https

由于NT系统的易维护性越来越多的中小企业在自己的网站上和内部办公管理系统上采用它,而且很多都是用默认的IIS来做WEB服务器使用。当然不能否认近来威胁NT系统的几个漏洞都是由于IIS配置不当造成的,而且可以预见的未来IIS还会被发现很多新的漏洞和安全问题,但只要我们做好合理的安全配置还是可以避免很多安全隐患的,本文并没有系统的去讲如何全面安全的配置IIS,我只是从利用SSL加密HTTP通道来讲如果加强IIS安全的。

由于Windows系统的普及,很多中小企业在自己的网站和内部办公管理系统都是用默认的IIS来做WEB服务器使用。
默认情况下我们所使用的HTTP协议是没有任何加密措施的,所有的消息全部都是以明文形式在网络上传送的,恶意的攻击者可以通过安装监听程序来获得我们和服务器之间的通讯内容。这点危害在一些企业内部网络中尤其比较大,对于使用HUB的企业内网来说简直就是没有任何安全可讲因为任何人都可以在一台电脑上看到其他人在网络中的活动,对于使用交换机来组网的网络来说虽然安全威胁性要小很多,但很多时候还是会有安全突破口,比如没有更改交换机的默认用户和口令,被人上去把自己的网络接口设置为侦听口,依然可以监视整个网络的所有活动。

在网上找到的自己免费搭HTTPS的资料,自己架设成功过:

IIS的身份认证除了匿名访问、基本验证和Windows
NT请求/响应方式外,还有一种安全性更高的认证,就是通过SSL(Security
Socket
Layer)安全机制使用数字证书。SSL(加密套接字协议层)位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。使用SSL安全机制时,首先客户端与服务器建立连接,服务器把它的数字证书与公共密钥一并发送给客户端,客户端随机生成会话密钥,用从服务器得到的公共密钥对会话密钥进行加密,并把会话密钥在网络上传递给服务器,而会话密钥只有在服务器端用私人密钥才能解密,这样,客户端和服务器端就建立了一个惟一的安全通道。
建立了SSL安全机制后,只有SSL允许的客户才能与SSL允许的Web站点进行通信,并且在使用URL资源定位器时,输入https://
,而不是http:// 。

    IIS的身份认证除了匿名访问、基本验证和Windows
NT请求/响应方式外,还有一种安全性更高的认证,就是通过SSL(Security Socket
Layer)安全机制使用数字证书。

随着Windows   Server   2003操作系统的推出,Windows平台的安全性和易用性大大增
强,然而,在默认情况下,IIS使用HTTP协议以明文形式传输数据,没有采取任何加密
措施,用户的重要数据很容易被窃取,如何才能保护局域网中的这些重要数据呢?下面
笔者就介绍一下如何使用SSL增强IIS服务器的通信安全。

简单的说默认情况下我们所使用的HTTP协议是没有任何加密措施的,所有的消息全部都是以明文形式在网络上传送的,恶意的攻击者可以通过安装监听程序来获得我们和服务器之间的通讯内容。这点危害在一些企业内部网络中尤其比较大,对于使用HUB的企业内网来说简直就是没有任何安全可讲因为任何人都可以在一台电脑上看到其他人在网络中的活动,对于使用交换机来组网的网络来说虽然安全威胁性要小很多,但很多时候还是会有安全突破口,比如没有更改交换机的默认用户和口令,被人上去把自己的网络接口设置为侦听口,依然可以监视整个网络的所有活动。

   
因此,为了网络的安全越来越多的企业采用SSL来避免或减少这方面带来的损失。

    一、什么是SSL

所以全面加密整个网络传输隧道的确是个很好的安全措施,很可惜的是现在网络上有关于具体给IIS配置SSL的文章并不是很多,我简单的摸索了下把我的经验拿出来给大家分享。我是以WIN2000服务器版本的来做例子讲解的,我们首先需要在控制面板里的填加删除WINDOWS组件中去安装证书服务,这个服务在默认安装中是没有安装在系统里的,需要安装光盘来安装。

   
SSL(加密套接字协议层)位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。使用SSL安全机制时,首先客户端与服务器建立连接,服务器把它的数字证书与公共密钥一并发送给客户端,客户端随机生成会话密钥,用从服务器得到的公共密钥对会话密钥进行加密,并把会话密钥在网络上传递给服务器,而会话密钥只有在服务器端用私人密钥才能解密,这样,客户端和服务器端就建立了一个惟一的安全通道。

    SSL(Security   Socket   Layer)全称是加密套接字协议层,它位于HTTP协议
层和TCP协议层之间,用于建立用户与服务器之间的加密通信,确保所传递信息的安全
性,同时SSL安全机制是依靠数字证书来实现的。

图片 1

   
建立了SSL安全机制后,只有SSL允许的客户才能与SSL允许的Web站点进行通信,并且在使用URL资源定位器时,输入https://
,而不是http://。

    SSL基于公用密钥和私人密钥,用户使用公用密钥来加密数据,但解密数据必须
使用相应的私人密钥。使用SSL安全机制的通信过程如下:用户与IIS服务器建立连接
后,服务器会把数字证书与公用密钥发送给用户,用户端生成会话密钥,并用公共密钥
对会话密钥进行加密,然后传递给服务器,服务器端用私人密钥进行解密,这样,用户
端和服务器端就建立了一条安全通道,只有SSL允许的用户才能与IIS服务器进行通信。

图片 2

   
下面我们以WIN2000服务器版本的来做例子,介绍一下怎样利用SSL加密HTTP通道来加强IIS安全的。

    提示:SSL网站不同于一般的Web站点,它使用的是“HTTPS”协议,而不是普通
的“HTTP”协议。因此它的URL(统一资源定位器)格式为“

然后选择独立根CA的安装类型。然后在下一步中给自己的CA起一个名字来完成安装就可以了。

    操作办法

    二、安装证书服务

 

   
我们首先需要在控制面板里的填加删除WINDOWS组件中去安装证书服务,这个服务在默认安装中是没有安装在系统里的,需要安装光盘来安装。

    要想使用SSL安全机制功能,首先必须为Windows   Server   2003系统安装证书
服务。

安装完成后,我们就可以启动我们的IIS管理器来申请一个数字证书了,启动INTERNET管理器选择我们需要配置的WEB站点。

   
图片 3

    进入“控制面板”,运行“添加或删除程序”,接着进入“Windows组件向导”
对话框,勾选“证书服务”选项,点击“下一步”按钮,接着选择CA类型。这里选择
“独立根CA”,点击“下一步”按钮,为自己的CA服务器取个名字,设置证书的有效期
限,最后指定证书数据库和证书数据库日志的位置,就可完成证书服务的安装。

图片 4

   
图片 5

    三、配置SSL网站

选择站点属性里的,目录安全性—安全通信—服务器证书

   
然后选择独立根CA的安装类型。然后在下一步中给自己的CA起一个名字来完成安装就可以了。

    1.创建请求证书文件

 

    
安装完成后,我们就可以启动我们的IIS管理器来申请一个数字证书了,启动INTERNET管理器选择我们需要配置的WEB站点

    完成了证书服务的安装后,就可以为要使用SSL安全机制的网站创建请求证书文
件。点击“控制面板→管理工具”,运行“Internet   信息服务-IIS   管理器”,在
管理器窗口中展开“网站”目录,右键点击要使用SSL的网站,选择“属性”选项,在
网站属性对话框中切换到“目录安全性”标签页(图1),然后点击“服务器证书”按
钮。在“IIS证书向导”对话框中选择“新建证书”,点击“下一步”按钮,选择“现
在准备证书请求,但稍后发送”。在“名称”输入框中为该证书取名,然后在“位长”
下拉列表中选择密钥的位长。接着设置证书的单位、部门、站点公用名称和地理信息,
最后指定请求证书文件的保存位置。这样就完成了请求证书文件的创建。

图片 6

   
图片 7

          2.申请服务器证书

由于我们是第一次配置,所以选择创建一个新的证书。

    选择站点属性里的,目录安全性-安全通信-服务器证书

    完成上述设置后,还要把创建的请求证书文件提交给证书服务器。在服务器端的
IE浏览器地址栏中输入“
证书服务”欢迎窗口中点击“申请一个证书”链接,接下来在证书申请类型中点击“高
级证书申请”链接,然后在高级证书申请窗口中点击“使用BASE64编码的CMC或
PKCS#10….”链接,再打开刚刚生成的“certreq.txt”文件,将其中的内容复制到
“保存的申请”输入框后点击“提交”按钮即可。

 

   
图片 8

    3.颁发服务器证书

图片 9

    由于我们是第一次配置,所以选择创建一个新的证书。

    点击“控制面板→管理工具”,运行“证书颁发机构”。在主窗口中展开树状目
录,点击“挂起的申请”项(图2),找到刚才申请的证书,然后右键点击该项,选择
“所有任务→颁发”。颁发成功后,点击树状目录中的“颁发的证书”项,双击刚才颁
发的证书,在弹出的“证书”对话框的“详细信息”标签页中,点击“复制到文件”按
钮,弹出证书导出向导,连续点击“下一步”按钮,并在“要导出的文件”对话框中指
定文件名,最后点击“完成”。

用默认的站点名称和加密位长设置就可以了。

   
图片 10

  4.安装服务器证书

 

    用默认的站点名称和加密位长设置就可以了。

    重新进入IIS管理器的“目录安全性”标签页,点击“服务器证书”按钮,弹出
“挂起的证书请求”对话框,选择“处理挂起的请求并安装证书”选项,点击“下一
步”按钮,指定刚才导出的服务器证书文件的位置,接着设置SSL端口,使用默认的
“443”即可,最后点击“完成”按钮。

图片 11

   
图片 12

    在“目录安全性”标签页,点击安全通信栏的“编辑”按钮,勾选“要求安全通
道(SSL)”选项,最后点击“确定”按钮即可启用SSL。

图片 13

   
图片 14    

    在完成了对SSL网站的配置后,用户只要在IE浏览器中输入“
名”就能访问该网站。

图片 15

   
图片 16

图片 17

    选择一个地方把我们刚才生成的一个请求证书保存起来。

其实上面的设置都是非常简单的,看看我抓的几个设置画面就可以很简单的设置好的,最好选择一个地方把我们刚才生成的一个请求证书保存起来。

   
图片 18

 

   
完成上面的设置后,我们就要把我们刚刚生成的服务器证书提交给我们刚刚在本地安装的证书服务器。在默认情况下证书服务器完成安装后会在本地的IIS里的WEB服务器里面生成几个虚拟的目录。

完成上面的设置后,我们就要把我们刚刚生成的服务器证书提交给我们刚刚在本地安装的证书服务器。在默认情况下证书服务器完成安装后会在本地的IIS里的WEB服务器里面生成几个虚拟的目录。

    我们打开

标签:

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图