|
由于Windows系統(tǒng)的普及,很多中小企業(yè)在自己的網(wǎng)站和內(nèi)部辦公管理系統(tǒng)都是用默認(rèn)的IIS來做WEB服務(wù)器使用����。
默認(rèn)情況下我們所使用的HTTP協(xié)議是沒有任何加密措施的,所有的消息全部都是以明文形式在網(wǎng)絡(luò)上傳送的���,惡意的攻擊者可以通過安裝監(jiān)聽程序來獲得我們和服務(wù)器之間的通訊內(nèi)容���。這點危害在一些企業(yè)內(nèi)部網(wǎng)絡(luò)中尤其比較大,對于使用HUB的企業(yè)內(nèi)網(wǎng)來說簡直就是沒有任何安全可講因為任何人都可以在一臺電腦上看到其他人在網(wǎng)絡(luò)中的活動��,對于使用交換機(jī)來組網(wǎng)的網(wǎng)絡(luò)來說雖然安全威脅性要小很多,但很多時候還是會有安全突破口��,比如沒有更改交換機(jī)的默認(rèn)用戶和口令����,被人上去把自己的網(wǎng)絡(luò)接口設(shè)置為偵聽口,依然可以監(jiān)視整個網(wǎng)絡(luò)的所有活動����。
IIS的身份認(rèn)證除了匿名訪問、基本驗證和Windows NT請求/響應(yīng)方式外���,還有一種安全性更高的認(rèn)證���,就是通過SSL(Security Socket Layer)安全機(jī)制使用數(shù)字證書。
因此��,為了網(wǎng)絡(luò)的安全越來越多的企業(yè)采用SSL來避免或減少這方面帶來的損失��。
SSL(加密套接字協(xié)議層)位于HTTP層和TCP層之間�,建立用戶與服務(wù)器之間的加密通信,確保所傳遞信息的安全性���。SSL是工作在公共密鑰和私人密鑰基礎(chǔ)上的����,任何用戶都可以獲得公共密鑰來加密數(shù)據(jù)����,但解密數(shù)據(jù)必須要通過相應(yīng)的私人密鑰。使用SSL安全機(jī)制時�,首先客戶端與服務(wù)器建立連接,服務(wù)器把它的數(shù)字證書與公共密鑰一并發(fā)送給客戶端����,客戶端隨機(jī)生成會話密鑰,用從服務(wù)器得到的公共密鑰對會話密鑰進(jìn)行加密��,并把會話密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器�����,而會話密鑰只有在服務(wù)器端用私人密鑰才能解密�����,這樣�����,客戶端和服務(wù)器端就建立了一個惟一的安全通道。
建立了SSL安全機(jī)制后��,只有SSL允許的客戶才能與SSL允許的Web站點進(jìn)行通信���,并且在使用URL資源定位器時��,輸入https:// �,而不是http://�。
下面我們以WIN2000服務(wù)器版本的來做例子,介紹一下怎樣利用SSL加密HTTP通道來加強(qiáng)IIS安全的�����。 操作辦法
我們首先需要在控制面板里的填加刪除WINDOWS組件中去安裝證書服務(wù)�,這個服務(wù)在默認(rèn)安裝中是沒有安裝在系統(tǒng)里的,需要安裝光盤來安裝����。
然后選擇獨(dú)立根CA的安裝類型。然后在下一步中給自己的CA起一個名字來完成安裝就可以了���。
安裝完成后����,我們就可以啟動我們的IIS管理器來申請一個數(shù)字證書了,啟動INTERNET管理器選擇我們需要配置的WEB站點
選擇站點屬性里的�,目錄安全性-安全通信-服務(wù)器證書
由于我們是第一次配置,所以選擇創(chuàng)建一個新的證書��。
用默認(rèn)的站點名稱和加密位長設(shè)置就可以了�。
選擇一個地方把我們剛才生成的一個請求證書保存起來��。
完成上面的設(shè)置后�,我們就要把我們剛剛生成的服務(wù)器證書提交給我們剛剛在本地安裝的證書服務(wù)器。在默認(rèn)情況下證書服務(wù)器完成安裝后會在本地的IIS里的WEB服務(wù)器里面生成幾個虛擬的目錄�����。
我們打開http://localhost/CertSrv/default.asp
選擇申請證書
在選擇申請類型的時候���,選擇高級申請����。
選擇使用base64的編碼方式來提交我們的證書申請�。
在證書申請的地方把我們剛剛生成的certreq.txt的內(nèi)容拷備進(jìn)去,然后選擇提交��。
提交成功以后,會返回一個頁面給我們告訴我們證書已經(jīng)成功提交了����,現(xiàn)在是掛起狀態(tài)就是等待CA中心來頒發(fā)這個證書了。
好接下來啟動管理工具里的證書頒發(fā)機(jī)構(gòu)��,在待定申請中找到我們剛剛的申請條目然后點擊鼠標(biāo)右鍵選擇頒發(fā)就好了��。
頒發(fā)成功以后我們在頒發(fā)的證書里找到剛才頒發(fā)的證書����,雙擊其屬性欄目然后在詳細(xì)信息里選擇將證書復(fù)制到文件。
我們需要把證書導(dǎo)出到一個文件�����,這里我們把證書導(dǎo)出到c: \sql.cer這個文件里��。
重新回到IIS的WEB管理界面里重新選擇證書申請���,這個時候出來的界面就是掛起的證書請求了���。
選擇我們導(dǎo)處的sql.cer這個文件。
確定一切信息正確以后���,就可以點擊下一步確定來完成SSL的安裝了��。
默認(rèn)安裝結(jié)束后���,SSL并沒有啟動我們需要自己給我們的站點SSL的加密通道����,并且確定HTTPS使用的端口是443 �。
第一次通過HTTPS進(jìn)入站點的時候,會有一個對話框讓我們確認(rèn)是否同意當(dāng)前證書��,當(dāng)然是同意啦~
好了�����,這個時候我們看這個網(wǎng)站的時候所有信息在網(wǎng)上就是以加密的方式來傳送的了�,任何人都無法再輕易了解其中的內(nèi)容了��。
加密過的SSL會比普通的沒有加密的WEB瀏覽的時候慢一點�����,主要是因為加密的隧道額外還要占用一點CPU的資源��,對于那些沒有任何秘密可言的WEB站點沒有需要用加密的SSL通道。只要對于那些重要的目錄和站點才有這個必要性�。
- 本文出自零點IDC論壇http://bbs.0dianidc.com,原文地址:http://bbs.0dianidc.com/thread-407-1-1.html
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)��!虛擬主機(jī)域名注冊頂級提供商�!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
