第10章SSL服务的组建与.ppt

第10章 SSL服务的组建与安全管理 10.1 初识SSL服务 10.2 IIS下安装、配置Web服务器的SSL服务 10.2.1 安装入门篇 10.2.2 安装配置进阶篇 网络服务器的组建、配置与安全管理 本章重点介绍如何在IIS下架设SSL服务。 IIS的身份认证除了匿名访问、基本验证和Windows NT请求/响应方式外，还有一种安全性更高的认证：通过SSL(Security Socket Layer，安全套接层)安全机制使用数字证书。 SSL位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个惟一的安全通道。 本节重点介绍如何在IIS下配置Web服务器的SSL服务及实现基于SSL服务的Web站点。 下面我们以Windows 2000 Advanced Server为例，具体看看如何配置IIS下SSL服务。它的整个配置流程主要为：【安装证书服务】→【生成服务器证书】→【提交服务器证书】→【颁发、导出Web服务器数字证书】→【安装Web服务器数字证书】→【启用Web服务器安全通道SSL服务】。 安装入门篇 安装配置进阶篇 (1) 选择【开始】→【设置】→【控制面板】→【添加/删除程序】→【填加新程序】→【光盘或软盘】。 (2) 在光驱中插入Windows 2000 Advanced Server安装光盘，然后单击【下一步】按钮继续下面的安装操作。 (3) 此时系统会自动搜索Windows 2000 Advanced Server的安装程序。如果要手动搜索安装程序，单击【浏览】按钮，找到光盘根目录下的SETUP.EXE文件即可。 (4) 在安装程序窗口中单击【安装附加组件】。 (5) 在【Windows组件向导】对话框中，单击【证书服务】选项，即可添加【证书服务】组件。单击【下一步】按钮，进行以下的安装设置操作。 (6) 由于证书颁发机构的设置是很重要的，因此这里需要特殊说明。企业根CA和独立根CA都是证书颁发体系中最受信任的证书颁发机构，可以独立地颁发证书。企业根CA需要Active Directory的支持，而独立根CA不需要。从属级的CA由于只能从另一证书颁发机构获取证书，所以一般不被选择。在Windows 2000 Server中，企业根CA使用 Active Directory确定申请人的身份，确定申请人是否具有申请他们所指定的证书类型的安全权限，并由此自动确定是否立即颁发证书或拒绝申请，这种策略设置不能被更改。如果选择此选项一定注意保护含有此服务的服务器，不能直接暴露在外。独立根CA可以选择在收到申请时自动颁发证书或将申请保持为搁置状态，由管理员验证证书申请者的真实性及合法性，决定是否颁发证书。在这里推荐选择证书颁发机构为：独立根CA，单击【下一步】按钮继续下面的安装操作。 (7) 在这里可以根据自己的实际情况来填写CA标识相关信息，如CA名称、单位、城市、电子邮件和有效期限等，单击【下一步】按钮继续下面的安装操作。 (8) 在这里系统将让用户设置证书数据库、证书数据库日志储存的位置，默认为C:\WINNT\System32\CertLog文件夹，在这里可以不作更改，以默认位置为存储数据的位置，单击【下一步】按钮继续下面的安装操作。 (9) 安装程序会根据用户前面的设置，自动配置【证书服务】。 (10) 经过1~3分钟的安装过程，系统便会提示用户【证书服务】完成安装，单击【完成】按钮关闭【Windows组件向导】。 在IIS下Web服务器的SSL服务未激活之前，在【Web站点】选项卡中的【SSL端口】文本框成灰色，即不可用。接下来启动IIS管理器来申请一个数字证书。我们以申请站点的数字证书为例，介绍如何激活Web 服务器的SSL服务。 生成Web服务器数字证书 提交Web服务器数字证书 颁发、导出