基于windows2008平台配置实现利用SSL协议的安全IIS_Web服务器.doc

石河子大学信息科学与技术学院课程设计报告20142015学年第一学期题目名称：基于windows2008平台配置实现利用SSL协议的安全IIS Web服务器专 业： 班 级： 学 号： 学生姓名： 指导教师： 完成日期：二一五年一月八日- 1 -石河子大学信息科学与技术学院计算机科学与技术专业计算机网络课程设计目 录一、问题背景概述- 3 -二、协议分析说明分析- 3 -2.1协议规范概述- 3 -2.1.1SSL协议- 3 -2.1.2HTTPS协议- 4 -2.1.3IIS- 4 -2.2需解决的问题- 6 -2.3重点和难点- 6 -2.3.1windows server 2008平台搭建- 6 -2.3.2IIS服务的安装- 6 -2.3.3web服务器的安装- 6 -2.3.4web服务的配置- 7 -2.3.5SSL协议实现- 7 -三、实现条件及系统解决方案- 8 -3.1系统实现条件 / 环境配置说明- 8 -3.1.1虚拟机配置- 8 -3.1.2系统网络配置- 8 -3.2系统解决方案- 8 -四、实验方案设计及实现- 9 -4.1实验方案设计说明- 9 -4.2实验步骤 / 实现过程说明- 10 -4.2.1虚拟机的安装与使用- 10 -4.2.2windows server 2008平台搭建- 10 -4.2.3web服务器安装- 12 -4.2.5web服务器配置- 14 -4.2.6SSL申请与设置- 16 -五、课题/实践任务结论- 22 -5.1和其他备选方案的分析比较- 22 -5.2方案评估分析- 22 -六、总结与体会- 23 -6.1本课题的不足之处和可改进之处- 23 -6.2技术前景展望 / 下一步的工作- 23 -附录：参考文献- 23 - 23 -键入文字一、问题背景概述基于windows2008平台配置实现利用SSL协议的安全IIS Web服务器，现今SSL安全协议广泛地用在Internet和Intranet的服务器产品和客户端产品中，用于安全地传送数据，集中到每个WEB服务器和浏览器中，从而来保证来用户都可以与Web站点安全交流 。本次课程设计将介绍SSL安全协议在WEB服务器安全的应用。这个课程设计问题所涉及的技术有：windows server 2008平台搭建、web服务器的配置、SSL协议相关、客户机的选择、Internet Information Server服务的安装。二、协议分析说明分析2.1协议规范概述 2.1.1SSL协议 SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。Secure Socket Layer，为Netscape所研发，用以保障在Internet上数据传输之安全，利用数据加密(Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。一般通用之规格为40 bit之安全标准，美国则已推出128 bit之更高安全标准，但限制出境。只要3.0版本以上之I.E.或Netscape浏览器即可支持SSL。当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层： SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。提供服务1）认证用户和服务器，确保数据发送到正确的客户机和服务器；2）加密数据以防止数据中途被窃取；3）维护数据的完整性，确保数据在传输过程中不被改变。支持服务器类型1. Tomcat 5.x2. Nginx3. IIS4. Apache 2.x5. IBM HTTP SERVER 6.01 工作流程服务器认证阶段：1） 客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接；2） 服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；3） 客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；4） 服务器回复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。用户认证阶段：在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。 从SSL 协议所提供的服务及其工作流程可以看出，SSL协议运行的基础是商家对消费者信息保密的承诺，这就有利于商家而不利于消费者。在电子商务初级阶段，由于运作电子商务的企业大多是信誉较高的大公司，因此这问题还没有充分暴露出来。但随着电子商务的发展，各中小型公司也参与进来，这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但是SSL协议仍存在一些问题，比如，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下，Visa和 MasterCard两大信用卡公组织制定了SET协议，为网上信用卡支付提供了全球性的标准。2.1.2HTTPS协议（Hypertext Transfer Protocol Secure）安全超文本传输协议，它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层（SSL）作为HTTP应用层的子层。（HTTPS使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。）SSL使用40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。https是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，https的安全基础是SSL，因此加密的详细内容见上述SSL。它是一个URI scheme(抽象标识符体系)，句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。限制 它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持.一种常见的误解是“银行用户在线使用https:就能充分彻底保障他们的银行卡号不被偷窃。”实际上，与服务器的加密连接中能保护银行卡号的部分，只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的，这点甚至已被攻击者利用，常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在网站传输客户数据时发生，攻击者尝试窃听数据于传输中。商业网站被人们期望迅速尽早引入新的特殊处理程序到金融网关，仅保留传输码(transaction number)。不过他们常常存储银行卡号在同一个数据库里。那些数据库和服务器少数情况有可能被未授权用户攻击和损害。 SSL介于应用层和TCP层之间。应用层数据不再直接传递给传输层，而是传递给SSL层，SSL层对从应用层收到的数据进行加密，并增加自己的SSL头。SSL协议的三个特性 保密：在握手协议中定义了会话密钥后，所有的消息都被加密。 鉴别：可选的客户端认证，和强制的服务器端认证。 完整性：传送的消息包括消息完整性检查(使用MAC)。2.1.3IIS 1、Internet Information Services（IIS，互联网信息服务），是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。最初是Windows NT版本的可选包，随后内置在Windows 2000、Windows XP Professional和Windows Server 2003一起发行，但在Windows XP Home版本上并没有IIS。 Gopher server和FTP server全部包容在里面。 IIS意味着你能发布网页，并且有ASP（Active Server Pages）、JAVA、VBscript产生页面，有着一些扩展功能。IIS支持一些有趣的东西，像有编辑环境的界面（FRONTPAGE）、有全文检索功能的（INDEX SERVER）、有多媒体功能的（NET SHOW） 其次,IIS是随Windows NT Server 4.0一起提供的文件和应用程序服务器，是在Windows NT Server上建立Internet服务器的基本组件。它与Windows NT Server完全集成，允许使用Windows NT Server内置的安全性以及NTFS文件系统建立强大灵活的Internet/Intranet站点。IIS（Internet Information Server，互联网信息服务）是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。2、功能作用在同一时间内允许打开的网站页面数，打开一个页面占一个IIS，打开一个站内框架页面占2到3个IIS；若图片等被盗链，在其它网站打开本站图片同样占一个IIS。假若设置参数为50个IIS，则这个站允许同时有50个页面被打开。但要在同一时间（极短的时间）有50个页面被打开，需要50个人同时操作，这个概率还是比较低的。所以，100个iis支持日ip1000（同时访问网站人数必定远低于1000人）以上都不是很大问题，除非网站被盗链或框架引发其它消耗。3、各种版本IIS版本Windows版本备注IIS 1.0Windows NT 3.51 Service Pack 3sbkIIS 2.0Windows NT 4.0sbkIIS 3.0Windows NT 4.0 Service Pack 3开始支持ASP的运行环境IIS 4.0Windows NT 4.0 Option Pack支持ASP 3.0IIS 5.0Windows 2000在安装相关版本的。NetFrameWork的RunTime之后，可支持ASP. NET 1.0/1.1/2.0的运行环境IIS6.0Windows Server 2003Windows Vista Home PremiumWindows XP Professional x64 EditionsbkIIS 7.0Windows VistaWindows Server 2008sbkIISWindows 7在系统中已经集成了 .NET 3.5。可以支持 .NET 3.5及以下的版本。图2-1 关于WEB服务器IIS版本配置2.2需解决的问题1、 虚拟机的安装与使用2、 windows server 2008平台搭建3、 客户端PC机的安装（选择用windows7系统）4、 IIS服务之web服务器的安装5、 web服务的配置6、 SSL协议实现2.3重点和难点2.3.1windows server 2008平台搭建在此环节中，需要注意安装Windows Server 2008时会出现“升级”“自定义高级”安装选项，我们用后者，原因是可方便实现对它的分区操作及分配磁盘操作；安装过程中，虚拟机中的Windows server2008会反复重启，这时要保证虚拟机电源稳定开启；安装结束首次启动它时会要求用户为其设定用户名及密码，按照操作执行即可。2.3.2IIS服务的安装IIS不会默认安装，但是可以通过打开“控制面板”-“添加或删除Windows组件”-双击“Internet信息服务IIs”安装。2.3.3web服务器的安装在“服务器管理器”窗口中单击“添加角色向导”进行安装单击“下一步”在角色列表框中勾选“web服务器（IIS）以及Active Directory证书服务”“添加角色向导”，单击“添加必须的功能”。单击“添加必须的功能” ，返回“选择服务器角色”“wed服务器（IIS）”复选框被勾选。单击“下一步”单击“下一步”此处安装可以选择wed组件，如ASP，单击“下一步”单击“安装”开始安装web服务器，最后进行测试，当出现如下网页说明安装成功图2-2 WEB服务器站点主页2.3.4web服务的配置IP地址绑定设置主目录设置主目录访问权限网站限制默认文档设置HTTP重定向MIME设置错误页设置2.3.5SSL协议实现在IIS管理器中设置站点要求客户证书，然后访问站点，浏览器会弹出一个对话框，让选择要使用的客户证书，然进入，其后利用SSL实现身份认证，首先可以在IIS管理器中启用客户证书映射，将客户证书影射到NT帐号，可以映射某张证书，也可以映射所有根证书所签发的客户证书，如果在签发者列表中找不到根证书，需要申请CA证书并颁发证书。如果不想用NT的安全机制，就需要获取对方客户证书的信息，然后进行判断。通常客户证书的信息由HTTPS_开头的服务器变量提供。三、实现条件及系统解决方案3.1系统实现条件 / 环境配置说明3.1.1虚拟机配置设备名称规格、型号、参数数量备注说明内存1G1CPUIntel Pentium 1G以上1硬盘Seagate 20G以上1网卡3Com 10 /100M自适应网卡1 网络适配器Nat连接 1CD/DVD（IDE）自动检测USB控制器自动检测图3-1 虚拟机设置3.1.2系统网络配置项目名称配置说明数量机器名 / 地址标识备注说明Web服务器IIS 7.0版本1Server1：客户端PC1Windows71Station1：67图3-2 系统网络配置3.2系统解决方案在Windows server2008平台下，配置实现利用SSL协议的安全IIS Web服务器，具体实现框图如图所示：图3-3 实验流程图四、实验方案设计及实现4.1实验方案设计说明在配置web服务器时需要完成以下事项：网络链接：虚拟机设置为NAT网络链接IP地址绑定：指定固定的IP地址，以方便配置和访问设置主目录：主目录是网站的根目录，当用户访问网站时，服务器会先从根目录调取相应的文件，由于在将数据文件与操作系统放在同一磁盘分区中会失去安全保障，因此将web主目录保存在其他磁盘。设置主目录访问权限：对于一些比较重要的网站来说，主目录是不允许一般用户访问的，因此需要对网站主目录的访问权限进行设置。网站限制：无论web服务器的性能多么强劲，都有可能会因为并发连接的数量过多致使服务器瘫痪，为保证用户正常访问，应对网站进行一定的限制。默认文档设置：为保证用户在访问网站时只需要使用域名和目录即可打开目录。MIME设置：保证非ASCII码文件在Internet上传播的标准，默认情况下系统已经集成了很多MIME类型，但有时用户可能会有特殊的要求，需要手动添加MIME类型。错误页设置：是可以自己定义的也可以是包含拔出故障信息的详细错误信息。在IIS安装、Web服务器配置中，让其实现SSL加密连接需要以下步骤：（1）申请服务器证书（2）设置SSL4.2实验步骤 / 实现过程说明 4.2.1虚拟机的安装与使用1、VMware -Workstation安装过程（1）运行VMware安装程序前，先检查其数字签名是否正常，这样可以降低安全风险。a.右键属性数字签名详细信息；b.如果程序没有被篡改，则会显示此数字签名正常。（2）双击运行VMware安装程序。（3）安装程序，自动解压所需的文件，这个过程所需时间基本由计算机硬件配置决定。（4）安装向导出现 Welcome（欢迎）后，单击Next（下一步），以继续程序的安装。（5）这时，安装向导，询问用户，选择Typical（典型）或者Custom （定制）的安装方式。a.如果选择Typical（典型），最常用的功能，将会被安装。b.选择Custom（定制），你将可以选择想要安装的程序功能，他们将被安装。建议高级用户使用。（6）选择typical（典型）安装方式后，安装向导询问用户，希望将VMware安装到什么地方。（7）这时，出现了User Experience Improvement Program（程序用户体验改进）页面。安装向导询问用户，是否Help improve VMware Workstation（帮助改进VMware Workstation）。这里，去掉默认的，即不参与用户体验改进。然后，单击Next（下一步）。（8）这时，出现了执行请求的操作页面，这个过程所需时间基本由计算机硬件配置决定。在这个过程中，a.用于虚拟系统（虚拟机）与实际计算机（宿主计算机）间通信的虚拟网卡将被安装。b.添加了四个系统服务、一个启动项。（9）等待一段时间后，出现了Enter License Key（输入许可密匙）页面。在页面文字的第二行，可以看到You can enter this information later（你可以在以后输入这些信息）的提示。如果你要这样做，则单击安装向导右下角的Skip（跳过）。单击安装向导右下角的Enter（输入）（10）这时，出现了Setup Wizard Complete（安装向导结束）页面。（11）重启系统后，运行VMware Workstation，将会弹出License Agreement（许可协议）窗口。选择Yes, I accept the terms in the license agreement（我接受许可协议中的条款），再单击OK，即可使用VMware Workstation。4.2.2windows server 2008平台搭建1、启动计算机后，放入Windows Server 2008 系统安装光盘，出现下图后点击“下一步”；2、点击现在安装；3、进入安装程序启动画面；图4-1 Windows server 2008安装画面4、选择Windows Server 2008 R2 Enterprise（完全安装）后点击下一步；5、选择我接受许可条款后点击下一步；6、选择自定义（高级）；7、选择驱动器选项（高级）；8、点击新建以便创建分区；9、输入分区大小的值后，点击确定后点击下一步；10、点击“立即重新启动计算机”；11、重新启动计算机后进入后续的安装过程，如下图；图4-2 Windows server 2008安装成功12、重新启动计算机后，为用户首次登陆设置密码；13、重新启动计算机后，为用户首次登陆设置密码后登陆计算机；4.2.3web服务器安装图4-3 WEB服务器角色安装图4-4 角色功能安装图4-5 添加必需的角色服务图4-6WEB服务器正在安装图4-7服务器配置IP图4-8测试是否链接链接4.2.5web服务器配置图4-9IP地址编辑绑定图4-10设置物理地址图4-11测试站点设置主目录访问权限网站限制默认文档设置MIME设置 4.2.6SSL申请与设置图4-12申请CA证书图4-13申请高级证书图4-14向CA提交申请图4-15Internet选项设置图4-16CA申请页面图4-17在certsrv中颁发申请图4-18在网站受理申请图4-19导出证书图4-20导入证书图4-21设置站点链接方式图4-22设置SSL图4-23SSL下网站访问 五、课题/实践任务结论5.1和其他备选方案的分析比较在此次实验中，服务器可以直接将计算机做成Windows server 2008模式，客户端也可以用本机，但是我选择用虚拟机，原因如下： 用主机与虚拟机上的服务器进行连接，需要配置主机与虚拟机的网络设置，不利于主机上网搜寻资料，并且主机常用DHCP分配的动态地址，不方便捕捉。虚拟机模拟了整个一个实际计算机的功能，也就是一台计算机的所有硬件，软件来虚拟化实现了，所以安装了虚拟机，也就相当于有了多台电脑，每台PC可以运行单独的操作系统而互不干扰，可以实现一台电脑“同时”运行几个操作系统，还可以将这几个操作系统连成一个网络，方便配置与实现功能。当然虚拟机通过桥接方式连接时，还可以与本机进行连接，也是一种很好的交互方式。5.2方案评估分析应用SSL实现加密连接有助于实现：（1） 从客户机到安全Web服务器的数据安全性； （2） 由于卸载工具执行所有SSL处理过程并完成TCP/IP协商，因此大大提高了吞吐量； （3） 简化了密钥的管理和维护。 当具有SSL功能的浏览器（Navigator、IE)与Web服务器(Apache、IIS)通信时，它们利用数字证书确认对方的身份。数字证书是由可信赖的第三方发放的，并被用于生成公共密钥。 当最初的认证完成后，浏览器向服务器发送48字节利用服务器公共密钥加密的主密钥，然后Web服务器利用自己的私有密钥解密这个主密钥。最后，浏览器和服务器在会话过程中用来加解密的对称密钥集合就生成了。加密算法可以为每次会话显式地配置或协商，最广泛使用的加密标准为数据加密标准（DES）和RC4。安全通道就建立，保密的数据传输就可以开始了。尽管初始认证和密钥生成对于用户是透明的，但对于Web服务器来说，它们远非透明。由于必须为每次用户会话执行启动过程，因而给服务器CPU造成了沉重负担并产生了严重的性能瓶颈。为解决这种性能上的损失，我们可以通过安装SSL加速器和卸载器来减少SSL交易中的时延。加速器通过执行一部分SSL处理任务来提高交易速度，同时依靠安全Web服务器软件完成其余的任务。卸载器承担所有SSL处理任务并且不需要安全