資深網(wǎng)管教你打造SSL加密的安全站點(diǎn)

使用SSL協(xié)議有什么好處呢？SSL平安協(xié)議工作在網(wǎng)絡(luò)傳輸層，適用于，telnet,FTP和NNTP等效勞，不過SSL最廣泛的應(yīng)用還是WEB平安訪問，如網(wǎng)上交易，政府辦公等。本文將由筆者為各位讀者介紹使用SSL加密協(xié)議建立WWW站點(diǎn)的全過程，為了保證技術(shù)的先進(jìn)性我們介紹在windows2003的IIS6上建立SSL加密的方法，當(dāng)然在windows2000的IIS5上建立SSL加密步驟根本相同。一、先決條件：要想成功架設(shè)SSL平安站點(diǎn)關(guān)鍵要具備以下幾個條件。1、需要從可信的證書方法機(jī)構(gòu)CA獲取效勞器證書。2、必須在WEB效勞器上安裝效勞器證書。3、必須在WEB效勞器上啟用SSL功能。4、客戶端〔瀏覽器端〕必須同WEB效勞器信任同一個證書認(rèn)證機(jī)構(gòu)，即需要安裝CA證書。二、準(zhǔn)備工作：在實施SSL平安站點(diǎn)之前需要我們做一些準(zhǔn)備工作。第一步：默認(rèn)情況下IIS6組件是安裝在windows2003中的，如果沒有該組件請自行安裝。第二步：我們建立的IIS站點(diǎn)默認(rèn)是使用協(xié)議的，翻開瀏覽器在地址處輸入“://本機(jī)IP〞〔不含引號〕就可以訪問?！踩鐖D1〕圖1第三步：安裝證書效勞，通過控制面板中的添加/刪除程序，選擇添加/刪除windows組件。在windows組件向?qū)е姓业健白C書效勞〞，前面打勾后點(diǎn)“下一步〞?！踩鐖D2〕圖2點(diǎn)擊看大圖小提示：證書效勞有兩個子選項“證書效勞Web注冊支持〞和“證書效勞頒發(fā)機(jī)構(gòu)(CA)〞。為了方便這兩個功能都需要安裝。第四步：系統(tǒng)會彈出“安裝證書效勞后計算機(jī)名和區(qū)域成員身份會出現(xiàn)改變，是否繼續(xù)〞的提示，我們選“是〞即可?！踩鐖D3〕圖3第五步：在windows組件向?qū)A類型設(shè)置窗口中選擇獨(dú)立根CA。〔如圖4〕圖4第六步：CA識別信息處的CA公用名稱輸入本地計算機(jī)的IP地址，如5，其他設(shè)置保存默認(rèn)信息即可?！踩鐖D5〕圖5第七步：輸入證書數(shù)據(jù)庫等信息的保存路徑，仍然選擇默認(rèn)位置系統(tǒng)目錄的system32下的certlog即可。〔如圖6〕圖6點(diǎn)擊看大圖第八步：下一步后出現(xiàn)“要完成安裝，證書效勞必須暫時停止IIS效勞〞的提示。選擇“是〞后繼續(xù)。〔如圖7〕圖7第九步：開始復(fù)制組件文件到本地硬盤。〔如圖8〕圖8第十步：安裝過程中會出現(xiàn)缺少文件的提示，我們需要將windows2003系統(tǒng)光盤插入光驅(qū)中才能繼續(xù)?！踩鐖D9〕圖9第十一步：繼續(xù)復(fù)制文件完成windows組件的安裝工作?！踩鐖D10〕圖10三、配置證書：下面就要為各位讀者介紹如何通過IIS證書向?qū)渲梦覀冃枰淖C書文件。第一步：通過“管理工具〞中的IIS管理器啟動IIS編輯器。第二步：在默認(rèn)網(wǎng)站上點(diǎn)鼠標(biāo)右鍵選擇“屬性〞?！踩鐖D11〕圖11點(diǎn)擊看大圖第三步：在默認(rèn)網(wǎng)站屬性窗口中點(diǎn)“目錄平安性〞標(biāo)簽，然后在平安通信處點(diǎn)“效勞器證書〞按鈕。〔如圖12〕圖12第四步：系統(tǒng)將自動翻開WEB效勞器證書向?qū)??！踩鐖D13〕圖13第五步：效勞器證書處選擇“新建證書〞，然后下一步繼續(xù)。〔如圖14〕圖14第六步：延遲或立即請求處選擇“現(xiàn)在準(zhǔn)備證書請求，但稍后發(fā)送〞?！踩鐖D15〕圖15第七步：設(shè)置證書的名稱和特定位長，名稱保持默認(rèn)網(wǎng)站即可，在位長處我們通過下拉菜單項選擇擇512?！踩鐖D16〕圖16小提示：位長主要用于平安加密，位長越來那么越平安，不過傳輸效率會受到一定的影響，網(wǎng)站性能也受影響。一般來說選擇512已經(jīng)足夠了。第八步：輸入單位信息，包括單位和部門?！踩鐖D17〕圖17第九步：在站點(diǎn)公用名稱窗口輸入localhost?！踩鐖D18〕圖18第十步：地理信息隨便填寫即可?！踩鐖D19〕圖19第十一步：設(shè)置證書請求的文件名，我們可以將其保存到桌面以便下面步驟調(diào)用方便，保存的文件名為certreq.txt?！踩鐖D20〕圖20第十二步：完成了IIS證書向?qū)渲霉ぷ?，并按照要求將相?yīng)的證書文件保存到桌面。〔如圖21〕圖21四、申請證書：配置好IIS所需的證書文件后就要根據(jù)該證書內(nèi)容進(jìn)行申請了。第一步：翻開IE瀏覽器在地址欄中輸入://5/certsrv/翻開證書效勞界面?！残谄鱅P地址為5〕〔如圖22〕圖22點(diǎn)擊看大圖第二步：點(diǎn)“申請一個證書〞后繼續(xù)。第三步：在申請證書界面選擇“高級證書申請〞。〔如圖23〕圖23點(diǎn)擊看大圖第四步：在高級證書申請界面選擇“使用base64編碼的CMC或PKCS#10文件提交一個證書申請，或繼訂證書申請〞?！踩鐖D24〕圖24點(diǎn)擊看大圖第五步：用記事本翻開上面保存在桌面上的那個certreq.txt文件，將里面的內(nèi)容全部復(fù)制?！踩鐖D25〕圖25第六步：將復(fù)制的全部內(nèi)容粘貼到“提交一個證書申請或續(xù)訂申請〞界面，然后點(diǎn)“提交〞按鈕?！踩鐖D26〕圖26點(diǎn)擊看大圖第七步：成功申請后出現(xiàn)證書掛起提示，說明證書申請已經(jīng)收到，等待管理員通過申請認(rèn)證?！踩鐖D27〕圖27至此我們就完成了證書的申請工作，下面要通過剛剛申請的證書認(rèn)證。五、驗證證書：證書申請后還需要效勞器的管理員手動頒發(fā)該證書才能使之生效。第一步：我們選擇任務(wù)欄的“開始->程序->管理工具->證書頒發(fā)機(jī)構(gòu)〞?！踩鐖D28〕圖28點(diǎn)擊看大圖第二步：在左邊選項中找到“掛起的申請〞?！踩鐖D29〕圖29第三步：查看右邊的列表，剛剛提交的證書申請赫然在目，在待申請的證書上單擊鼠標(biāo)右鍵，彈出菜單中有“所有任務(wù)〞一項，接著選擇子項“頒發(fā)〞。這時這個“待定申請〞就會轉(zhuǎn)移到“頒發(fā)的證書〞下面。第四步：在“頒發(fā)的證書〞下找到剛剛那個證書，雙擊翻開。并在“證書屬性窗口〞的詳細(xì)信息標(biāo)簽中選擇“復(fù)制到文件〞?！踩鐖D30〕圖30第五步：在“證書導(dǎo)出向?qū)Ж曋?，任意選擇一種CER格式導(dǎo)出，比方“DER編碼二進(jìn)制〞并保存成文件。通過以上五步操作我們的IIS證書就通過了系統(tǒng)管理員的審核，下面就可以通過審核過的證書建立SSL加密站點(diǎn)了。六、配置IIS的SSL平安加密功能我們再次來到IIS設(shè)置窗口中啟用SSL平安加密功能。第一步：在默認(rèn)網(wǎng)站屬性窗口中點(diǎn)“目錄平安性〞標(biāo)簽，然后在平安通信處點(diǎn)“效勞器證書〞按鈕。第二步：掛起的證書請求窗口中選擇“處理掛起的請求并安裝證書〞選項?！踩鐖D31〕圖31第三步：通過瀏覽按鈕找到在驗證證書第五步中通過證書導(dǎo)出向?qū)倓偙４娴腄ER編碼格式的文件?！踩鐖D32〕圖32第四步：這時我們就可以設(shè)置SSL參數(shù)了，在平安通信屬性中將〞要求平安通道SSL〞前打上對勾，從而啟用了IIS站點(diǎn)的SSL加密功能?！踩鐖D33〕圖33第五步：再次來到默認(rèn)網(wǎng)站屬性中的網(wǎng)站標(biāo)簽，可以看到SSL端口已經(jīng)配置了端口信息——443。〔如圖34〕圖34至此我們就完成了SSL加密站點(diǎn)的配置工作，客戶端訪問效勞器的IIS網(wǎng)站時所瀏覽的信息是通過加密的，是非常平安的。七、瀏覽SSL加密站點(diǎn)：效勞器上設(shè)置完SSL加密站點(diǎn)功能后我們在客戶機(jī)上通過瀏覽器訪問該站點(diǎn)時就會彈出一個“平安警報〞窗口?！踩鐖D35〕只有信任該證書后才能夠正常瀏覽網(wǎng)站信息?！踩鐖D36〕圖36小提示：在訪問通過SSL加密的站點(diǎn)時所輸入的地址應(yīng)該以s://開頭，例如本文中應(yīng)該使用s://5。如果仍然那使用://5那么會出現(xiàn)“該網(wǎng)頁必須通過平安頻道查看，您要查看的網(wǎng)頁要求在地址中使用"s"。禁止訪問：要求SSL〞的提示?？偨Y(jié)：本文介紹的步驟是建立