隨著Internet的分布越來越廣泛，安全問題也日益突出，保護傳送數據的需求也越來越強烈。在今天的Internet上，最常見的安全是通過使用數字證書實現的。數字證書可以在一個不信任的網絡上辨識一個客戶和服務器，并且可以加密數據。這里將討論其采用的技術以及微軟提供的確保Internet安全的工具。
具體的內容有：
　Secure Sockets Layer (SSL) 的介紹以及為什么它是安全的基礎
　加密以及它在客戶端和服務器端的角色
　客戶證書映射的一個介紹和建議
　Internet上的證書和證書授權
安裝微軟Certification Authority服務器的介紹
Secure Sockets Layer (SSL)簡介
通過使用X.509 certificates, RSA Public Key Ciphe和其它額外的安全特性來進行通信和認證，Internet Information Services 5 為Secure Sockets Layer (SSL) 3.0提供了一個高性能的實現。SSL可以讓一個客戶和服務器以協商好的安全和認證級別來進行通信。當一個連接被初始化時，SSL需要協商好一個對稱（symmetric ）的session key和認證級別。這個對稱的key是用來加密和解密數據的。在連接正在被建立的時候，還需要進行客戶/服務器的認證。當協商完成后，客戶和服務器可以通過加密數據，以一個安全的方式進行數據傳送。
加密通信
加密是通過令數據變得不規則以確保它不容易被非相關的人閱讀。Internet Information Services 5提供的加密特性和Internet Information Server 4類似，除了兩個例外：服務器證書現在和單個的網站綁定在一起，現在還有一個新的向導可以令服務器證書的設置變得更加簡單。
在Internet Information Services 5中設置SSL加密和Internet Information Server 4是一樣的，除了一個例外：你現在可以使用Server-Gated Cryptography (SGC)證書和加密。SGC在銀行業的站點使用，通過它可以在Internet Information Services的出口版本中使用128位的加密。
客戶和服務器的加密通信需要在兩端進行設置。客戶或者Web瀏覽器，可以支持40位或者128位的加密，或者兩者都支持，而服務器只可以在安裝服務器證書后才可以加密通信。
128位和40位的客戶
與Microsoft Internet Explorer 5.0類似，Internet瀏覽器支持兩個加密的級別：40位和128位的加密。40位的加密要弱一些；對于出口版本來說（即加拿大和美國以外的國家），這是最大的加密級別，因為美國政府認為強的加密級別對于國家安全是一個威脅，而北美版本的Internet Information Services, Internet Explorer和Netscape Navigator則支持128位的加密。
要知道Internet Explorer安裝的是哪一個級別的加密，只需要點菜單中的幫助，然后選擇About Internet Explorer的選項就可以了。
加密和認證
雖然加密和認證通常都放在一起討論，但它們是兩個不同的主題。認證是確認在通信中的個人或者進程身份的方法。認證可以是單向的，這是在一方確認對方的身份，或者是雙向的，這時雙方都需要確認對方的身份。
使用服務器證書

一個服務器證書是你的服務器的一個電子ID，它可讓你的服務器執行兩個重要的功能來確保通信的安全：為用戶標識自己和加密傳送到這些用戶的信息。SSL加密需要一個服務器證書被綁定到你的網站中。該證書包含有“Keys”，在你的網站和請求安全信息的用戶間建立一個安全連接時，需要用到這些keys。
在Internet Information Server 4中，服務器證書是被綁定到Web服務中的，并不是個別的網站，除非一個網站擁有一個獨立的IP地址。在Internet Information Services 5中，你可以綁定服務器證書到任何的網站，不過每個站點只可以設置一個證書。還有，在Internet Information Server 4中，你需要使用Key Manager來綁定證書。在Internet Information Services 5中，你可以使用Web Site Certificate向導，令整個過程變得更加簡單。該向導可引導你設置請求和安裝一個證書的全過程。
客戶證書映射
客戶端的證書和服務端的是等價的。客戶證書是一個數字ID，該ID是用來向你的Web服務器標識一個客戶的，并且可讓你的服務器使用客戶證書映射。客戶證書映射將一個客戶的證書映射為一個Windows用戶帳號，并且可以自動認證和允許帶有這些證書和正確帳號的用戶進行訪問。
例如，一個稱為Vicky的用戶擁有一個客戶證書，她點擊了一個到該公司網站的雇員信息部分的連接，她的瀏覽器就會將其證書信息放到其服務器請求的頭部，服務器就會檢索該證書的一個映射。如果用戶的證書是正確的，并且映射到一個有效的Windows用戶帳號，而且該帳號允許訪問這些內容，Vicky就會被自動地認證，請求的數據也會出現在她的瀏覽器中。
證書映射的類型
在Internet Information Services 5中，有兩類的證書映射：一對一和多對一。一對一映射將一個特別的證書和某個Windows用戶帳號聯系起來。客戶證書的一個拷貝必須放到服務器上以作認證之用。如果用戶使用另一個客戶證書作同樣的請求，將需要重新建立映射。
多對一的映射僅使用證書中的某些信息，并且與一定的標準作對比以進行用戶帳號映射。只要該證書符合這些標準，認證就會成功。這樣多個證書就可以被映射到一個用戶帳號，而且證書的拷貝無需要存放到服務器中。
兩者之間的區別可以用以下的情況說明。當一個帶證書的請求到來時，服務器有兩種的方式來映射它。服務器可以對自己說“我需要查找一個2002年3月建立的證書，它的序列號是ZXV345T4689AS234，如果我找不到該證書，我就會發送一個403-禁止的錯誤信息，并且處理完畢”，或者，服務器也可以這樣“我正在查找XYZ Certificate公司建立的任何證書，它是為ABC公司建立的，在2002年3月1日到2002年6月1日之間。如果我找到類似的證書就可以了”。第一種情況就是一對一映射，后者是一個多對一映射。
很容易看到，一對一映射更加安全，不過它需要更多的設置和維護工作，而多對一的安全性要差一點，不過可以更加靈活，而且需要較少的管理維護工作。
Fortezza卡和證書映射
智能卡上帶有證書的一個拷貝，并且可以用作映射。將證書的信息拷貝到卡上后，證書的處理就象其它的客戶證書一樣。通常一對一的映射被用在Fortezza卡上，因為它是為更高的安全性而設計的。
通過SSL進行基本的認證
SSL加密可以和基本的認證混合使用以加強安全性。SSL通常是用來加密與Web服務之間的數據傳輸的--例如，在一個在線購買中加密一個用戶的信用卡密碼。當SSL和基本的認證混合使用時，用戶的帳號和密碼也是加密的，這樣就更加安全。
對于使用非微軟瀏覽器的客戶來說，帶SSL的基本認證就更加有利了。這些非微軟瀏覽器的客戶可以被Internet Information Services認證，它們的用戶名和密碼也不會以明文的方式在Internet上傳輸。
數字證書

Internet Information Services還支持X.509數字證書以作訪問控制。這些數字證書必須是經由一個信任的證書授權建立，并且必須在客戶的計算機上維護。它們的運作和一個ID卡類似--這就是在客戶企圖訪問Web服務器的一個資源時，它會送出數字證書的信息。不過，相對于簡單的ID卡證書來說，它多了一層的安全性。在產生數字證書時，用戶必須提供一個密碼。以后使用該證書時，客戶還必須再次輸入該密碼以確保客戶是該數字證書的真正擁有者。
使用數字證書需要一個適當的協議，例如SSL，該協議通常需要存在于客戶和服務器上。通常服務器都會提供一個證書給客戶以表明服務器或者域名的身份。
選擇你的映射方法
選擇哪種映射方法和幾個方面有關，不過主要的兩點是安全級別的需要和可用的管理資源。如果你需要高的安全性，那么一對一映射是最理想的，只要你可以付出資源來管理它。如果你的管理資源有限，需要映射的客戶也很多，那么多對一就很適合，只要你需要的安全性不是特別高。具體選擇哪種方式，以下是一些建議：
。小型網絡，對安全性要求不高；無需證書。即使網絡小，還是選擇多對一的方式，因為對信息的安全性要求不高。你可以創建一個簡單的證書并且使用一個軟盤來共享它。
。小型網絡，對安全性要求不高；需要證書。如果你需要知道誰正在訪問什么，你可以使用多對一的映射，其中一個標準是使用用戶名，并且映射到單個的用戶帳號。這樣需要更多的工作，不過仍然比一對一好，因為用戶可以替換證書而無需要重新設置
。小型網絡，帶有保密的信息，需要證書。在這種情況下，最好使用一對一的映射，并且映射驗證到個別的帳號。這意味著如果用戶使用一個另外的證書，就必須重新設置一個新的映射。不過這里假定用戶的數目比較少。你也可以使用Windows 2000的Active Directory認證特性，要了解更多的相關信息，可以查看Windows 2000的文檔。
。大型網絡，對安全性的要求不高；不需要證書。解決的方案和小型的網絡一樣，不過你可以為每個部門或者組選擇一個不同的驗證。
。大型網絡，帶有保密的信息；需要證書。從安全的角度來說，你需要選擇一對一。不過，為了簡化管理，你可以可以選擇多對一。主要是按你的需要，如果你使用一對一，可以考慮使用Active Directory來簡化管理。
。對安全性要求很高：如果是這樣，你可以選擇使用Fortezza智能卡的一對一映射。你只需要將智能卡放入到讀取器就可以進去。不過，如果你有大量的客戶，這將是一個管理的噩夢。

服務器證書和證書授權
要激活Internet Information Services的SSL安全特性，你必須獲得并安裝一個有效的服務器證書（server certificate）。服務器證書是包含有你的Web服務器信息的數字證書，組織會驗證服務器的Web內容以及你的站點的全域名（FQDN）。它的運作和傳統的證書一樣，服務器證書可以令用戶驗證你的服務器，檢查Web內容的有效性，并且建立一個安全的連接。
數字證書是通過使用FQDN指派給一部主機的。因此證書與任何的IP地址限制無關。你可以修改主機的IP地址而不會對證書有任何的影響。例如，如果http://www.company.com這個網站擁有一個證書，那么無論該域名是指向IP地址192.168.110.123還是IP地址123.110.168.192，或者網站的IP地址在證書建立和安裝后被修改，都沒有關系。
服務器證書的成功在于用戶是否信任證書中的信息的有效性。因此，證書通常是通過一個互相信任的第三方組織來建立的，它被稱為Certificate Authority (CA)。CA的主要職責是確認該組織注冊到了一個證書。這樣就可以確保證書中的標識信息的有效性。
要做到這一點，一個CA必須擁有一個CA證書。CA證書可標識建立服務器證書的CA，從而確認服務器的驗證。當然，在這種層次關系中，與其它的層次關系一樣，必然有一個是頂層的。那么誰來驗證CA的證書呢？在最頂部的CA必須簽署自己的證書，這是由于在定義上來說沒有更高層次的CA。一個自己簽署的CA被稱為一個root certificate（根證書）。根證書是一個帶有.crt擴展名的文本文件。
可供選擇地，一個組織可以建立它自己的服務器證書而無需一個CA來簽署它們。例如，在一個大型公司的內部網中處理雇員薪水和利益信息，公司可以維護一個證書服務器，并且假定負責驗證登記者的身份并且建立服務器證書。
證書服務器

要認證一個帶有證書的服務器（該證書由某個特別的CA建立），可戶需要驗證該CA處于Web瀏覽器的可信任CA的列表中。大部分常見的CA根證書已經安裝在大多數的Web瀏覽器中。
要查看Microsoft Internet Explorer 5信任的CA，可以執行以下的步驟。
1。打開Microsoft Internet Explorer 5
2。在工具菜單上，點擊Internet選項
3。選內容標簽
4。在證書欄中按Authorities的按鈕
證書管理的對話框中的三個標簽包含了這個Internet Explorer拷貝所知道的全部證書列表。
每個證書都包含有主題和證書建立者的信息，還有它的有效性和開始日期、有效日期，還有為其它客戶或者服務器標識證書的加密指紋。
要查看一個數字證書中的信息，可以選擇一個證書然后按查看證書的按鈕。
要為你的Web服務器增加一個新的CA到被信任的授權列表，你必須顯式地加入CA的證書到你的Web服務器中，它被稱為根證書。你可以使用Microsoft Internet Explorer version 4.0以上或一個稱為Ilisca.exe的命令行工具來為你的服務器加入一個新的根證書。
證書的通配符映射
通配符證書允許多個帶有同樣域名或者子域名的主機使用同樣的數字證書。例如，使用通配符證書，一個證書可以建立在*.domain.com或者domain.com上，這樣它就可以用來支持諸如http://www.domain.com和http://www2.domain.com的站點。要記住在一般的情況下，一個證書只能建立在一個指定的主機上。例如http://www.domain.com。
證書通配符映射的好處是你只需要購買一個證書就可以在多個網站上使用，對于保護一個網站來說這樣的成本較低而且很值得。不過并不是全部的第三方CA都允許你申請一個可以用在多個主機上的證書。這樣的一個證書有一個共同的名字，例如*.domain.com 或者 domain.com。并不是全部的Web瀏覽器或者Web服務器支持它們的使用。
當一個Netscape的客戶檢查該證書中的主機名時，它使用一個腳本擴展過程來查看它是否匹配。在給出的例子中，任何以domain.com結束的主機都可以接受。不過，Internet Explorer并沒有實現通配符證書名字檢查，所以 Internet Explorer的客戶將接收到一個警告的信息，提示該主機名并不和證書中的匹配。在某些情況下，通配符可以在Internet Explorer 4.0或以上運作，不過微軟宣稱Internet Explorer并不可以在通配符下工作，因此并不能確保通配符可以在任何的微軟產品下工作。

分發證書
一個組織需要為客戶或者廠商提供證書，有三個條件。首先，它可以創建自己的內部CA，以滿足它自己的安全和可用性需要。第二，它可以將它的CA需求輸出給第三方，例如VeriSign或者Thawte。第三，它可以與一個第三方的CA建立一個相連的CA，這樣可允許該組織為終端用戶建立證書，同時也可以保障第三方CA的安全性。
例如，一個廠商可能決定為它的員工建立證書，而辦公室處于三個不同的州，或者一個顧問公司要為它的賣方建立證書以控制訪問公司的外部網。這個例子中，該組織可以選擇領先的廠商，例如BBN (GTE), Chrysalis或者Atalla購買安全的key管理硬件，或者選擇購買證書授權軟件，例如Microsoft, Xcert, 或者Nortel Entrust的。這些技術可以允許該組織根據其需要，建立一定安全級別的包含有客戶信息的證書。
不幸的是，大多數的瀏覽器在開始的時候都不認識這些證書。每個需要檢驗證書可信性（這些證書由內部的CA建立）的瀏覽器都將需要被修改，以在簽署證書的時候響應該組織的root key。這意味著每個Microsoft Internet Explorer, Microsoft Outlook和Netscape Communicator的拷貝都需要加入該組織CA的root key，而且必須在數據被這些證書簽名前加入，這樣它們才可以被信任。在一個小的或者可控制的環境下，這是沒有問題的。不過在一個異類、多平臺的環境下，例如Internet，這是不可能的。
一個相連的證書程序允許一個第三方的CA傳送全部和第三方CA相關的信任到該組織的CA。所有信任第三方CA提供的數字證書的軟件將會立刻信任相連CA建立的證書。
安裝和設置證書服務

證書授權服務器是Windows 2000 Server的一個附件，它放在Windows 2000 Server的安裝盤上。它可讓你為建立和管理X509版本3的數字證書創建一個自定制的服務以作證書之用。你可以為Internet或者公司的內部網創建服務器證書，從而可讓你的組織完全控制它自己的證書管理策略。
它包含了一個向導來設置安裝。要注意的是：你將需要在安裝的時候提供精確的信息。在安裝證書服務前先查看一下需要的信息。
要使用常用的設置選項來安裝證書授權服務器附件，你可以使用以下的步驟：
1。將Windows 2000 Server CD-ROM放入光驅，然后選擇Install Add-on Components.
2。Windows組件向導將會提示你選擇安裝哪些組件。選擇證書服務的選擇框。你將會馬上看到一個對話框，提示你一旦安裝證書服務，該計算機將不能重命名，也不能加入或者由一個域中移走。
在選擇YES來繼續前，你應該考慮一下以下幾點：
。由于在安裝證書服務后，除非你重新安裝Windows 2000，否則你將不能修改計算機的名字，因此你需要確保你對當前的名字感到滿意，或者在繼續前先換一個名字。
。由于在安裝證書服務后，你將不能令計算機加入到一個域或者將它由域中移走，你將需要確保你對當前域或者子域的名字感到滿意，否則在繼續前先換一個名字。
。在繼續前你要確保計算機加入到適當的域中
3。接著，在Windows組件向導中選擇證書授權類型，有四種類型：
Enterprise root CA
Enterprise subordinate CA
Stand-alone root CA
Stand-alone subordinate CA
一個網絡上的第一個CA必須是一個root CA。要創建一個Enterprise CA，必須允許Active Directory。一個Stand-alone CA 并不需要Active Directory。在你的局域網中可選擇Stand-alone CA 來實現證書服務。見圖1
　
證書授權服務不但定義證書服務功能如何在你的服務器上運作，還定義了你將需要如何來管理它。
4。在Windows組件向導中選擇CA Identifying Information。輸入適當的數據然后繼續安裝。見圖二

5。在Windows組件向導中選擇Data Storage Location。我建議使用默認的位置就可以了。按Next繼續。
6。如果你已經在你的計算機上安裝并運行Internet Information Services，按Yes繼續。微軟的證書服務將會提示你在繼續安裝前，必須停止Internet Information Services。Windows組件向導將會設置組件，并且將文件拷貝到你的機器上。你可以通過安裝進度條來監視安裝的過程。
7。當Windows組件向導提示你已經完成配置所選的組件時，按Finish。
這篇文章詳細討論了Windows 2000中的證書服務，要記得在企圖安裝證書服務前，先要確認所需要的全部信息。