还剩8页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
Web安全如何在Web服务器上设置SSL 安全套接字层SSL是一套提供身份验证、保密性和数据完整性的加密技术SSL最常用来在Web浏览器和Web服务器之间建立安全通信通道它也可以在客户端应用程序和Web服务之间使用要求以下各项介绍了推荐的硬件、软件、网络基础结构、技巧和知识以及您需要的服务包•MicrosoftWindows2000Server操作系统Servi__Pack2•Microsoft证书服务(如果您需要生成自己的证书,这是必需的)
一、生成证书申请此过程创建一个新的证书申请,此申请可发送到证书颁发机构CA进行处理如果成功,CA将给您发回一个包含生效证书的文件生成证书申请
1.启动II__icrosoft管理控制台MMC管理单元
2.展开Web服务器名,选择要__证书的Web站点
3.右击该Web站点,然后单击“属性”
4.单击“目录安全性”选项卡
5.单击“安全通信”中的“服务器证书”按钮,启动Web服务器证书向导注意如果“服务器证书”不可用,可能是因为您选择了虚拟目录、目录或文件返回第2步,选择Web站点
5.单击“下一步”跳过欢迎对话框
6.单击“创建一个新证书”,然后单击“下一步”
7.该对话框有以下两个选项•“现在准备申请,但稍后发送”该选项总是可用的•“立即将申请发送到在线证书颁发机构”仅当Web服务器可以在配置为颁发Web服务器证书的Windows2000域中访问一个或多个Microsoft证书服务器时,该选项才可用在后面的申请过程中,您有机会从列表中选择将申请发送到的颁发机构单击“现在准备申请,但稍后发送”,然后单击“下一步”
8.在“名称”字段中键入证书的描述性名称,在“位长”字段中键入密钥的位长,然后单击“下一步”向导使用当前Web站点名称作为默认名称它不在证书中使用,但作为友好名称以帮助___
9.在“__”字段中键入__名称(例如Contoso),在“__单位”字段中键入__单位(例如“销售部”),然后单击“下一步”注意这些信息将放在证书申请中,因此应确保它的正确性CA将验证这些信息并将其放在证书中浏览您的Web站点的用户需要查看这些信息,以便决定他们是否接受证书
10.在“公用名”字段中,键入您的站点的公用名,然后单击“下一步”重要说明公用名是证书最后的最重要信息之一它是Web站点的DNS名称(即用户在浏览您的站点时键入的名称)如果证书名称与站点名称不匹配,当用户浏览到您的站点时,将报告证书问题如果您的站点在Web上并且被命名为___.contoso.com,这就是您应当指定的公用名如果您的站点是内部站点,并且用户是通过计算机名称浏览的,请输入计算机的NetBIOS或DNS名称
11.在“国家/地区、州/省和城市/县市”字段中输入适当的信息,然后单击“下一步”
12.输入证书申请的文件名该文件包含类似下面这样的信息-----开始新的证书申请-----MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aub__ydGhhbWVy…-----结束新的证书申请-----这是您的证书申请的Base64编码表示形式申请中包含输入到向导中的信息,还包括您的公钥和用您的私钥签名的信息将此申请文件发送到CA然后CA会使用证书申请中的公钥信息验证用您的私钥签名的信息CA也验证申请中提供的信息当您将申请提交到CA后,CA将在一个文件中发回证书然后您应当重新启动Web服务器证书向导
13.单击“下一步”该向导显示证书申请中包含的信息概要
14.单击“下一步”,然后单击“完成”完成申请过程证书申请现在可以发送到CA进行验证和处理当您从CA收到证书响应以后,可以再次使用IIS证书向导,在Web服务器上继续__证书
二、提交证书申请此过程使用Microsoft证书服务提交在前面的过程中生成的证书申请提交证书申请
1.使用“记事本”打开在前面的过程中生成的证书文件,将它的整个内容__到剪贴板
2.启动InternetExplorer,导航到http://hostname/__rtSrv,其中hostname是运行Microsoft证书服务的计算机的名称
3.单击“申请证书”,然后单击“下一步”
4.在“选择申请类型”页中,单击“高级申请”,然后单击“下一步”
5.在“高级证书申请”页中,单击“使用base64编码的PKCS#10文件提交证书申请”,然后单击“下一步”
6.在“提交一个保存的申请”页中,单击“Base64编码的证书申请(PKCS#10或#7)”文本框,按住CTRL+V,粘贴先前__到剪贴板上的证书申请
7.在“证书模板”组合框中,单击“Web服务器”
8.单击“提交”
9.关闭InternetExplorer
三、颁发证书颁发证书
1.从“管理工具”程序组中启动“证书颁发机构”工具
2.展开您的证书颁发机构,然后选择“待定申请”文件夹
3.选择刚才提交的证书申请
4.在“操作”菜单中,指向“所有任务”,然后单击“颁发”
5.确认证书显示在“颁发的证书”文件夹中,然后双击查看它
6.在“详细信息”选项卡中,单击“__到文件”,将证书保存为Base-64编码的X.509证书
7.关闭证书的属性窗口
8.关闭“证书颁发机构”工具
四、在Web服务器上__证书此过程在Web服务器上__在前面的过程中颁发的证书在Web服务器上__证书
1.如果Internet信息服务尚未运行,则启动它
2.展开您的服务器名称,选择要__证书的Web站点
3.右击该Web站点,然后单击“属性”
4.单击“目录安全性”选项卡
5.单击“服务器证书”启动Web服务器证书向导
6.单击“处理待定申请和__证书”,然后单击“下一步”
7.输入包含CA响应的文件的路径和文件名,然后单击“下一步”
8.检查证书概述,单击“下一步”,然后单击“完成”证书现在__在Web服务器上
五、将资源配置为要求SSL访问此过程使用Internet服务管理器,将虚拟目录配置为要求SSL访问您可以为特定的文件、目录或虚拟目录要求使用SSL客户端必须使用HTTPS协议访问所有这类资源将资源配置为要求SSL访问
1.如果Internet信息服务尚未运行,则启动它
2.展开您的服务器名称和Web站点(这必须是具有已__证书的Web站点)
3.右击某个虚拟目录,然后单击“属性”
4.单击“目录安全性”选项卡
5.单击“安全通信”下的“编辑”
6.单击“需要安全通道SSL”现在客户端必须使用HTTPS浏览到此虚拟目录
7.单击“确定”,然后再次单击“确定”关闭“属性”对话框
8.关闭Internet信息服务设置客户端证书为了执行授权,Web服务经常需要能够对它们的调用方(其它应用程序)进行身份验证客户端证书为Web服务提供了一种非常好的身份验证机制如果您使用客户端证书,您的应用程序也会得益于客户端应用程序和Web服务之间的安全通道创建(使用安全套接字层[SSL])这样您就可以安全地在Web服务之间传送保密信息SSL确保消息的完整性和机密性要求以下各项介绍了推荐的硬件、软件、网络基础结构、技巧和知识以及您需要的服务包•带Servi__Pack2的MicrosoftWindows2000Server操作系统•访问证书颁发机构CA以生成新的证书•一个已__了服务器证书的Web服务器申请并__客户端证书此过程__客户端证书您可以使用来自任何证书颁发机构的证书,也可以使用如后面几节所述的Microsoft证书服务来生成自己的证书此过程假设Microsoft证书服务是为待定申请配置的,这要求___专门颁发证书它也可以配置为应证书申请自动颁发证书检查证书申请状态设置
1.在Microsoft证书服务计算机上,从“管理工具”程序组中选择“证书颁发机构”
2.展开“证书颁发机构(本地)”,右击证书颁发机构并单击“属性”
3.单击“策略模块”选项卡,然后单击“配置”
4.检查默认操作以下过程假设“将证书申请状态设成待定”选择“___必须专门颁发证书”申请客户端证书
1.启动InternetExplorer并导航至http://hostname/__rtsrv,其中hostname是__Microsoft证书服务的计算机的名称
2.单击“申请一个证书”,然后单击“下一步”
3.在“选择申请类型”页上,单击“用户证书”,然后单击“下一步”
4.单击“提交”完成申请
5.关闭InternetExplorer颁发客户端证书
1.从“管理工具”程序组中启动“证书颁发机构”工具
2.展开您的证书颁发机构,然后选择“挂起的申请”文件夹
3.选择刚提交的证书申请,指向“操作”菜单上的“所有任务”,然后单击“颁发”
4.确认该证书显示在“颁发的证书”文件夹中,然后双击查看它
5.在“详细信息”选项卡上,单击“__到文件”将证书保存为Base-64编码的X.509证书
6.关闭证书的属性窗口
7.关闭证书颁发机构工具__客户端证书
1.要查看证书,启动Windows资源管理器,导航至在前一过程中保存的.__r文件,然后双击它
2.单击“__证书”,然后在“证书导入向导”的首页单击“下一步”
3.选择“根据证书类型,自动选择证书存储区”,然后单击“下一步”
4.单击“完成”以完成该向导关闭确认消息框,然后单击“确定”关闭证书验证客户端证书操作此过程验证您是否可以使用客户端证书访问SecureApp应用程序•验证客户端证书操作
1.启动InternetExplorer并导航至https://localhost/secureapp/webform
1.aspx
2.确认Web页成功显示。