计算机网络工程实训 作者 张纯容 郑向阳1 实训8.4 IIS中的安全认证.pptVIP

实训8.4 IIS中的安全认证 理论基础 第一部分 数据传输的安全性与数据加密 随着计算机网络应用的普及，专有或私有数据在公共网络上的传输也变得不可避免，如电子商务应用。但这些数据在传输过程中很可能被被窃听、拦截和欺骗，要保证数据传输的安全，必须对传输中的数据进行加密。 SSL可以在Web浏览器（IE）和Web服务器（IIS）之间建立安全（https://）的通信连接，使用公共密钥技术对通信的数据进行加密 IIS客户证明的安全选项 匿名访问：不需要与用户之间进行交互，允许任何人匿名访问站点，在这三种身份认证中的安全性是最低的。 基本（Basic）验证：在此方式下用户输入的用户名和口令以明文方式在网络上传输，没有任何加密，非法用户可以通过网上监听来拦截数据包，并从中获取用户名及密码，安全性能一般。 IIS服务器验证和数据保护 X.509协议 (IETF 标 准)是在Internet上使用的标准服务器验证机制，IIS秉承了这个标准。这个协议是建立在一个验证权威机构签署的证书基础上的。 当客户要求服务器的验证时，Web服务器就将其证书发送给浏览器。如果能成功完成以下步骤，服务器验证就成功通过客户浏览器信任所提供证书的证明机构的签署。 客户使用证明机构的公共关键字来打开证书，然后验证证书内的公共名称与浏览 器正在指向的 URL是否相匹配。 客户验证证书没有过期。 实训环境 实验环境如图8.8所示 C/S模式网络环境，包括一台Windows98工作站和一台Windows 2000服务器 服务器上需要启用FTP服务和HTTP服务 配置 第二部分 为WEB服务器安装证书服务器 证书的获得可以从第三方权威认证机构（CA）申请获得，也可以自己安装证书服务器，为自己颁发证书。在本实验中，使用后者获取证书。为WEB服务器安装证书的步骤如下 在WIN2000服务器上安证书服务 创建新证书 提交证书申请 证书的颁发 证书文件的安装 在WIN2000服务器上安证书服务 点击 “开始”—“设置”—“控制面板”，双击“填加/删除程序”，点“填加/删除Windows组件”，在组件列表中选中“证书服务”，按安装向导进行安装 安装过程中，证书颁发机构类型选“独立根” 创建新证书 点击“开始”—“程序”—“管理工具”—“Internet服务管理器”，在“默认 Web 站点”点击右键，点击“目录安全性”—“服务器证书”，“创建新证书”，然后按提示（按默认设置）完成，得到一个certreq.txt的文件，记住文件保存的位置 提交证书申请 在Win2000服务器上，确保启动了“Internet信息服务（IIS）”，从IE浏览器访问/certsrv/default.asp，选中“申请证书”，“下一步”，选中“高级申请”，“下一步”，选中“使用 base64 编码的 PKCS #10 文件提交一个证书申请，或使用 base64 编码的 PKCS #7 文件更新证书申请。”，“下一步”，按提示将certreq.txt文件内容贴到“Base64 编码证书申请(PKCS #10 或 #7): ”的空白处，然后“提交”。这样就完成了证书申请 证书的颁发 点击“开始”—“程序”—“管理工具”—“证书颁发机构”，选中“待定申请”，可以看到刚才的“申请证书”，选中“申请证书”，点击右键“所有任务”“颁发” 重新用IE浏览器访问/certsrv/default.asp，选中“检查挂起的证书”，“下一步”，再选择要检查的证书申请，“下一步”，下载CA证书，记住证书文件的保存路径 证书文件的安装 回到“Internet 信息服务”的“默认 Web 站点|目录安全性|服务器证书”，选择“处理挂起的请求并安装证书”，按提示把刚才得到的证书文件安装进去。这样 IIS + SSL 就完成了 设置WEB服务 在“Internet服务管理器”中，在“默认 Web 站点”点击右键，点击“目录安全性”、“编辑”，在安全通信对话框中，选中“申请安全通道”，其他设置按默认值，点击“确定”完成 再点“Web站点”选项卡，在“SSL端口”中填入443，按“确定”完成IIS服务器的设置 从客户端访问WEB服务器 在默认Web站点的目录下放置一网页文件，用IE浏览器访问它们 用sniffer软件检测数据传送 使用网络扫描工具软件如Sniffer Pro软件等检测从服务器到工作站之间的数据传输过程，观察能否从扫描工具软件的显示内容中获得所传输的数据内容 * * 在线教务辅导网： 教材其余课件及动画素材请查阅在线教务辅导网 QQ:349134187 或者直接输入下面地址：