部署http安全的webservice.docVIP

部署HTTPS协议访问的WEBSERVICE 1. 简 介 本部署手册详细描述了证书的安装与设置，以及IIS的证书设置等，阐述在IIS上如何配置一个可以使用HTTPS协议访问的WEBSERVICE。 1.1 目 的 1、 为开发人员配置HTTPS协议方式访问WEBSERVICE提供帮助。 2、 保障WEBSERVICE接口访问安全。 1.2 意 义 Xml Web Service传输的数据是Xml格式的，Xml是一种明文，而传输层通过tcp/ip来传输，而tcp/ip的传输可能被非法监听，黑客可以轻易的将Xml数据解析出来，截获信息甚至篡改数据，这样就造成了Xml Web Service在数据传输中是很不安全的。利用SSL可以将原本的Xml经过高强度的加密，从而有效的防止数据在传输过程中被非法截获和篡改。 1.3 SSL介绍 SSL的英文全称是 Secure Sockets Layer，中文名为 安全套接层协议层 ，它是网景（ Netscape）公司提出的基于 WEB应用的安全协议。SSL协议可分为两层： SSL记录协议 SSL Record Protocol ：它建立在可靠的传输协议 如TCP 之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL是Security Socket Layer的缩写，技术上称为安全套接字，可以简单为加密通讯协议，使用SSL可以对通讯（包括电子邮件）内容进行高强度的加密，以防止黑客监听您的通讯内容甚至是用户密码。 1.4 部署要求 A、 Windows2000/2003系统。 B、 域服务器。 C、 IIS6.0以上服务器。 D、 可用的WEBSERVICE。 下面以新区部署环境讲述HTTPS协议WEBSERVICE的部署 2. 安装证书颁发机构 WINDOWS 2003标准版和服务器版都是自带证书颁发机构的组件的，但是默认不安装，要申请证书，必须安装证书颁发机构组件，安装方法： 打开控制面板-添加/删除程序，选择添加/删除WINDOWS组件，插入WINDOWS的安装光盘，选择“证书服务”，然后一路下一步即可。安装成功之后，便可以进入下一步的申请SSL证书。 3. 配置IIS网站的WEBSERVICE 使用HTTPS协议访问WEBSERVICE，有两个要求： A、 必须使WEBSERVICE为一个独立的网站访问方式，不能使用默认站点下的虚拟目录方式。注意：HTTPS协议使用443端口地址，因此防火墙必须开通此地址。 B、 服务器必须加入到域里面，由域控来解析访问地址。 此时，配置好的WEBSERVICE访问方式还是普通的http. 4. 配置站点DNS 在域服务器上配置WERBSERIVCE访问的DNS地址，配置步骤： 选择DNS管理器－》机器名—》正向查找..－》域名—》新建别名。如图所示： 打开窗口，填写别名，如图： 此时需要选择目标主机，点击“浏览”，找到发布WEBSERVICE的目标主机，如图： 连续“确定”即可。 此时我们可以看到已经添加好的DNS解析，如图： 5. 为WEBSERVICE申请SSL证书 5.1 申请SSL证书 安装好证书服务，配置好DNS解析后，开始为webservice的站点设置证书访问，步骤如下： 右键站点—》属性—》目录安全性—》安全通信，点击“服务器证书”，然后下一步，选择“新建证书”，如图： “下一步”： 下一步： 在名称中输入DNS名称，如：DEPR,其他默认，下一步，再下一步： 在公用名称里面输入DNS，如：DEPR，联系下一步，在SSL端口中默认443端口，在证书发布机构中选择域服务器，如图： 下一步，完成。 此时我们可以查看到已经订阅的证书，如图： 5.2 强制https访问 默认两种方式都可以访问，但是如果webservice必须使用https访问，则需要配置安全通信，在目录安全面板中，在安全通信栏中点击编辑，选择要求安全通道SSL，如图： 此时访问webservice时就必须使用https访问访问。 5.3 测试访问 此时我们可以测试使用https协议来访问webservice,如图： 6. 其他服务器访问此WEBSERVICE Webservice的证书访问配置好后，并不是说现在所有的服务器都可以https协议访问了，需要满足如下要求： A、 服务器必须加入域，或者服务器的DNS是域服务器地址。 B、 在服务器上按照证书链。 否则将出现安全提示窗口， A条件很好满足，在IP地址中把DNS配置成域服务器地址即可。 B条件操作稍微麻烦一些，需要从域服务器上导出，然后在访问webservice的服务器上安装此证书。 6.1 导出证书链 操作步骤如下： 第一步：在域服务器上访问如下地址：http://localhost