隨着Windows Server 2003操作系統的推出,Windows平臺的安全性和易用性大大增強,然而,在默認情況下,IIS使用HTTP協議以明文形式傳輸數據,沒有采取任何加密措施,用戶的重要數據很容易被竊取,如何才能保護局域網中的這些重要數據呢?下面筆者就介紹一下如何使用SSL增強IIS服務器的通信安全。
一、什麼是SSL
SSL(Security Socket Layer)全稱是加密套接字協議層,它位於HTTP協議層和TCP協議層之間,用於建立用戶與服務器之間的加密通信,確保所傳遞信息的安全性,同時 SSL安全機制是依靠數字證書來實現的。
SSL基於公用密鑰和私人密鑰,用戶使用公用密鑰來加密數據,但解密數據必須使用相應的私人密鑰。使用SSL安全機制的通信過程如下:用戶與IIS服務器建立連接後,服務器會把數字證書與公用密鑰發送給用戶,用戶端生成會話密鑰,並用公共密鑰對會話密鑰進行加密,然後傳遞給服務器,服務器端用私人密鑰進行解密,這樣,用戶端和服務器端就建立了一條安全通道,只有SSL允許的用戶才能與IIS服務器進行通信。
提示:SSL網站不同於一般的Web站點,它使用的是“HTTPS”協議,而不是普通的“HTTP”協議。因此它的URL(統一資源定位器)格式爲 “https://網站域名”。
二、安裝證書服務
要想使用SSL安全機制功能,首先必須爲Windows Server 2003系統安裝證書服務。
進入“控制面板”,運行“添加或刪除程序”,接着進入“Windows組件嚮導”對話框,勾選“證書服務”選項,點擊“下一步”按鈕,接着選擇CA類型。這裏選擇“獨立根CA”,點擊“下一步”按鈕,爲自己的CA服務器取個名字,設置證書的有效期限,最後指定證書數據庫和證書數據庫日誌的位置,就可完成證書服務的安裝。
三、配置SSL網站
1.創建請求證書文件
完成了證書服務的安裝後,就可以爲要使用SSL安全機制的網站創建請求證書文件。點擊“控制面板→管理工具”,運行“Internet 信息服務-IIS 管理器”,在管理器窗口中展開“網站”目錄,右鍵點擊要使用SSL的網站,選擇“屬性”選項,在網站屬性對話框中切換到“目錄安全性”標籤頁(圖1),然後點擊“服務器證書”按鈕。在“IIS證書嚮導”對話框中選擇“新建證書”,點擊“下一步”按鈕,選擇“現在準備證書請求,但稍後發送”。在“名稱”輸入框中爲該證書取名,然後在“位長”下拉列表中選擇密鑰的位長。接着設置證書的單位、部門、站點公用名稱和地理信息,最後指定請求證書文件的保存位置。這樣就完成了請求證書文件的創建。
2.申請服務器證書
完成上述設置後,還要把創建的請求證書文件提交給證書服務器。在服務器端的IE瀏覽器地址欄中輸入“http://localhost /CertSrv/default.asp”。在“Microsoft 證書服務”歡迎窗口中點擊“申請一個證書”鏈接,接下來在證書申請類型中點擊“高級證書申請”鏈接,然後在高級證書申請窗口中點擊“使用BASE64編碼的CMC或PKCS#10....”鏈接,再打開剛剛生成的“certreq.txt”文件,將其中的內容複製到“保存的申請”輸入框後點擊“提交”按鈕即可。
3.頒發服務器證書
點擊“控制面板→管理工具”,運行“證書頒發機構”。在主窗口中展開樹狀目錄,點擊“掛起的申請”項(圖2),找到剛纔申請的證書,然後右鍵點擊該項,選擇“所有任務→頒發”。頒發成功後,點擊樹狀目錄中的“頒發的證書”項,雙擊剛纔頒發的證書,在彈出的“證書”對話框的“詳細信息”標籤頁中,點擊 “複製到文件”按鈕,彈出證書導出嚮導,連續點擊“下一步”按鈕,並在“要導出的文件”對話框中指定文件名,最後點擊“完成”。
4.安裝服務器證書
重新進入IIS管理器的“目錄安全性”標籤頁,點擊“服務器證書”按鈕,彈出“掛起的證書請求”對話框,選擇“處理掛起的請求並安裝證書”選項,點擊 “下一步”按鈕,指定剛纔導出的服務器證書文件的位置,接着設置SSL端口,使用默認的“443”即可,最後點擊“完成”按鈕。
在“目錄安全性”標籤頁,點擊安全通信欄的“編輯”按鈕,勾選“要求安全通道(SSL)”選項,最後點擊“確定”按鈕即可啓用SSL。
在完成了對SSL網站的配置後,用戶只要在IE瀏覽器中輸入“https://網站域名”就能訪問該網站。
