安全套接字層(SSL)是一套提供身份驗(yàn)證�、保密性和數(shù)據(jù)完整性的加密技術(shù)。SSL 最常用來(lái)在Web瀏覽器和Web服務(wù)器之間建立安全通信通道�。它也可以在客戶端應(yīng)用程序和Web服務(wù)之間使用。
要求
以下各項(xiàng)介紹了推薦的硬件�、軟件、網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)�、技巧和知識(shí)以及您需要的服務(wù)包。
?MicrosoftWindows 2000 Server操作系統(tǒng) (Service Pack 2)
?Microsoft證書(shū)服務(wù)(如果您需要生成自己的證書(shū)�,這是必需的)。
一�、生成證書(shū)申請(qǐng)
此過(guò)程創(chuàng)建一個(gè)新的證書(shū)申請(qǐng),此申請(qǐng)可發(fā)送到證書(shū)頒發(fā)機(jī)構(gòu) (CA) 進(jìn)行處理�。如果成功,CA 將給您發(fā)回一個(gè)包含生效證書(shū)的文件�。
生成證書(shū)申請(qǐng)
1. 啟動(dòng) IISMicrosoft管理控制臺(tái) (MMC) 管理單元。
2. 展開(kāi)Web服務(wù)器名�,選擇要安裝證書(shū)的Web站點(diǎn)。
3. 右擊該Web站點(diǎn)�,然后單擊"屬性"。
4. 單擊"目錄安全性"選項(xiàng)卡�。
5. 單擊"安全通信"中的"服務(wù)器證書(shū)"按鈕,啟動(dòng)Web服務(wù)器證書(shū)向?qū)А?/p>
注意:如果"服務(wù)器證書(shū)"不可用,可能是因?yàn)槟x擇了虛擬目錄�、目錄或文件。返回第 2 步�,選擇Web站點(diǎn)。
5. 單擊"下一步"跳過(guò)歡迎對(duì)話框�。
6. 單擊"創(chuàng)建一個(gè)新證書(shū)",然后單擊"下一步"�。
7. 該對(duì)話框有以下兩個(gè)選項(xiàng):
? "現(xiàn)在準(zhǔn)備申請(qǐng),但稍后發(fā)送"
該選項(xiàng)總是可用的�。
? "立即將申請(qǐng)發(fā)送到在線證書(shū)頒發(fā)機(jī)構(gòu)"
僅當(dāng)Web服務(wù)器可以在配置為頒發(fā)Web服務(wù)器證書(shū)的Windows 2000 域中訪問(wèn)一個(gè)或多個(gè)Microsoft證書(shū)服務(wù)器時(shí),該選項(xiàng)才可用�。在后面的申請(qǐng)過(guò)程中,您有機(jī)會(huì)從列表中選擇將申請(qǐng)發(fā)送到的頒發(fā)機(jī)構(gòu)�。
單擊"現(xiàn)在準(zhǔn)備申請(qǐng)�,但稍后發(fā)送",然后單擊"下一步"�。
8. 在"名稱"字段中鍵入證書(shū)的描述性名稱,在"位長(zhǎng)"字段中鍵入密鑰的位長(zhǎng)�,然后單擊"下一步"。
向?qū)褂卯?dāng)前Web站點(diǎn)名稱作為默認(rèn)名稱�。它不在證書(shū)中使用,但作為友好名稱以幫助管理員�。
9. 在"組織"字段中鍵入組織名稱(例如 Contoso),在"組織單位"字段中鍵入組織單位(例如"銷(xiāo)售部")�,然后單擊"下一步"。
注意:這些信息將放在證書(shū)申請(qǐng)中,因此應(yīng)確保它的正確性�。CA 將驗(yàn)證這些信息并將其放在證書(shū)中。瀏覽您的Web站點(diǎn)的用戶需要查看這些信息�,以便決定他們是否接受證書(shū)。
10. 在"公用名"字段中�,鍵入您的站點(diǎn)的公用名,然后單擊"下一步"�。
重要說(shuō)明:公用名是證書(shū)最后的最重要信息之一。它是Web站點(diǎn)的DNS名稱(即用戶在瀏覽您的站點(diǎn)時(shí)鍵入的名稱)�。如果證書(shū)名稱與站點(diǎn)名稱不匹配,當(dāng)用戶瀏覽到您的站點(diǎn)時(shí)�,將報(bào)告證書(shū)問(wèn)題。
如果您的站點(diǎn)在Web上并且被命名為 www.contoso.com�,這就是您應(yīng)當(dāng)指定的公用名。
如果您的站點(diǎn)是內(nèi)部站點(diǎn)�,并且用戶是通過(guò)計(jì)算機(jī)名稱瀏覽的,請(qǐng)輸入計(jì)算機(jī)的NetBIOS或DNS名稱�。
11. 在"國(guó)家/地區(qū)、州/省和城市/縣市"字段中輸入適當(dāng)?shù)男畔?,然后單?下一步"。
12. 輸入證書(shū)申請(qǐng)的文件名�。
該文件包含類似下面這樣的信息。
-----開(kāi)始新的證書(shū)申請(qǐng)-----
MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy…
-----結(jié)束新的證書(shū)申請(qǐng)-----
這是您的證書(shū)申請(qǐng)的Base 64編碼表示形式�。申請(qǐng)中包含輸入到向?qū)е械男畔ⅲ€包括您的公鑰和用您的私鑰簽名的信息�。
將此申請(qǐng)文件發(fā)送到 CA�。然后CA會(huì)使用證書(shū)申請(qǐng)中的公鑰信息驗(yàn)證用您的私鑰簽名的信息�。CA 也驗(yàn)證申請(qǐng)中提供的信息。
當(dāng)您將申請(qǐng)?zhí)峤坏紺A后�,CA將在一個(gè)文件中發(fā)回證書(shū)。然后您應(yīng)當(dāng)重新啟動(dòng)Web服務(wù)器證書(shū)向?qū)А?/p>
13. 單擊"下一步"�。該向?qū)э@示證書(shū)申請(qǐng)中包含的信息概要。
14. 單擊"下一步"�,然后單擊"完成"完成申請(qǐng)過(guò)程。
證書(shū)申請(qǐng)現(xiàn)在可以發(fā)送到CA進(jìn)行驗(yàn)證和處理�。當(dāng)您從CA收到證書(shū)響應(yīng)以后,可以再次使用 IIS 證書(shū)向?qū)?,在Web服務(wù)器上繼續(xù)安裝證書(shū)。
二�、提交證書(shū)申請(qǐng)
此過(guò)程使用Microsoft證書(shū)服務(wù)提交在前面的過(guò)程中生成的證書(shū)申請(qǐng)。
提交證書(shū)申請(qǐng)
1. 使用"記事本"打開(kāi)在前面的過(guò)程中生成的證書(shū)文件�,將它的整個(gè)內(nèi)容復(fù)制到剪貼板。
2. 啟動(dòng)InternetExplorer�,導(dǎo)航到 http://hostname/CertSrv�,其中hostname是運(yùn)行Microsoft證書(shū)服務(wù)的計(jì)算機(jī)的名稱。
3. 單擊"申請(qǐng)證書(shū)"�,然后單擊"下一步"。
4. 在"選擇申請(qǐng)類型"頁(yè)中�,單擊"高級(jí)申請(qǐng)",然后單擊"下一步"�。
5. 在"高級(jí)證書(shū)申請(qǐng)"頁(yè)中�,單擊"使用 base64 編碼的 PKCS#10 文件提交證書(shū)申請(qǐng)"�,然后單擊"下一步"。
6. 在"提交一個(gè)保存的申請(qǐng)"頁(yè)中�,單擊"Base64 編碼的證書(shū)申請(qǐng)(PKCS #10 或 #7)"文本框,按住 CTRL+V�,粘貼先前復(fù)制到剪貼板上的證書(shū)申請(qǐng)。
7. 在"證書(shū)模板"組合框中�,單擊"Web 服務(wù)器"。
8. 單擊"提交"�。
9. 關(guān)閉InternetExplorer。
三�、頒發(fā)證書(shū)
頒發(fā)證書(shū)
1. 從"管理工具"程序組中啟動(dòng)"證書(shū)頒發(fā)機(jī)構(gòu)"工具。
2. 展開(kāi)您的證書(shū)頒發(fā)機(jī)構(gòu)�,然后選擇"待定申請(qǐng)"文件夾。
3. 選擇剛才提交的證書(shū)申請(qǐng)�。
4. 在"操作"菜單中,指向"所有任務(wù)"�,然后單擊"頒發(fā)"。
5. 確認(rèn)證書(shū)顯示在"頒發(fā)的證書(shū)"文件夾中�,然后雙擊查看它。
6. 在"詳細(xì)信息"選項(xiàng)卡中�,單擊"復(fù)制到文件",將證書(shū)保存為Base-64編碼的X.509證書(shū)�。
7. 關(guān)閉證書(shū)的屬性窗口。
8. 關(guān)閉"證書(shū)頒發(fā)機(jī)構(gòu)"工具�。
四�、在Web服務(wù)器上安裝證書(shū)
此過(guò)程在Web服務(wù)器上安裝在前面的過(guò)程中頒發(fā)的證書(shū)�。
在Web服務(wù)器上安裝證書(shū)
1. 如果Internet信息服務(wù)尚未運(yùn)行,則啟動(dòng)它�。
2. 展開(kāi)您的服務(wù)器名稱,選擇要安裝證書(shū)的Web站點(diǎn)�。
3. 右擊該Web站點(diǎn),然后單擊"屬性"�。
4. 單擊"目錄安全性"選項(xiàng)卡。
5. 單擊"服務(wù)器證書(shū)"啟動(dòng)Web服務(wù)器證書(shū)向?qū)А?/p>
6. 單擊"處理待定申請(qǐng)和安裝證書(shū)"�,然后單擊"下一步"。
7. 輸入包含CA響應(yīng)的文件的路徑和文件名�,然后單擊"下一步"。
8. 檢查證書(shū)概述�,單擊"下一步",然后單擊"完成"�。
證書(shū)現(xiàn)在安裝在Web服務(wù)器上。
五�、將資源配置為要求SSL訪問(wèn)
此過(guò)程使用Internet服務(wù)管理器,將虛擬目錄配置為要求SSL訪問(wèn)�。您可以為特定的文件、目錄或虛擬目錄要求使用SSL�??蛻舳吮仨毷褂肏TTPS協(xié)議訪問(wèn)所有這類資源。
關(guān)鍵詞標(biāo)簽:Web安全,服務(wù)器
ISAPI Rewrite實(shí)現(xiàn)IIS圖片防盜鏈
IIS6.0下配置MySQL+PHP5+Zend+phpMyAdmin
在Windows服務(wù)器上快速架設(shè)視頻編解碼器全攻略
win2000server IIS和tomcat5多站點(diǎn)配置