IIS网站设置SSL加密机制

5643532

很多朋友都喜欢使用Windows自带的组件IIS来架设自己的Web服务器，然而IIS在默认情况下使用的是HTTP协议，这种协议是以明文形式来传输数据的，这样黑客很容易窃取你或朋友在信息传输过程中的一些重要信息，为了避免信息遭受他人的非法窃取，因此非常有必要给你的IIS网站设置SSL加密机制。
SSL加密原理
     SSL（Security Socket Layer）的中文意思是“安全套接层协议”，它是由Netscape公司推出的一种安全通信，SSL可以让客户机和服务器之间建立一条加密的安全通道，能保证所传输的信息不被他人非法窃取，SSL安全加密机制主要是使用数字证书来实现的。当采用了SSL加密机制后，客户机首先要与IIS服务器建立通信连接，IIS服务器会把数字证书和公开密钥发送给客户机，与客户机交换密码，一般选用的是RSA密码算法（也有选用Diffie-Hellman和Fortezza-KEA密码算法），当身份验证确认后，这个公开密钥对用户端的会话密钥进行加密并将其传送到IIS服务器，IIS服务器接到这个会话密钥后会对会话密钥进行解密，这时用户就和IIS服务器建立了一条加密通信通道。
启用SSL加密机制
     下文将以IIS 6服务器为例介绍SSL安全加密机制的启用过程。
     第1步：打开“Internet信息服务（IIS）管理器”，然后在IIS管理器窗口中展开“网站”，接着右击需要启用SSL安全加密机制的网站并在其右键菜单中点击“属性”；
     第2步：在网站属性窗口中依次点击“目录安全性标签→服务器证书”，然后在弹出的“欢迎使用Web服务器证书向导”窗口中点击“下一步”，接着在出现的“服务器证书”窗口中选中“新建证书”项并点击“下一步”，在出现的“延迟或立即请示”窗口中选中“现在准备证书请求，但稍后发送”项，点击“下一步”，在出现的“名称和安全性设置”窗口给新的证书取一个“名称”并设置密码的“位长”。
     注意：位长越长其安全性越高，但如果位长设置过大，则会影响通信速度。
     第3步：点击“下一步”，在出现的“单位信息”中输入你的单位及部门名称，然后点击“下一步”，并在出现的“站点公用名称”窗口中设置“公用名称”，设置方法是：如果服务器位于Internet上则应输入有效的DNS名，如果是位于内部网络则只要使用计算机的NetBIOS名；
     第4步：点击“下一步”后，在出现的“地理信息”中输入你所在的地理信息，接着点击“下一步”，在出现的“证书请求文件名”窗口中点击“浏览”，我们可以设置证书保存的位置，最后根据提示完成最后的步骤即可完成证书请求文件的生成。
     第5步：打开“Windows组件向导”窗口，然后在“组件”列表下选中“证书服务”，接着选中CA类型，例如选中“独立根CA”，然后设置CA服务器的名字和有效期，指定证书数据库和证书数据库日志的保存位置，这样将完成证书服务的安装。
     第6步：在浏览器中输入http://localhost/CertSrv/default.asp，在打开的页面中点击“申请一个证书”，然后在出现的页面中点击“高级证书申请”链接，接着在打开的页面中点击“使用base64编码的CMC或PKCS#10文件提交….”链接，然后打开刚才生成的证书请求文件，并将文件内容复制粘贴到所打开的“保存的申请”页面下的文本框中，点击“提交”。
     第7步：在提交后，证书申请后其状态是处于挂起的状态，需要颁发后才能生效，依次点击“控制面板→管理工具→证书颁发机构”，展开左侧窗口中的目录，然后选中“挂起的申请”，接着在右侧窗口中选中挂起的证书并点击“所有任务→颁发”。选中“颁发的证书”，然后在右侧窗口中双击刚刚颁发的证书，在打开的“证书”窗口点击“详细信息”标签，然后点击“复制到文件”按钮，在弹出的证书导出向导窗口中一路点击“下一步”，然后在出现的“要导出的文件”窗口设置证书的保存路径，点击“完成”即可。
     第8步：在IIS管理器的“目录安全性”标签页中点击“服务器证书”按钮，然后在出现的“挂起的证书请求”窗口中选中“处理挂起的请求并安装证书”项，然后点击“下一步”，在出现的窗口中指定刚才证书导出的路径，采用默认设置直到点击“完成”为止。
     第9步：在“目录安全性”标签页中的“安全通信”栏中点击“编辑”按钮，然后选中“要求安全通道(SSL)”项以及选中“要求128位加密”项并点击“确定”。
     第10步：在“目录安全性”标签页中的“身份验证和访问控制”栏中点击“编辑”，然后在出现的窗口中取消“启用匿名访问”和“集成Windows身份验证”项，须要选中“基本身份验证”，最后点击“确定”即可。