.html

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]