利用SSL给IIS加把锁.docVIP

利用SSL给IIS加把锁 一、实训目的： 了解SSL对IIS安全的保护。加深对使用安全套接字层保护的原理。 二、知识了解： 由于windows系统的易维护性，越来越多的中小企业在自己的网站上和内部办公管理系统上采用它，而且很多都是用默认的IIS来做WEB服务器使用。当然不能否认近来威胁NT系统的几个漏洞都是由于IIS配置不当造成的，而且可以预见，未来IIS还会被发现很多新的漏洞和安全问题，但只要我们做好合理的安全配置，还是可以避免很多安全隐患的。这里没有系统的去讲如何全面安全的配置IIS，只是从利用SSL加密HTTP通道来讲如果加强IIS安全的。 IIS的身份认证除了匿名访问、基本验证和Windows请求/响应方式外，还有一种安全性更高的认证，就是通过SSL（Security Socket Layer）安全机制使用数字证书。SSL（加密套接字协议层）位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个惟一的安全通道。 建立了SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，并且在使用URL资源定位器时，输入https:// ，而不是http:// 。 简单的说默认情况下我们所使用的HTTP协议是没有任何加密措施的，所有的消息全部都是以明文形式在网络上传送的，恶意的攻击者可以通过安装监听程序来获得我们和服务器之间的通讯内容。这点危害在一些企业内部网络中尤其比较大，对于使用HUB的企业内网来说简直就是没有任何安全可讲因为任何人都可以在一台电脑上看到其他人在网络中的活动，对于使用交换机来组网的网络来说虽然安全威胁性要小很多，但很多时候还是会有安全突破口，比如没有更改交换机的默认用户和口令，被人上去把自己的网络接口设置为侦听口，依然可以监视整个网络的所有活动。 所以全面加密整个网络传输隧道的确是个很好的安全措施，很可惜的是现在网络上有关于具体给IIS配置SSL的文章并不是很多，我简单的摸索了下把我的经验拿出来给大家分享。 三、实训内容和步骤：（以WIN2003服务器版本的来做例子） 1、安装证书服务：在控制面板里的添加删除WINDOWS组件中去安装证书服务，这个服务在默认安装中是没有安装在系统里的，需要安装光盘（或安装文件）来安装。 2、选择独立根CA的安装类型。点击下一步，如图1所示 图1 3、给自己的CA起一个名字，完成CA安装。 4、启动IIS管理器来申请一个数字证书，启动INTERNET管理器选择我们需要配置的WEB站点： 5、选择站点属性里的，目录安全性-安全通信-服务器证书（我们是第一次配置，选择创建一个新的证书）。 6、用默认的站点名称和加密位长设置。点击下一步 7、进入证书请求文件名界面，给证书一个名称，点击下一步。 8、进入证书摘要界面（实际是证书的汇总信息）点击下一步完成。 9、将证书导出保存在我的文档中。 10、刚刚生成的服务器证书提交给我们刚刚在本地安装的证书服务器（默认情况下证书服务器完成安装后会在本地的IIS里的WEB服务器里面生成几个虚拟的目录），打开http://localhost/CertSrv/default.asp 11、选择申请证书类型，同时选择高级申请。 12、选择使用base64的编码方式来提交我们的证书申请。 13、在证书申请的地方把我们刚刚生成的certreq.txt的内容拷备进去，然后选择提交。（提交成功以后，会返回一个页面给我们告诉我们证书已经成功提交了）。 （注意：现在证书是挂起状态，必须等待CA中心管理员来颁发这个证书了才可使用。） 14、启动管理工具里的证书颁发机构，在待定申请中找到我们刚刚的申请条目然后点击鼠标右键选择颁发。 15、颁发成功以后我们在颁发的证书里找到刚才颁发的证书，双击其属性栏目然后在详细信息里选择将证书复制到文件。 （需要把证书导出到一个文件，这里我们把证书导出到桌面，文件名为：sql.cer） 16、回到IIS的WEB管理界面里重新选择证书申请，这个时候出来的界面就是挂起的证书请求了。 17、选择导出的sql.cer这个文件。 18、确定一切信息正确以后，就可以点击下一步完成。 19、完成SSL的安装（设置按照下图进行）。