大家知道,IIS一般允许访问者通过HTTP协议来访问其中的网站信息,不过这种通信协议由于采用的是明文方式来传输信息的,而不会对要访问的信息进行加密,因此通过这种方法访问网站时一些隐私信息容易在传输过程中被他人中途偷窥。为了避免隐私信息被他人随意窃?a href="" target="_blank" class="keylink">。颐强梢越栌肧SL的身份验证功能,来对网站信息进行加密传输,并限定只有指定的客户通过HTTPS协议才能访问到指定的站点信息。下面本文就以Windows 2003服务器操作系统为例,来向各位详细介绍一下如何借用SSL验证来对网站信息进行加密传输,以便让IIS信息访问更安全。
创建SSL身份验证证书
要想对IIS中的指定网站信息建立加密传输机制的话,首先需要为该目标网站创建一个SSL身份验证证书,该证书的创建操作只需要通过Windows 2003服务器操作系统内置的Web服务器证书向导功能就能轻松完成;下面就是为目标网站创建证书请求文件的具体操作步骤:
依次单击开始/设置/控制面板命令,在弹出的系统控制面板窗口中,双击管理工具图标,并在其后界面中双击Internet 信息服务(IIS)管理器图标,打开系统的IIS控制台界面。
在该界面的左侧窗格区域中,依次展开本地计算机/网站分支,再用鼠标右键单击该分支下面的目标网站名称,从弹出的右键菜单中执行属性命令,打开目标网站的属性设置界面。
单击该界面中的目录安全性标签,并在对应标签页面的安全通信设置项处,单击服务器证书按钮,弹出如图1所示的Web服务器证书向导窗口;继续单击该窗口中的下一步按钮,在随后出现的服务器证书对话框中,我们可以为目标网站选择一个分配证书的方法,在这里我们可以将新建证书选项选中,并单击下一步按钮。
图1
接下来将现在准备证书请求,但稍后发送项目选中,然后为新证书设置一个合适的名称,同时在位长列表框中为新证书设置一个合适的密钥位长;下面再输入好使用证书的单位以及部门信息,然后输入站点的公用名称,一般来说要是该站点位于Internet上的话,就应该输入该站点的完整域名信息。完成好上面的所有信息输入操作后,Web服务器证书向导窗口将会弹出如图2所示的界面,提示我们指定一个合适的文本文件来保存证书请求信息,默认状态下系统会自动在Windows安装根目录下创建一个名为certreq.txt的文本文件来作为证书请求文件,最后单击向导窗口中的完成按钮就能结束SSL身份验证证书的创建任务了。
图2
手工添加证书服务
由于Windows 2003服务器操作系统在缺省状态下并不支持证书服务,这样的话安装在该系统中的网站自然就无法申请网站证书;为了能够正确申请网站证书,我们需要按照下面的方法,先将证书服务启动好:
依次单击开始/设置/控制面板命令,在弹出的系统控制面板窗口中,双击添加或删除程序图标,再其后出现的窗口中再单击添加/删除Windows组件标签,在弹出的如图3所示的标签页面中将证书服务 项目选中,随后系统打开一个提示界面提醒我们一旦安装好了证书服务后,将无法更改域成员身份以及计算机名称,同时询问我们是否需要继续下面的操作。
图3 此时我们可以单击提示界面中的是按钮,再单击一下下一步按钮,并将新对话框中的独立根CA项目选中,同时继续单击下一步按钮,进入到如图4所示的CA识别信息对话框;在该对话框的公用名称文本框中输入CA的名称信息,在有效期限处设置好证书的具体生效时间,默认情况下证书的有效期限为5年。 图4
接下来单击下一步按钮,Windows系统将会自动创建好密钥信息,然后会弹出证书数据库设置对话框,在该对话框的证书数据库文本框中指定好证书数据库的存放位置,在该对话框的证书数据库日志文本框中指定好证书数据库日志的存放位置,然后再单击下一步按钮;随后系统将会自动按照我们的设置要求进行配置系统,同时提示我们插入Windows 2003服务器操作系统的安装光盘,一旦插入安装光盘后,Windows系统就会自动完成证书服务的其他配置任务。
申请高级网站证书
为了让目标网站使用SSL加密机制,来保证网站信息在传输过程中不被人偷窥,我们需要申请一个高级网站证书;在申请网站证书时,我们可以按照如下步骤来操作:
首先打开系统的资源管理器窗口,在该窗口中双击Windows安装目录下面的system32文件夹,并将该文件夹下面的Certsrv子文件夹复制到目标网站所对应的根目录下。
接着打开IE浏览器窗口,并在该窗口的地址栏中输入(其中xxx.xxx.xxx.xxx为目标网站的网址或IP地址),进入到如图5所示的Microsoft证书服务页面;单击该页面中的申请一个证书超级链接,并在其后出现的链接页面中再单击高级证书申请链接。
图5 接下来再单击一下使用base64编码的CMC或PKCS #10文件提交一个证书申请,或使用base64编码的PKCS #7文件续订证书申请超级链接,打开如图6所示的申请页面;下面打开前面已经创建好的证书请求文件certreq.txt,将该文件中的内容直接复制粘贴到图6界面中的保存的申请文本框中,再单击一下提交按钮就能完成高级网站证书的申请任务。
图6
高级网站证书一旦申请成功后,系统将会自动提示我们必须等待管理员颁发自己申请的证书,只有颁发过证书后才能使之生效。在颁发证书时,我们可以按照下面的步骤来操作:
依次单击开始/设置/控制面板命令,在弹出的系统控制面板窗口中,双击证书颁发机构图标,在其后界面的左侧窗格区域中选中挂起的申请选项,在对应该选项右侧的窗格区域中用鼠标右键单击前面申请好的证书,并依次执行右键菜单中的所有任务/颁发命令。
下面再选中颁发的证书选项,并在对应该选项右侧的窗格区域中用鼠标左键双击前面申请好的证书,在随后弹出的证书对话框中单击详细信息标签,打开如图7所示的标签页面;接着单击该标签页面中的复制到文件按钮,打开证书导出向导界面,根据界面提示指定好具体的文件名称,结束证书的颁发任务。
文章来源:香港服务器托管 http://www.thinkdream.com/
标题:用SSL验证让IIS信息更安全
本信息网址:http://fuwuqi20.zhanlanku.com/news/itemid-8020.shtml