IIS網(wǎng)站的“護心甲”-實戰(zhàn)SSL
添加時間:2010-11-7
添加:
admin
Windows網(wǎng)絡(luò)操作系統(tǒng)內(nèi)置的IIS是大家最常用的Web服務器。但在系統(tǒng)默認配置下,IIS使用的是“HTTP協(xié)議”以明文形式傳輸數(shù)據(jù),沒有采用任何加密手段,傳輸?shù)闹匾獢?shù)據(jù)很容易被竊取。這對于一些安全性要求高的網(wǎng)站來說,是遠遠不夠的。為了保證重要數(shù)據(jù)的萬無一失,IIS也提供了SSL安全加密機制,下面就向大家介紹如何在IIS服務器中使用SSL安全加密機制。生成證書請求文件
筆者以Windows Server 2003(簡稱Windows 2003)系統(tǒng)為例,介紹如何在IIS6服務器中應用SSL安全加密機制功能。要想為某個IIS網(wǎng)站創(chuàng)建數(shù)字證書,首先必須使用“Web服務器證書向?qū)А惫δ転樵摼W(wǎng)站生成一個證書請求文件。進入“控制面板→管理工具→Internet 信息服務(IIS)管理器”,在IIS管理器窗口中展開“網(wǎng)站”目錄,右鍵點擊要使用SSL安全加密機制功能的網(wǎng)站,在彈出菜單中選擇“屬性”,然后切換到“目錄安全性”標簽頁(如圖),接著點擊“服務器證書”按鈕。在“IIS證書向?qū)А贝翱谥羞x擇“新建證書”選項,點擊“下一步”,選中“現(xiàn)在準備證書請求,但稍后發(fā)送”,接著在“名稱”欄中為該證書起個名字,在“位長”下拉列表中選擇“密鑰的位長”,這里要注意,位長不能設(shè)置的過大,否則會影響通信質(zhì)量;接著設(shè)置證書的單位、部門、和地理信息,在站點“公用名稱欄”中輸入該網(wǎng)站的域名,然后指定證書請求文件的保存位置,這里筆者將該證書請求文本文件保存在“d\certreq.txt”。這樣就完成了證書請求文件的生成。
申請IIS網(wǎng)站證書
完成了證書請求文件的生成后,就可以開始申請IIS網(wǎng)站證書了。但這個過程需要證書服務(Certificate Services)的支持。Windows 2003系統(tǒng)默認狀態(tài)沒安裝此服務,需要手工添加。
● 安裝證書服務
在“控制面板”中運行“添加或刪除程序”,切換到“添加/刪除Windows組件”頁,在“Windows組件向?qū)А睂υ捒蛑校x中“證書服務”選項,接下來選擇CA類型,這里筆者選擇“獨立根CA”,然后為該CA服務器起個名字,設(shè)置證書的有效期限,建議使用默認值“5年”即可,最后指定證書數(shù)據(jù)庫和證書數(shù)據(jù)庫日志的位置后,就完成了證書服務的安裝。
完成了證書服務的安裝后,就能開始申請IIS網(wǎng)站證書了。運行Internet Explorer瀏覽器,在地址欄中輸入“http://localhost/CertSrv/default.asp”。接著在“Microsoft 證書服務”歡迎窗口中點擊“申請一個證書”鏈接,然后在證書申請類型中點擊“高級證書申請”鏈接,在高級證書申請窗口中點擊“使用BASE64編碼的CMC或PKCS#10文件提交….”鏈接,接著將證書請求文件的內(nèi)容復制到“保存的申請”輸入框中,這里筆者的證書請求文件內(nèi)容保存在“d:\certreq.txt”,最后點擊“提交”按鈕。
頒發(fā)IIS網(wǎng)站證書
雖然完成了IIS網(wǎng)站證書的申請后,但這時它還處于掛起狀態(tài),需要頒發(fā)后才能生效。在“控制面板→管理工具”中,運行“證書頒發(fā)機構(gòu)”程序。在“證書頒發(fā)機構(gòu)”左側(cè)窗口中展開目錄,選中“掛起的申請”目錄,在右側(cè)窗口找到剛才申請的證書,鼠標右鍵點擊該證書,選擇“所有任務→頒發(fā)”。
接著點擊 “頒發(fā)的證書”目錄,打開剛剛頒發(fā)成功的證書,在 “證書”對話框中切換到“詳細信息”標簽頁。點擊“復制到文件”按鈕,彈出證書導出對話框,一路下一步,在“要導出的文件”欄中指定文件名,這里筆者保存證書路徑為“d:\cce.cer”,最后點擊“完成”。
筆者以Windows Server 2003(簡稱Windows 2003)系統(tǒng)為例,介紹如何在IIS6服務器中應用SSL安全加密機制功能。要想為某個IIS網(wǎng)站創(chuàng)建數(shù)字證書,首先必須使用“Web服務器證書向?qū)А惫δ転樵摼W(wǎng)站生成一個證書請求文件。進入“控制面板→管理工具→Internet 信息服務(IIS)管理器”,在IIS管理器窗口中展開“網(wǎng)站”目錄,右鍵點擊要使用SSL安全加密機制功能的網(wǎng)站,在彈出菜單中選擇“屬性”,然后切換到“目錄安全性”標簽頁(如圖),接著點擊“服務器證書”按鈕。在“IIS證書向?qū)А贝翱谥羞x擇“新建證書”選項,點擊“下一步”,選中“現(xiàn)在準備證書請求,但稍后發(fā)送”,接著在“名稱”欄中為該證書起個名字,在“位長”下拉列表中選擇“密鑰的位長”,這里要注意,位長不能設(shè)置的過大,否則會影響通信質(zhì)量;接著設(shè)置證書的單位、部門、和地理信息,在站點“公用名稱欄”中輸入該網(wǎng)站的域名,然后指定證書請求文件的保存位置,這里筆者將該證書請求文本文件保存在“d\certreq.txt”。這樣就完成了證書請求文件的生成。
申請IIS網(wǎng)站證書
完成了證書請求文件的生成后,就可以開始申請IIS網(wǎng)站證書了。但這個過程需要證書服務(Certificate Services)的支持。Windows 2003系統(tǒng)默認狀態(tài)沒安裝此服務,需要手工添加。
● 安裝證書服務
在“控制面板”中運行“添加或刪除程序”,切換到“添加/刪除Windows組件”頁,在“Windows組件向?qū)А睂υ捒蛑校x中“證書服務”選項,接下來選擇CA類型,這里筆者選擇“獨立根CA”,然后為該CA服務器起個名字,設(shè)置證書的有效期限,建議使用默認值“5年”即可,最后指定證書數(shù)據(jù)庫和證書數(shù)據(jù)庫日志的位置后,就完成了證書服務的安裝。
完成了證書服務的安裝后,就能開始申請IIS網(wǎng)站證書了。運行Internet Explorer瀏覽器,在地址欄中輸入“http://localhost/CertSrv/default.asp”。接著在“Microsoft 證書服務”歡迎窗口中點擊“申請一個證書”鏈接,然后在證書申請類型中點擊“高級證書申請”鏈接,在高級證書申請窗口中點擊“使用BASE64編碼的CMC或PKCS#10文件提交….”鏈接,接著將證書請求文件的內(nèi)容復制到“保存的申請”輸入框中,這里筆者的證書請求文件內(nèi)容保存在“d:\certreq.txt”,最后點擊“提交”按鈕。
頒發(fā)IIS網(wǎng)站證書
雖然完成了IIS網(wǎng)站證書的申請后,但這時它還處于掛起狀態(tài),需要頒發(fā)后才能生效。在“控制面板→管理工具”中,運行“證書頒發(fā)機構(gòu)”程序。在“證書頒發(fā)機構(gòu)”左側(cè)窗口中展開目錄,選中“掛起的申請”目錄,在右側(cè)窗口找到剛才申請的證書,鼠標右鍵點擊該證書,選擇“所有任務→頒發(fā)”。
接著點擊 “頒發(fā)的證書”目錄,打開剛剛頒發(fā)成功的證書,在 “證書”對話框中切換到“詳細信息”標簽頁。點擊“復制到文件”按鈕,彈出證書導出對話框,一路下一步,在“要導出的文件”欄中指定文件名,這里筆者保存證書路徑為“d:\cce.cer”,最后點擊“完成”。
新文章:
- CentOS7下圖形配置網(wǎng)絡(luò)的方法
- CentOS 7如何添加刪除用戶
- 如何解決centos7雙系統(tǒng)后丟失windows啟動項
- CentOS單網(wǎng)卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗證詳解
- CentOS 7.1添加刪除用戶的方法
- CentOS查找/掃描局域網(wǎng)打印機IP講解
- CentOS7使用hostapd實現(xiàn)無AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網(wǎng)絡(luò)重啟出錯
- 解決Centos7雙系統(tǒng)后丟失windows啟動項
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統(tǒng)有什么不同呢
- Centos 6.6默認iptable規(guī)則詳解