從商業(yè)機(jī)構(gòu)到政府部門(mén)再到個(gè)人家庭,越來(lái)越多的用戶(hù)使用網(wǎng)絡(luò)來(lái)處理事務(wù),交流信息和進(jìn)行交易活動(dòng),這些都不可避免地涉及到網(wǎng)絡(luò)安全問(wèn)題,尤其是認(rèn)證和加密問(wèn)題。特別是在網(wǎng)上進(jìn)行購(gòu)物交易活動(dòng)中,必須保證交易雙方能夠互相確認(rèn)身份,安全地傳輸敏感信息,事后不能否認(rèn)交易行為,同時(shí)還要防止他人截獲篡改寶貴信息或假冒交易方。
如何提高站點(diǎn)信息的安全性呢?目前最簡(jiǎn)單的解決方案就是利用SSL安全技術(shù)來(lái)實(shí)現(xiàn)WEB的安全訪問(wèn)。
小提示:使用SSL協(xié)議有什么好處呢?SSL安全協(xié)議工作在網(wǎng)絡(luò)傳輸層,適用于HTTP,telnet,FTP和NNTP等服務(wù),不過(guò)SSL最廣泛的應(yīng)用還是WEB安全訪問(wèn),如網(wǎng)上交易,政府辦公等。
本文將由筆者為各位讀者介紹使用SSL加密協(xié)議建立WWW站點(diǎn)的全過(guò)程,為了保證技術(shù)的先進(jìn)性我們介紹在windows2003的IIS6上建立SSL加密的方法,當(dāng)然在windows2000的IIS5上建立SSL加密步驟基本相同。
要想成功架設(shè)SSL安全站點(diǎn)關(guān)鍵要具備以下幾個(gè)條件。
1、需要從可信的證書(shū)辦法機(jī)構(gòu)CA獲取服務(wù)器證書(shū)。
2、必須在WEB服務(wù)器上安裝服務(wù)器證書(shū)。
3、必須在WEB服務(wù)器上啟用SSL功能。
4、客戶(hù)端(瀏覽器端)必須同WEB服務(wù)器信任同一個(gè)證書(shū)認(rèn)證機(jī)構(gòu),即需要安裝CA證書(shū)。
在實(shí)施SSL安全站點(diǎn)之前需要我們做一些準(zhǔn)備工作。
第一步:默認(rèn)情況下IIS6組件是安裝在windows2003中的,如果沒(méi)有該組件請(qǐng)自行安裝。
第二步:我們建立的IIS站點(diǎn)默認(rèn)是使用HTTP協(xié)議的,打開(kāi)瀏覽器在地址處輸入“http://本機(jī)IP”(不含引號(hào))就可以訪問(wèn)。(如圖1)
 |
| 圖1 |
第三步:安裝證書(shū)服務(wù),通過(guò)控制面板中的添加/刪除程序,選擇添加/刪除windows組件。在windows組件向?qū)е姓业健白C書(shū)服務(wù)”,前面打勾后點(diǎn)“下一步”。(如圖2)
 |
| 圖2 點(diǎn)擊看大圖 |
小提示:證書(shū)服務(wù)有兩個(gè)子選項(xiàng)“證書(shū)服務(wù)Web注冊(cè)支持”和“證書(shū)服務(wù)頒發(fā)機(jī)構(gòu)(CA)”。為了方便這兩個(gè)功能都需要安裝。
第四步:系統(tǒng)會(huì)彈出“安裝證書(shū)服務(wù)后計(jì)算機(jī)名和區(qū)域成員身份會(huì)出現(xiàn)改變,是否繼續(xù)”的提示,我們選“是”即可。(如圖3)
 |
| 圖3 |
第五步:在windows組件向?qū)A類(lèi)型設(shè)置窗口中選擇獨(dú)立根CA。(如圖4)
 |
| 圖4 |
第六步:CA識(shí)別信息處的CA公用名稱(chēng)輸入本地計(jì)算機(jī)的IP地址,如10.91.30.45,其他設(shè)置保留默認(rèn)信息即可。(如圖5)
 |
| 圖5 |
第七步:輸入證書(shū)數(shù)據(jù)庫(kù)等信息的保存路徑,仍然選擇默認(rèn)位置系統(tǒng)目錄的system32下的certlog即可。(如圖6)
 |
| 圖6 點(diǎn)擊看大圖 |
第八步:下一步后出現(xiàn)“要完成安裝,證書(shū)服務(wù)必須暫時(shí)停止IIS服務(wù)”的提示。選擇“是”后繼續(xù)。(如圖7)
 |
| 圖7 |
第九步:開(kāi)始復(fù)制組件文件到本地硬盤(pán)。(如圖8)
 |
| 圖8 |
第十步:安裝過(guò)程中會(huì)出現(xiàn)缺少文件的提示,我們需要將windows2003系統(tǒng)光盤(pán)插入光驅(qū)中才能繼續(xù)。(如圖9)
 |
| 圖9 |
 |
| 圖10 |
下面就要為各位讀者介紹如何通過(guò)IIS證書(shū)向?qū)渲梦覀冃枰淖C書(shū)文件。
第一步:通過(guò)“管理工具”中的IIS管理器啟動(dòng)IIS編輯器。
第二步:在默認(rèn)網(wǎng)站上點(diǎn)鼠標(biāo)右鍵選擇“屬性”。(如圖11)
 |
| 圖11 點(diǎn)擊看大圖 |
第三步:在默認(rèn)網(wǎng)站屬性窗口中點(diǎn)“目錄安全性”標(biāo)簽,然后在安全通信處點(diǎn)“服務(wù)器證書(shū)”按鈕。(如圖12)
 |
| 圖12 |
第四步:系統(tǒng)將自動(dòng)打開(kāi)WEB服務(wù)器證書(shū)向?qū)А#ㄈ鐖D13)
 |
| 圖13 |
第五步:服務(wù)器證書(shū)處選擇“新建證書(shū)”,然后下一步繼續(xù)。(如圖14)
 |
| 圖14 |
第六步:延遲或立即請(qǐng)求處選擇“現(xiàn)在準(zhǔn)備證書(shū)請(qǐng)求,但稍后發(fā)送”。(如圖15)
 |
| 圖15 |
第七步:設(shè)置證書(shū)的名稱(chēng)和特定位長(zhǎng),名稱(chēng)保持默認(rèn)網(wǎng)站即可,在位長(zhǎng)處我們通過(guò)下拉菜單選擇512。(如圖16)
 |
| 圖16 |
小提示:位長(zhǎng)主要用于安全加密,位長(zhǎng)越來(lái)則越安全,不過(guò)傳輸效率會(huì)受到一定的影響,網(wǎng)站性能也受影響。一般來(lái)說(shuō)選擇512已經(jīng)足夠了。
第八步:輸入單位信息,包括單位和部門(mén)。(如圖17)
 |
| 圖17 |
第九步:在站點(diǎn)公用名稱(chēng)窗口輸入localhost。(如圖18)
 |
| 圖18 |
第十步:地理信息隨便填寫(xiě)即可。(如圖19)
 |
| 圖19 |
第十一步:設(shè)置證書(shū)請(qǐng)求的文件名,我們可以將其保存到桌面以便下面步驟調(diào)用方便,保存的文件名為certreq.txt。(如圖20)
 |
| 圖20 |
第十二步:完成了IIS證書(shū)向?qū)渲霉ぷ鳎凑找髮⑾鄳?yīng)的證書(shū)文件保存到桌面。(如圖21)
 |
| 圖21 |
配置好IIS所需的證書(shū)文件后就要根據(jù)該證書(shū)內(nèi)容進(jìn)行申請(qǐng)了。
第一步:打開(kāi)IE瀏覽器在地址欄中輸入http://10.91.30.45/certsrv/打開(kāi)證書(shū)服務(wù)界面。(服務(wù)器IP地址為10.91.30.45)(如圖22)
 |
| 圖22 點(diǎn)擊看大圖 |
第二步:點(diǎn)“申請(qǐng)一個(gè)證書(shū)”后繼續(xù)。
第三步:在申請(qǐng)證書(shū)界面選擇“高級(jí)證書(shū)申請(qǐng)”。(如圖23)
 |
| 圖23 點(diǎn)擊看大圖 |
第四步:在高級(jí)證書(shū)申請(qǐng)界面選擇“使用base64編碼的CMC或PKCS #10文件提交一個(gè)證書(shū)申請(qǐng),或繼訂證書(shū)申請(qǐng)”。(如圖24)
 |
| 圖24 點(diǎn)擊看大圖 |
第五步:用記事本打開(kāi)上面保存在桌面上的那個(gè)certreq.txt文件,將里面的內(nèi)容全部復(fù)制。(如圖25)
 |
| 圖25 |
第六步:將復(fù)制的全部?jī)?nèi)容粘貼到“提交一個(gè)證書(shū)申請(qǐng)或續(xù)訂申請(qǐng)”界面,然后點(diǎn)“提交”按鈕。(如圖26)
 |
| 圖26 點(diǎn)擊看大圖 |
第七步:成功申請(qǐng)后出現(xiàn)證書(shū)掛起提示,說(shuō)明證書(shū)申請(qǐng)已經(jīng)收到,等待管理員通過(guò)申請(qǐng)認(rèn)證。(如圖27)
 |
| 圖27 |
至此我們就完成了證書(shū)的申請(qǐng)工作,下面要通過(guò)剛剛申請(qǐng)的證書(shū)認(rèn)證。
證書(shū)申請(qǐng)后還需要服務(wù)器的管理員手動(dòng)頒發(fā)該證書(shū)才能使之生效。
第一步:我們選擇任務(wù)欄的“開(kāi)始->程序->管理工具->證書(shū)頒發(fā)機(jī)構(gòu)”。(如圖28)
 |
| 圖28 點(diǎn)擊看大圖 |
第二步:在左邊選項(xiàng)中找到“掛起的申請(qǐng)”。(如圖29)
 |
| 圖29 |
第三步:查看右邊的列表,剛才提交的證書(shū)申請(qǐng)赫然在目,在待申請(qǐng)的證書(shū)上單擊鼠標(biāo)右鍵,彈出菜單中有“所有任務(wù)”一項(xiàng),接著選擇子項(xiàng)“頒發(fā)”。這時(shí)這個(gè)“待定申請(qǐng)”就會(huì)轉(zhuǎn)移到“頒發(fā)的證書(shū)”下面。
第四步:在“頒發(fā)的證書(shū)”下找到剛才那個(gè)證書(shū),雙擊打開(kāi)。并在“證書(shū)屬性窗口”的詳細(xì)信息標(biāo)簽中選擇“復(fù)制到文件”。(如圖30)
 |
| 圖30 |
第五步:在“證書(shū)導(dǎo)出向?qū)А敝校我膺x擇一種CER格式導(dǎo)出,比如“DER 編碼二進(jìn)制”并保存成文件。
通過(guò)以上五步操作我們的IIS證書(shū)就通過(guò)了系統(tǒng)管理員的審核,下面就可以通過(guò)審核過(guò)的證書(shū)建立SSL加密站點(diǎn)了。
我們?cè)俅蝸?lái)到IIS設(shè)置窗口中啟用SSL安全加密功能。
第一步:在默認(rèn)網(wǎng)站屬性窗口中點(diǎn)“目錄安全性”標(biāo)簽,然后在安全通信處點(diǎn)“服務(wù)器證書(shū)”按鈕。
第二步:掛起的證書(shū)請(qǐng)求窗口中選擇“處理掛起的請(qǐng)求并安裝證書(shū)”選項(xiàng)。(如圖31)
 |
| 圖31 |
第三步:通過(guò)瀏覽按鈕找到在驗(yàn)證證書(shū)第五步中通過(guò)證書(shū)導(dǎo)出向?qū)倓偙4娴腄ER編碼格式的文件。(如圖32)
 |
| 圖32 |
第四步:這時(shí)我們就可以設(shè)置SSL參數(shù)了,在安全通信屬性中將”要求安全通道SSL”前打上對(duì)勾,從而啟用了IIS站點(diǎn)的SSL加密功能。(如圖33)
 |
| 圖33 |
第五步:再次來(lái)到默認(rèn)網(wǎng)站屬性中的網(wǎng)站標(biāo)簽,可以看到SSL端口已經(jīng)配置了端口信息——443。(如圖34)
 |
| 圖34 |
至此我們就完成了SSL加密站點(diǎn)的配置工作,客戶(hù)端訪問(wèn)服務(wù)器的IIS網(wǎng)站時(shí)所瀏覽的信息是通過(guò)加密的,是非常安全的。
服務(wù)器上設(shè)置完SSL加密站點(diǎn)功能后我們?cè)诳蛻?hù)機(jī)上通過(guò)瀏覽器訪問(wèn)該站點(diǎn)時(shí)就會(huì)彈出一個(gè)“安全警報(bào)”窗口。(如圖35)只有信任該證書(shū)后才能夠正常瀏覽網(wǎng)站信息。(如圖36)
 |
| 圖36 |
小提示:在訪問(wèn)通過(guò)SSL加密的站點(diǎn)時(shí)所輸入的地址應(yīng)該以https://開(kāi)頭,例如本文中應(yīng)該使用https://10.91.30.45。如果仍然那使用http://10.91.30.45則會(huì)出現(xiàn)“該網(wǎng)頁(yè)必須通過(guò)安全頻道查看,您要查看的網(wǎng)頁(yè)要求在地址中使用"https"。禁止訪問(wèn):要求SSL”的提示。
總結(jié):本文介紹的步驟是建立在windows2003+iis6的基礎(chǔ)上的,對(duì)于windows2000 Server或者Windows 2000 Advance Server也是可以在IIS5基礎(chǔ)上建立SSL加密功能的,設(shè)置步驟基本類(lèi)似。如果你使用的是Windows 2000 Professional版本就不用閱讀本文了,因?yàn)檫@個(gè)版本不支持IIS的SSL訪問(wèn)。
