第12章 WEB服務器的安裝與配置

1、第第12章章 web服務器的安裝與配置服務器的安裝與配置 12.1 web服務概述 www（world wide web，也稱web或萬維網(wǎng)）是internet 上集文本、聲音、動畫、視頻等多種媒體信息于一身的信息服務系 統(tǒng)。整個系統(tǒng)由web服務器、瀏覽器及通信協(xié)議三部分組成。它 是建立在客戶機/服務器模型之上，以http和html為基礎，用戶 可以在世界范圍內利用統(tǒng)一界面的瀏覽器進行訪問的一種特殊的結 構框架。web服務是當前應用最廣泛的網(wǎng)絡服務。 www采用的通信協(xié)議是超文本傳輸協(xié)議（hypertext transfer protocol，http），它可以傳輸任意類型的數(shù)據(jù)對象， 是in

2、ternet發(fā)布多媒體信息的主要應用層協(xié)議。 www中的信息資源主要由一篇篇的網(wǎng)頁為基本元素構成， 所有網(wǎng)頁采用超文本標記語言（hypertext markup language ， html）來編寫，html對web頁的內容、格式及web頁中的超鏈 接進行描述。web頁間采用超級文本（hypertext）的格式互相鏈 接。通過這些鏈接可從這一個網(wǎng)頁跳轉到另一個網(wǎng)頁上，這也就是 所謂的超鏈接。 internet中的網(wǎng)站成千上萬，為了準確查找。人們采用了統(tǒng)一 資源定位器（uniform resource locator，url）在全世界唯一標 識某個網(wǎng)絡資源。其描述格式為： 協(xié)議:/主機名稱/路

3、徑名/文件名:端口號 例如，http:/，客戶程序首先看到http（超文本 傳輸協(xié)議），知道處理的是html連接，接下來的是 站點地址（對應某一個特定的ip地址，通過第11章dns服務解 析），http默認使用的tcp協(xié)議端口為80，可省略不寫。 12.2 web服務器的安裝與配置 12.2.1 安裝web服務器 任務一：安裝iis 6.0 安裝web服務器。 操作步驟： （1）選擇“開始”“設置”“控制面板”“添加或刪除程 序”“添加/刪除windows組件”命令，打開“windows組件向導”對話 框，如圖12-1所示。在列表框中選擇“應用程序服務器”組件，單擊“詳 細信息”按鈕。 圖12

4、-1 “windows組件向導”對話框 （2）在“應用程序服務器”對話框中選擇“internet信息服務（iis）” 復選框，單擊“詳細信息”按鈕，如圖12-2所示。 圖12-2 “應用程序服務器”對話框 （3）在“internet信息服務（iis）”對話框中選擇“萬維網(wǎng)服務”復選 框，單擊“確定”按鈕開始安裝，如圖12-3所示。 （4）完成安裝后，系統(tǒng)會在“開始”“程序”“管理工具”程序組 中會添加一項“internet信息服務管理器”命令，此時服務器的web服務會 自動啟動。 圖12-3 “internet信息服務（iis）”對話框 12.2.2 iis 6.0基本配置 選擇“開始”“程序

5、”“管理工具”“internet信息服務（iis） 管理器”命令，打開“internet信息服務（iis）管理器”窗口，如圖12-4所 示。 圖12-4 internet信息服務管理器 與windows 2000 server和windows xp professional中的iis不同，基 于windows server 2003的iis 6.0是以高度安全和鎖定模式安裝的。默認 情況下，iis僅服務于靜態(tài)網(wǎng)頁內容，這意味著asp、asp.net、webdav 等功能將不能使用。如果需要這些功能，必須通過手工方式進行啟用。所 以應該在安裝iis后需要啟用所需的服務。 在internet信息服

6、務管理器窗口中選擇“web服務擴展”選項，在其右 側列表中將顯示iis 6.0提供的服務功能。如果要啟用某一功能（如active server pages），可在選取該名稱后，將“狀況”改為“允許”即可，如 圖12-5所示。 圖12-5 啟用iis 6.0中所需的功能 12.2.3 配置web服務器 1使用默認站點 安裝iis時，系統(tǒng)將自動建立一個默認網(wǎng)站，用于測試iis是否能夠正常 運行。默認網(wǎng)站的路徑為d:inetpubwwwroot，其中d:為windows server 2003的安裝分區(qū)。將想要發(fā)布網(wǎng)站的內容全部復制到默認網(wǎng)站的主目錄下， 這樣可以不需要做太多的設置就可以完成對一個w

7、eb站點的發(fā)布。 2新建網(wǎng)站 （1）打開internet信息服務管理器窗口，右擊網(wǎng)站，在彈出的菜單中 選擇“新建”“網(wǎng)站”命令，打開“網(wǎng)站創(chuàng)建向導”對話框，單擊“下 一步”按鈕繼續(xù)。 （2）在“網(wǎng)站描述”文本框中輸入說明文字，單擊“下一步”按鈕繼續(xù)， 打開如圖12-6所示窗口，輸入新建web站點的ip地址和tcp端口號。如果 通過主機頭文件將其他站點添加到單一ip地址，必須指定主機頭文件名稱。 圖12-6 設置網(wǎng)站ip地址與tcp端口 （3）單擊“下一步”按鈕，打開如圖12-7所示的對話框，輸入站點的主 目錄路徑。 圖12-7 設置網(wǎng)站主目錄 （4）單擊“下一步”按鈕，在如圖12-8所示的對話

8、框中，設置web站點 的訪問權限。一般要選擇“讀取”復選框，若網(wǎng)站使用了腳本語言，還需 選擇“運行腳本（如asp）”復選框。為保證網(wǎng)站安全，建議不要選擇 “寫入”復選框，然后單擊“下一步”按鈕完成設置。 圖12-8 設置網(wǎng)站訪問權限 （5）這樣，web站點已經(jīng)發(fā)布成功，可通過在瀏覽器地址欄中輸入 3打開網(wǎng)站首頁（首頁文件名必須是default.htm、 default.asp或index.htm）。若要通過域名方式訪問網(wǎng)站，需向dns服務器 中添加相關記錄，方法參看第11章。 3新建虛擬目錄 在網(wǎng)站建設過程中，可能會因為安全原因或空間原因，網(wǎng)站的內容需 要存放

9、在不同的硬盤甚至不同的計算機上，通過虛擬目錄技術可以將這些 目錄映射為同一個網(wǎng)站的子目錄，就好象是物理上的硬盤真正存在這樣的 子目錄一樣。對虛擬目錄進行訪問時，只要在主站的訪問地址后加上虛擬 目錄名就可以了。 任務二：新建虛擬目錄 在上面創(chuàng)建的主站“2003”下面創(chuàng)建虛擬目錄，將虛擬目錄的實際目錄 放在c盤上。 操作步驟： （1）在internet信息服務管理器上右擊前面新建的站點“2003”，在彈 出的快捷菜單中執(zhí)行“新建”“虛擬目錄”命令，打開虛擬目錄創(chuàng)建向 導。 （2）在打開的如圖12-9所示的對話框中輸入虛擬目錄的別名，然后單 擊“下一步”按鈕。 （3）在“網(wǎng)站內容目錄”文本框中輸入虛

10、擬目錄的實際位置，單擊 “下一步”按鈕。在“虛擬目錄訪問權限”對話框中設置訪問虛擬目錄的 權限，單擊“下一步”按鈕后完成虛擬目錄的創(chuàng)建。 （4）在瀏覽器地址欄中輸入3/xuni，即可實現(xiàn)對虛擬 目錄中內容的訪問。 圖12-9 輸入虛擬目錄別名 12.2.4 web站點的管理 web站點建立好之后，可能在實際的工作中還要再次進行配置。 打開internet信息服務器窗口，在所要管理的網(wǎng)站上右擊，在彈出的快 捷菜單中執(zhí)行“屬性”命令，打開該站點的“屬性”對話框，如圖12-10所 示。 圖12-10 “屬性”對話框 1“網(wǎng)站”選項卡 如圖12-9所示，在該選項卡中主

11、要設置以下內容。 “描述”：該網(wǎng)站的說明文字，用它來表示網(wǎng)站名稱。 “ip地址”：設置此網(wǎng)站使用的ip地址，如果構架此網(wǎng)站的計算機中 設置了多個ip地址，可以選擇對應的ip地址。若網(wǎng)站要使用多個ip地址或 與其他網(wǎng)站共用一個ip地址，則可以通過“高級”按鈕設置。 “tcp端口”：確定正在運行的服務的端口，默認值為80。 “連接超時”：設置服務器斷開未活動用戶的時間。 “啟用日志記錄”：表示要記錄用戶活動的細節(jié)，在“活動日志格式” 下拉列表框中可選擇日志文件使用的格式。單擊“屬性”按鈕可進一步設 置記錄用戶信息所包含的內容，如用戶ip、訪問時間、服務器名稱等。默 認的日志文件保存在windows

12、 system32 log files子目錄下。良好的 管理習慣應注重日志功能的使用，通過日志可以監(jiān)視訪問本服務器的用戶、 內容等，對不正常的連接和訪問加以監(jiān)控和限制。 2“性能”選項卡 “帶寬限制”：如果計算機上設置了多個web站點，或是還 提供其他的internet服務，如文件傳輸、電子郵件等，那么就有必 要根據(jù)各個站點的實際需要，來限制每個站點可以使用的帶寬。要 限制web站點所使用的帶寬，只要選擇“限制網(wǎng)站可以使用的網(wǎng) 絡帶寬”復選框，在“最大帶寬”文本框中輸入設置數(shù)值即可。 “網(wǎng)站連接”：“不受限制”表示允許同時發(fā)生的連接數(shù)不受限制； “連接限制為”表示限制同時連接到該站點的連接數(shù)，

13、在文本框中輸入允 許的最大連接數(shù)。 3“主目錄”選項卡 如圖12-11所示，在該選項卡中可以設置網(wǎng)站主目錄及應用程序等。 “此資源的內容來自”：用于指定主目錄所在的位置?！按擞嬎銠C上 的目錄”表示站點內容來自本地計算機；“另一臺計算機上的共享”可以 允許用戶查看或更新與該計算機有活動連接的其他計算機上的web內容； “重定向到url”表示將連接請求重新定向到別的網(wǎng)絡資源，如某個文件、 目錄、虛擬目錄或其他站點等。 圖12-11 “主目錄”選項卡 “執(zhí)行權限”：設置對該網(wǎng)站或虛擬目錄資源進行何種級別的程序執(zhí) 行?！盁o”表示只允許訪問靜態(tài)文件，如html或圖像文件；“純腳本” 表示只允許運行腳本，

14、如asp腳本；“腳本和可執(zhí)行程序”表示可以訪問 或執(zhí)行各種文件類型，如服務器端存儲的cgi程序。 應用程序池：選擇運行應用程序的保護方式。 4“文檔”選項卡 “啟動默認內容文檔”：當用戶通過瀏覽器連接至web站點時，若未 指定要瀏覽哪一個文件，則web服務器會自動傳送該站點的默認文檔供用 戶瀏覽，例如我們通常將web站點主頁default.htm、default.asp和 index.htm設為默認文檔，當瀏覽web站點時會自動連接到主頁上。 “啟用文檔頁腳”：選擇此項，系統(tǒng)會自動將一個html格式的頁腳 附加到web服務器所發(fā)送的每個文檔中。頁腳文件不是一個完整的html 文檔，只包括需要用

15、于格式化頁腳內容外觀和功能的html標簽。 5“目錄安全性”選項卡 身份驗證和訪問控制：單擊“編輯”按鈕，打開“身份驗證方法”對 話框，在該對話框中可以設置是否啟用匿名訪問及匿名訪問時使用的用戶 名和密碼。另外還可以設置以什么樣的身份驗證方法來訪問頁面。 ip地址和域名控制：使用ip地址或域名授權或拒絕對資源的訪問。 “安全通信”：通過使用服務器證書和證書映射來提供保護客戶端與web 服務器之間通信安全的途徑。單擊“服務器證書”按鈕可以啟動web服務 器證書向導來獲取服務器證書。 任務三：設置ip地址限制 為網(wǎng)站設置訪問權限，拒絕210.200.120.*的用戶訪問該網(wǎng)站。 操作步驟： （1）

16、單擊“編輯”按鈕，打開“ip地址和域名限制”對話框。 （2）選擇“授權訪問”單選按鈕，單擊“添加”按鈕，打開“拒絕訪 問”對話框。 （3）選擇“一組計算機”選項，在“網(wǎng)絡標識”文本框中輸入 “210.200.120”，“子網(wǎng)掩碼文本框”中輸入“”，單擊“確 定”按鈕后如圖12-12所示。 （4）單擊“確定”按鈕完成對該網(wǎng)站的ip地址訪問限制。 圖12-12 設置ip地址限制 12.2.5 創(chuàng)建安全的web站點 隨著windows server 2003操作系統(tǒng)的推出，windows平臺 的安全性和易用性大大增強。然而，在默認情況下，iis使用http 協(xié)議以明文形式傳

17、輸數(shù)據(jù)，沒有采取任何加密措施，用戶的重要數(shù) 據(jù)很容易被竊取，為了保護網(wǎng)絡中的重要數(shù)據(jù)，可以使用ssl來增 強iis服務器的通信安全。 ssl（security socket layer）全稱是加密套接字協(xié)議層，它 位于http協(xié)議層和tcp協(xié)議層之間，用于建立用戶與服務器之間 的加密通信，確保所傳遞信息的安全性，同時ssl安全機制是依靠 數(shù)字證書來實現(xiàn)的。ssl基于公用密鑰和私人密鑰，用戶使用公用 密鑰來加密數(shù)據(jù)，但解密數(shù)據(jù)必須使用相應的私人密鑰。使用ssl 安全機制的通信過程如下：用戶與iis服務器建立連接后，服務器 會把數(shù)字證書與公用密鑰發(fā)送給用戶，用戶端生成會話密鑰，并用 公共密鑰對會話

18、密鑰進行加密，然后傳遞給服務器，服務器端用私 人密鑰進行解密，這樣，用戶端和服務器端就建立了一條安全通道， 只有ssl允許的用戶才能與iis服務器進行通信。ssl網(wǎng)站不同于一 般的web站點，它使用的是https協(xié)議，而不是普通的http協(xié)議。 因此它的url格式為：https:/網(wǎng)站域名。 1安裝證書服務 要想使用ssl安全機制功能，首先必須為windows server 2003系統(tǒng) 安裝證書服務。 （1）執(zhí)行“開始”“設置”“控制面板”“添加或刪除程 序”“添加/刪除windows組件”命令，打開“windows組件向導”窗口， 在列表中選擇“證書服務”組件。如圖12-13所示。在彈出的

19、對話框中單擊 “是”按鈕，然后單擊“下一步”按鈕。 圖12-13 選擇“證書服務”組件 （2）在“ca類型”對話框中選擇“獨立根ca”，如圖12-14所示，單擊 “下一步”按鈕。 圖12-14 選擇ca類型 （3）在“ca識別信息”對話框中輸入此ca的公用名稱，并設置其有效期 限，如圖12-15所示，單擊“下一步”按鈕。 圖12-15 輸入ca識別信息 （4）在“證書數(shù)據(jù)庫設置”對話框中指定證書數(shù)據(jù)庫和證書數(shù)據(jù)庫日志 的位置，如圖12-16所示，單擊“下一步”按鈕。 （5）彈出一個對話框，提示要暫時停止internet信息服務，單擊“是”按 鈕即可開始安裝，單擊“完成”按鈕完成組件的安裝。 圖

20、12-16 證書數(shù)據(jù)庫設置 2創(chuàng)建請求證書文件 （1）執(zhí)行“開始”“程序”“管理工具”“internet信息服務 （iis）管理器”命令，打開internet信息服務管理器窗口，選取要使用ssl 的網(wǎng)站，如圖12-17所示。 圖12-17 iis管理器窗口 （2）單擊鼠標右鍵，在彈出的快捷菜單中執(zhí)行“屬性”命令。在打開的 站點屬性對話框中選擇“目錄安全性”選項卡，如圖12-18所示。 圖12-18 “目錄安全性”選項卡 （3）單擊“服務器證書”按鈕，打開“歡迎使用web服務器證書向導” 對話框，如圖12-19所示，單擊“下一步”按鈕。 圖12-19 web服務器證書向導 （4）在“服務器證書”

21、對話框中選擇“新建證書”單選按鈕（若已經(jīng)為 當前服務器申請了證書，選擇“分配現(xiàn)有證書”或“從密鑰管理器備份導 入證書”），如圖12-20所示，單擊“下一步”按鈕。 圖12-20 申請新證書 （5）打開如圖12-21所示對話框，選擇“現(xiàn)在準備證書請求，但稍后發(fā)送” 單選按鈕，單擊“下一步”按鈕。 圖12-21 選擇證書的請求方式 （6）打開如圖12-22所示對話框，在“名稱”文本框中輸入一個便于記憶 的證書名稱，單擊“下一步”按鈕。 圖12-22 輸入新證書的名稱 （7）打開如圖12-23所示對話框，在“單位”和“部門”文本框中輸入相 應的名稱，單擊“下一步”按鈕。 圖12-23 輸入單位和部門

22、的名稱 （8）打開如圖12-24所示對話框，在“公用名稱”文本框中輸入安裝證書 的服務器的域名或netbios名，單擊“下一步”按鈕。 圖12-24 輸入公用名稱 （9）打開如圖12-25所示對話框，輸入地理信息，單擊“下一步”按鈕。 圖12-25 輸入地理信息 （10）在打開的如圖12-26所示的對話框中，選擇證書文件的存儲位置， 單擊“下一步”按鈕。 圖12-26 選擇證書的存儲位置 （11）打開如圖12-27所示對話框，在該對話框中顯示了所有的設置信息， 確認無誤后單擊“下一步”按鈕。 （12）打開“完成web服務器證書向導”對話框，單擊“完成”按鈕， 完成對證書的申請。 圖12-27

23、確認設置信息 3申請服務器證書 完成上述設置后，還要把創(chuàng)建的請求證書文件提交給證書服務器。 （1）打開ie瀏覽器，在地址欄中輸入3/certsrv，打 開如圖12-28所示的申請證書頁面。 圖12-28 證書申請頁面 （2）選擇“申請一個證書”，打開如圖12-29所示的頁面。 圖12-29 申請證書類型頁面 （3）選擇“高級證書申請”，打開如圖12-30所示的頁面。 圖12-30 高級證書申請頁面 （4）選擇“使用base64編碼的cmc或pkcs#10文件提交一個證書申請， 或使用base64編碼的pkcs#7文件續(xù)訂證書申請”，打開如圖12-31所示 的頁

24、面。 圖12-31 輸入證書 （5）用記事本打開圖12-26中申請的證書文件（c:certsrv.txt）， 將其全部內容復制并粘貼到“保存的申請”下面的列表框中，單擊 “提交”按鈕，打開如圖12-32所示的頁面。 圖12-32 證書掛起頁面 4頒發(fā)服務器證書 （1）執(zhí)行“開始”“程序”“管理工具”“證書頒發(fā)機構”命 令，打開證書頒發(fā)機構窗口，在主窗口中展開樹狀目錄，選擇“掛起的申 請”，如圖12-33所示。 圖12-33 證書頒發(fā)機構窗口 （2）選擇剛才申請的證書，單擊鼠標右鍵，在彈出的快捷菜單中執(zhí)行 “所有任務”“頒發(fā)”命令。頒發(fā)成功后，在左側窗格中選擇“頒發(fā)的 證書”，在右側窗格中將顯示已頒發(fā)的證書，如圖12-34所示。 圖12-34 已頒發(fā)的證書 （3）雙擊已頒發(fā)的證書，在彈出的“證書”對話框中，選擇“詳細信息” 選項卡，如圖12-35所示。 圖12-35 證書詳細信息 （4）