一、建立SSL安全機制
IIS的身份認證除了匿名訪問、基本驗證和Windows NT請求/響應方式外,還有一種安全性更高的認證,就是通過SSL(Security Socket Layer)安全機制使用數字證書。SSL(加密套接字協議層)位于HTTP層和TCP層之間,建立用戶與服務器之間的加密通信,確保所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰基礎上的,任何用戶都可以獲得公共密鑰來加密數據,但解密數據必須要通過相應的私人密鑰。使用SSL安全機制時,首先客戶端與服務器建立連接,服務器把它的數字證書與公共密鑰一并發送給客戶端,客戶端隨機生成會話密鑰,用從服務器得到的公共密鑰對會話密鑰進行加密,并把會話密鑰在網絡上傳遞給服務器,而會話密鑰只有在服務器端用私人密鑰才能解密,這樣,客戶端和服務器端就建立了一個惟一的安全通道。
建立了SSL安全機制后,只有SSL允許的客戶才能與SSL允許的Web站點進行通信,并且在使用URL資源定位器時,輸入https:// ,而不是http:// 。
簡單的說默認情況下我們所使用的HTTP協議是沒有任何加密措施的,所有的消息全部都是以明文形式在網絡上傳送的,惡意的攻擊者可以通過安裝監聽程序來獲得我們和服務器之間的通訊內容。這點危害在一些企業內部網絡中尤其比較大,對于使用HUB的企業內網來說簡直就是沒有任何安全可講因為任何人都可以在一臺電腦上看到其他人在網絡中的活動,對于使用交換機來組網的網絡來說雖然安全威脅性要小很多,但很多時候還是會有安全突破口,比如沒有更改交換機的默認用戶和口令,被人上去把自己的網絡接口設置為偵聽口,依然可以監視整個網絡的所有活動。
所以全面加密整個網絡傳輸隧道的確是個很好的安全措施,很可惜的是現在網絡上有關于具體給IIS配置SSL的文章并不是很多,我簡單的摸索了下把我的經驗拿出來給大家分享。
二、操作辦法
以WIN2000服務器版本的來做例子講解的,我們首先需要在控制面板里的填加刪除WINDOWS組件中去安裝證書服務,這個服務在默認安裝中是沒有安裝在系統里的,需要安裝光盤來安裝。
![""]("http://k.54master.com/attachments/month_0704/11_hwTAYPDT8WZ8.jpg")
screen.width*0.5) {this.resized=true; this.width=screen.width*0.5;}" border=0 resized="true">然后選擇獨立根CA的安裝類型。然后在下一步中給自己的CA起一個名字來完成安裝就可以了。
![""]("http://k.54master.com/attachments/month_0704/22_lepkLmdrBFvD.jpg")
screen.width*0.5) {this.resized=true; this.width=screen.width*0.5;}" border=0 resized="true">安裝完成后,我們就可以啟動我們的IIS管理器來申請一個數字證書了,啟動INTERNET管理器選擇我們需要配置的WEB站點:
![""]("http://k.54master.com/attachments/month_0704/33_KQZqvDRp8nuJ.jpg")
screen.width*0.5) {this.resized=true; this.width=screen.width*0.5;}" border=0>選擇站點屬性里的,目錄安全性-安全通信-服務器證書
![""]("http://k.54master.com/attachments/month_0704/44_N60bhOOR2JVP.jpg")
screen.width*0.5) {this.resized=true; this.width=screen.width*0.5;}" border=0>
