快速配置Windows 2003平台下实现 IIS（WEB）站点的安全（SSL加密技术！）

a2005147

【实验名称】
快速配置Windows 2003平台下实现 IIS（WEB）站点的安全（SSL加密技术！）
【实验基本概念】
A. 对于公用信息--------------------www.Sohu.com www.163.com 我们一般不需要进行加密！
B. 然而对于一些比如：淘宝，京东，支付宝，网上银行等一些安全的交易的网站我们则必须保证其绝对的安全性，使用IIS加密IIS后，自己和站点之间的信息只有自己和网站，其他用户监控不到---加密站点—SSL—安全套接字层协议
C.从商业机构到政府部门再到个人家庭，越来越多的用户使用网络来处理事务，交流信息和进行交易活动，这些都不可避免地涉及到网络安全问题，尤其是认证和加密问题。特别是在网上进行购物交易活动中，必须保证交易双方能够互相确认身份，安全地传输敏感信息，事后不能否认交易行为，同时还要防止他人截获篡改宝贵信息或假冒交易方。
如何提高站点信息的安全性呢？目前最简单的解决方案就是利用SSL安全技术来实现WEB的安全访问。
小提示：使用SSL协议有什么好处呢？SSL安全协议工作在网络传输层，适用于HTTP，加把锁telnet,FTP和NNTP等服务，不过SSL最广泛的应用还是WEB安全访问，如网上交易，政府办公等。
【实验原理】
SSL
n 认证用户和服务器，确保数据发送到正确的客户机和服务器
n 加密数据以防止数据中途被窃取
n 维护数据的完整性，确保数据在传输过程中不被改变
Https
n 使用SSL来实现安全的通信
https://站点IP或者域名
一、先决条件：
要想成功架设SSL安全WEB站点关键要具备以下几个条件。
1、需要从可信的证书办发机构CA获取服务器证书。--申请证书
    2、必须在WEB服务器上安装服务器证书。--安装在IIS6.0站点
    3、必须在WEB服务器上启用SSL功能。---使用的端口号：443---
    4、客户端（浏览器端）必须同WEB服务器信任同一个证书认证机构，即需要安装CA证书。---客户端申请证书---安装在客户机上 https://
备注：CA:Certificate Authority,证书权威机构,也称为证书颁发机构或认证中心)是PKI中受信任的第三方实体.负责证书颁发、吊销、更新和续订等证书管理任务和CRL发布和事件日志记录等几项重要的任务。
Public Key Infrastructure，公钥基础结构
通过公钥技术与数字证书确保信息安全的体系
由公钥加密技术、数字证书、CA、RA等共同组成
PKI体系能够实现的功能有
n 身份认证
n 数据完整性
n 数据机密性
n 操作的不可否认性
CA（Certificate Authority，证书颁发机构）
CA的核心功能是颁发和管理数字证书
CA的作用
n 处理证书申请
n 鉴定申请者是否有资格接收证书
n 证书的发放
n 证书的更新
n 接收最终用户数字证书的查询、撤销
n 产生和发布证书吊销列表（CRL）
n 数字证书的归档
n 密钥归档
n 历史数据归档
【实验拓扑图】


【实验具体步骤】
二、准备工作：
在实施SSL安全站点之前需要我们做一些准备工作。
第一步：默认情况下IIS6.0组件是安装在windows2003中的，如果没有该组件请自行安装。如下图所示；

创建正向区域，并添加dns，及www主机记录；

安装IIS成功之后，打开IIS6.0并更改默认站点首页；

第二步：我们建立的IIS站点默认是使用HTTP协议的，打开浏览器在地址处输入“http://本机IP”（不含引号）就可以访问。（如图1）

第三步：安装证书服务，通过控制面板中的添加/删除程序，选择添加/删除windows组件。在windows组件向导中找到“证书服务”，前面打勾后点“下一步”。（如图2）
小提示：证书服务有两个子选项“证书服务Web注册支持”和“证书服务颁发机构(CA)”。为了方便这两个功能都需要安装。

第五步：在windows组件向导CA类型设置窗口中选择独立根CA。（如图4）

第六步：CA识别信息处的CA公用名称输入本地计算机的IP地址，如10.91.30.45，其他设置保留默认信息即可。（如图5）

第七步：输入证书数据库等信息的保存路径，仍然选择默认位置系统目录的system32下的certlog即可。（如图6）

第八步：下一步后出现“要完成安装，证书服务必须暂时停止IIS服务”的提示。选择“是”后继续。（如图7）

第九步：开始复制组件文件到本地硬盘。（如图8）

第十步：继续复制文件完成windows组件的安装工作。（如图10）

三、配置证书：
下面就要为各位介绍如何通过IIS证书向导配置我们需要的证书文件。
第一步：通过“管理工具”中的IIS管理器启动IIS编辑器。
第二步：在默认网站上点鼠标右键选择“属性”。（如图11）

第三步：在默认网站属性窗口中点“目录安全性”标签，然后在安全通信处点“服务器证书”按钮。（如图12）

第四步：系统将自动打开WEB服务器证书向导。（如图13）

第五步：服务器证书处选择“新建证书”，然后下一步继续。（如图14
第六步：延迟或立即请求处选择“现在准备证书请求，但稍后发送”。（如图15）

第七步：设置证书的名称和特定位长，名称保持默认网站即可，在位长处我们通过下拉菜单选择512位长，而windows 2008选择的位长为1024位长！（如图16）

小提示：位长主要用于安全加密，位长越来则越安全，不过传输效率会受到一定的影响，网站性能也受影响。一般来说选择512已经足够了。
第八步：输入单位信息，包括单位和部门。（如图17）

第九步：在站点公用名称窗口输入localhost。（如图18）

第十步：地理信息随便填写即可。（如图19）

第十一步：设置证书请求的文件名，我们可以将其保存到桌面以便下面步骤调用方便，保存的文件名为certreq.txt。（如图20）

第十二步：完成了IIS证书向导配置工作，并按照要求将相应的证书文件保存到桌面。（如图21）

配置好IIS所需的证书文件后就要根据该证书内容进行申请了。
第一步：打开IE浏览器在地址栏中输入http://192.168.16.10/certsrv/打开证书服务界面。（服务器IP地址为192.168.16.10）（如图22）

第二步：点“申请一个证书”后继续。
第三步：在申请证书界面选择“高级证书申请”。（如图23）

第四步：在高级证书申请界面选择“使用base64编码的CMC或PKCS #10文件提交一个证书申请，或继订证书申请”。（如图24）

第五步：用记事本打开上面保存在桌面上的那个certreq.txt文件，将里面的内容全部复制。（如图25
）
第六步：将复制的全部内容粘贴到“提交一个证书申请或续订申请”界面，然后点“提交”按钮。（如图26）

第七步：成功申请后出现证书挂起提示，说明证书申请已经收到，等待管理员通过申请认证。（如图27）

至此我们就完成了证书的申请工作，下面要通过刚刚申请的证书认证。
五、验证证书：
证书申请后还需要服务器的管理员手动颁发该证书才能使之生效。
第一步：我们选择任务栏的“开始->程序->管理工具->证书颁发机构”。（如图28）

第二步：在左边选项中找到“挂起的申请”。（如图29）

第三步：查看右边的列表，刚才提交的证书申请赫然在目，在待申请的证书上单击鼠标右键，弹出菜单中有“所有任务”一项，接着选择子项“颁发”。这时这个“待定申请”就会转移到“颁发的证书”下面。
第四步：在“颁发的证书”下找到刚才那个证书，双击打开。并在“证书属性窗口”的详细信息标签中选择“复制到文件”。（如图30）

第五步：在“证书导出向导”中，任意选择一种CER格式导出，比如“DER 编码二进制”并保存成文件。

通过以上五步操作我们的IIS证书就通过了系统管理员的审核，下面就可以通过审核过的证书建立SSL加密站点了

六、配置IIS的SSL安全加密功能
我们再次来到IIS设置窗口中启用SSL安全加密功能。
第一步：在默认网站属性窗口中点“目录安全性”标签，然后在安全通信处点“服务器证书”按钮。

第二步：挂起的证书请求窗口中选择“处理挂起的请求并安装证书”选项。（如图31）

第三步：通过浏览按钮找到在验证证书第五步中通过证书导出向导刚刚保存的DER编码格式的文件。（如图32）

第四步：这时我们就可以设置SSL参数了，在安全通信属性中将”要求安全通道SSL”前打上对勾，从而启用了IIS站点的SSL加密功能。（如图33）

第五步：再次来到默认网站属性中的网站标签，可以看到SSL端口已经配置了端口信息——443。（如图34）

至此我们就完成了SSL加密站点的配置工作，客户端访问服务器的IIS网站时所浏览的信息是通过加密的，是非常安全的。
七、浏览SSL加密站点：
服务器上设置完SSL加密站点功能后我们在客户机上通过浏览器访问该站点时就会弹出一个“安全警报”窗口。（如图35）只有信任该证书后才能够正常浏览网站信息。（如图36）


小提示：在访问通过SSL加密的站点时所输入的地址应该以https://开头，例如本文中应该使用https://192.168.16.20。如果仍然那使用http://192.168.16.20则会出现“该网页必须通过安全频道查看，您要查看的网页要求在地址中使用"https"。禁止访问：要求SSL”的提示。
【总结】：本文介绍的步骤是建立在windows2003+iis6的基础上的，对于windows2000 Server或者Windows 2000 Advance Server也是可以在IIS5基础上建立SSL加密功能的，设置步骤基本类似。如果你使用的是Windows 2000 Professional版本就不用阅读本文了，因为这个版本不支持IIS的SSL访问。
注意：如果IIS服务器的“安全通信”，选中要求“客户端证书”，那么客户端浏览器要求有同一个CA认证的证书才能访问此网站。

向证书认证机构申请一个浏览器证书

填写必要的信息：


然后在客户端上我们将证书服务器上所生成的证书文件挂在到客户端上，并进行安装！

CA认证后会产生一个例如：lmy.cer 证书文件，在客户端上双击此证书安装

当访问配置SSL的网站时

【实验圆满成功！】