使用SSL協(xié)議有什么好處呢?SSL安全協(xié)議工作在網(wǎng)絡(luò)傳輸層����,適用于HTTP����,telnet,FTP和NNTP等服務(wù)�,不過SSL最廣泛的應(yīng)用還是WEB安全訪問,如網(wǎng)上交易��,政府辦公等���。
本文將由筆者為各位讀者介紹使用SSL加密協(xié)議建立WWW站點的全過程���,為了保證技術(shù)的先進(jìn)性我們介紹在windows2003的IIS6上建立SSL加密的方法,當(dāng)然在windows2000的IIS5上建立SSL加密步驟基本相同�。
一、先決條件:
要想成功架設(shè)SSL安全站點關(guān)鍵要具備以下幾個條件���。
1�����、需要從可信的證書辦法機(jī)構(gòu)CA獲取服務(wù)器證書��。
2��、必須在WEB服務(wù)器上安裝服務(wù)器證書����。
3、必須在WEB服務(wù)器上啟用SSL功能�����。
4����、客戶端(瀏覽器端)必須同WEB服務(wù)器信任同一個證書認(rèn)證機(jī)構(gòu),即需要安裝CA證書�。
二�、準(zhǔn)備工作:
在實施SSL安全站點之前需要我們做一些準(zhǔn)備工作。
第一步:默認(rèn)情況下IIS6組件是安裝在windows2003中的�,如果沒有該組件請自行安裝。
第二步:我們建立的IIS站點默認(rèn)是使用HTTP協(xié)議的���,打開瀏覽器在地址處輸入“http://本機(jī)IP”(不含引號)就可以訪問��。(如圖1)
圖1
第三步:安裝證書服務(wù)��,通過控制面板中的添加/刪除程序��,選擇添加/刪除windows組件��。在windows組件向?qū)е姓业?ldquo;證書服務(wù)”��,前面打勾后點“下一步”��。(如圖2)
圖2
小提示:證書服務(wù)有兩個子選項“證書服務(wù)Web注冊支持”和“證書服務(wù)頒發(fā)機(jī)構(gòu)(CA)”�。為了方便這兩個功能都需要安裝。
第四步:系統(tǒng)會彈出“安裝證書服務(wù)后計算機(jī)名和區(qū)域成員身份會出現(xiàn)改變��,是否繼續(xù)”的提示����,我們選“是”即可。(如圖3)
圖3
第五步:在windows組件向?qū)A類型設(shè)置窗口中選擇獨立根CA�����。(如圖4)
圖4
第六步:CA識別信息處的CA公用名稱輸入本地計算機(jī)的IP地址��,如10.91.30.45����,其他設(shè)置保留默認(rèn)信息即可。(如圖5)
圖5
第七步:輸入證書數(shù)據(jù)庫等信息的保存路徑,仍然選擇默認(rèn)位置系統(tǒng)目錄的system32下的certlog即可���。(如圖6)
圖6
第八步:下一步后出現(xiàn)“要完成安裝���,證書服務(wù)必須暫時停止IIS服務(wù)”的提示。選擇“是”后繼續(xù)���。(如圖7)
圖7
第九步:開始復(fù)制組件文件到本地硬盤���。(如圖8)
圖8
第十步:安裝過程中會出現(xiàn)缺少文件的提示,我們需要將windows2003系統(tǒng)光盤插入光驅(qū)中才能繼續(xù)���。(如圖9)
圖9
第十一步:繼續(xù)復(fù)制文件完成windows組件的安裝工作���。(如圖10)
圖10
三、配置證書:
下面就要為各位讀者介紹如何通過IIS證書向?qū)渲梦覀冃枰淖C書文件�����。
第一步:通過“管理工具”中的IIS管理器啟動IIS編輯器�。
第二步:在默認(rèn)網(wǎng)站上點鼠標(biāo)右鍵選擇“屬性”��。(如圖11)
圖11
第三步:在默認(rèn)網(wǎng)站屬性窗口中點“目錄安全性”標(biāo)簽,然后在安全通信處點“服務(wù)器證書”按鈕�。(如圖12)
圖12
第四步:系統(tǒng)將自動打開WEB服務(wù)器證書向?qū)А#ㄈ鐖D13)
圖13
第五步:服務(wù)器證書處選擇“新建證書”����,然后下一步繼續(xù)。(如圖14)
圖14
第六步:延遲或立即請求處選擇“現(xiàn)在準(zhǔn)備證書請求���,但稍后發(fā)送”���。(如圖15)
圖15
第七步:設(shè)置證書的名稱和特定位長,名稱保持默認(rèn)網(wǎng)站即可��,在位長處我們通過下拉菜單選擇512��。(如圖16)
圖16
小提示:位長主要用于安全加密�,位長越來則越安全,不過傳輸效率會受到一定的影響�,網(wǎng)站性能也受影響。一般來說選擇512已經(jīng)足夠了��。
第八步:輸入單位信息�,包括單位和部門。(如圖17)
圖17
第九步:在站點公用名稱窗口輸入localhost��。(如圖18)
圖18
第十步:地理信息隨便填寫即可。(如圖19)
圖19
第十一步:設(shè)置證書請求的文件名�,我們可以將其保存到桌面以便下面步驟調(diào)用方便,保存的文件名為certreq.txt����。(如圖20)
圖20
第十二步:完成了IIS證書向?qū)渲霉ぷ鳎凑找髮⑾鄳?yīng)的證書文件保存到桌面��。(如圖21)
圖21
四���、申請證書:
配置好IIS所需的證書文件后就要根據(jù)該證書內(nèi)容進(jìn)行申請了�。
第一步:打開IE瀏覽器在地址欄中輸入http://10.91.30.45/certsrv/打開證書服務(wù)界面�。(服務(wù)器IP地址為10.91.30.45)(如圖22)
圖22
第二步:點“申請一個證書”后繼續(xù)。
第三步:在申請證書界面選擇“高級證書申請”��。(如圖23)
圖23
第四步:在高級證書申請界面選擇“使用base64編碼的CMC或PKCS #10文件提交一個證書申請����,或繼訂證書申請”。(如圖24)
圖24
第五步:用記事本打開上面保存在桌面上的那個certreq.txt文件�����,將里面的內(nèi)容全部復(fù)制��。(如圖25)
圖25
第六步:將復(fù)制的全部內(nèi)容粘貼到“提交一個證書申請或續(xù)訂申請”界面��,然后點“提交”按鈕����。(如圖26)
圖26
第七步:成功申請后出現(xiàn)證書掛起提示,說明證書申請已經(jīng)收到����,等待管理員通過申請認(rèn)證。(如圖27)
圖27
至此我們就完成了證書的申請工作����,下面要通過剛剛申請的證書認(rèn)證。
五�����、驗證證書:
證書申請后還需要服務(wù)器的管理員手動頒發(fā)該證書才能使之生效��。
第一步:我們選擇任務(wù)欄的“開始->程序->管理工具->證書頒發(fā)機(jī)構(gòu)”����。(如圖28)
圖28
第二步:在左邊選項中找到“掛起的申請”。(如圖29)
圖29
第三步:查看右邊的列表�����,剛才提交的證書申請赫然在目,在待申請的證書上單擊鼠標(biāo)右鍵�����,彈出菜單中有“所有任務(wù)”一項�,接著選擇子項“頒發(fā)”。這時這個“待定申請”就會轉(zhuǎn)移到“頒發(fā)的證書”下面����。
第四步:在“頒發(fā)的證書”下找到剛才那個證書,雙擊打開�。并在“證書屬性窗口”的詳細(xì)信息標(biāo)簽中選擇“復(fù)制到文件”。(如圖30)
圖30
第五步:在“證書導(dǎo)出向?qū)?rdquo;中�����,任意選擇一種CER格式導(dǎo)出�����,比如“DER 編碼二進(jìn)制”并保存成文件���。
通過以上五步操作我們的IIS證書就通過了系統(tǒng)管理員的審核�����,下面就可以通過審核過的證書建立SSL加密站點了��。
六�����、配置IIS的SSL安全加密功能
我們再次來到IIS設(shè)置窗口中啟用SSL安全加密功能�����。
第一步:在默認(rèn)網(wǎng)站屬性窗口中點“目錄安全性”標(biāo)簽���,然后在安全通信處點“服務(wù)器證書”按鈕。
第二步:掛起的證書請求窗口中選擇“處理掛起的請求并安裝證書”選項�。(如圖31)
圖31
第三步:通過瀏覽按鈕找到在驗證證書第五步中通過證書導(dǎo)出向?qū)倓偙4娴腄ER編碼格式的文件。(如圖32)
圖32
第四步:這時我們就可以設(shè)置SSL參數(shù)了���,在安全通信屬性中將”要求安全通道SSL”前打上對勾��,從而啟用了IIS站點的SSL加密功能����。(如圖33)
圖33
第五步:再次來到默認(rèn)網(wǎng)站屬性中的網(wǎng)站標(biāo)簽,可以看到SSL端口已經(jīng)配置了端口信息——443���。(如圖34)
圖34
至此我們就完成了SSL加密站點的配置工作��,客戶端訪問服務(wù)器的IIS網(wǎng)站時所瀏覽的信息是通過加密的����,是非常安全的�。
七、瀏覽SSL加密站點:
服務(wù)器上設(shè)置完SSL加密站點功能后我們在客戶機(jī)上通過瀏覽器訪問該站點時就會彈出一個“安全警報”窗口����。(如圖35)只有信任該證書后才能夠正常瀏覽網(wǎng)站信息。(如圖36)
圖36
小提示:在訪問通過SSL加密的站點時所輸入的地址應(yīng)該以https://開頭���,例如本文中應(yīng)該使用https://10.91.30.45���。如果仍然那使用http://10.91.30.45則會出現(xiàn)“該網(wǎng)頁必須通過安全頻道查看,您要查看的網(wǎng)頁要求在地址中使用"https"��。禁止訪問:要求SSL”的提示�。
總結(jié):本文介紹的步驟是建立在windows2003+iis6的基礎(chǔ)上的,對于windows2000 Server或者Windows 2000 Advance Server也是可以在IIS5基礎(chǔ)上建立SSL加密功能的�,設(shè)置步驟基本類似�����。如果你使用的是Windows 2000 Professional版本就不用閱讀本文了�,因為這個版本不支持IIS的SSL訪問���。
