《SSL服务的组建与》PPT课件.ppt

第10章SSL服务的组建与安全管理,本章重点介绍如何在IIS下架设SSL服务。,10.1初识SSL服务,IIS的身份认证除了匿名访问、基本验证和WindowsNT请求/响应方式外，还有一种安全性更高的认证：通过SSL(SecuritySocketLayer，安全套接层)安全机制使用数字证书。SSL位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个惟一的安全通道。,10.2IIS下安装、配置Web服务器的SSL服务,本节重点介绍如何在IIS下配置Web服务器的SSL服务及实现基于SSL服务的Web站点。下面我们以Windows2000AdvancedServer为例，具体看看如何配置IIS下SSL服务。它的整个配置流程主要为：【安装证书服务】【生成服务器证书】【提交服务器证书】【颁发、导出Web服务器数字证书】【安装Web服务器数字证书】【启用Web服务器安全通道SSL服务】。安装入门篇安装配置进阶篇,10.2.1安装入门篇,(1)选择【开始】【设置】【控制面板】【添加/删除程序】【填加新程序】【光盘或软盘】。(2)在光驱中插入Windows2000AdvancedServer安装光盘，然后单击【下一步】按钮继续下面的安装操作。,(3)此时系统会自动搜索Windows2000AdvancedServer的安装程序。如果要手动搜索安装程序，单击【浏览】按钮，找到光盘根目录下的SETUP.EXE文件即可。,(4)在安装程序窗口中单击【安装附加组件】。(5)在【Windows组件向导】对话框中，单击【证书服务】选项，即可添加【证书服务】组件。单击【下一步】按钮，进行以下的安装设置操作。,(6)由于证书颁发机构的设置是很重要的，因此这里需要特殊说明。企业根CA和独立根CA都是证书颁发体系中最受信任的证书颁发机构，可以独立地颁发证书。企业根CA需要ActiveDirectory的支持，而独立根CA不需要。从属级的CA由于只能从另一证书颁发机构获取证书，所以一般不被选择。在Windows2000Server中，企业根CA使用ActiveDirectory确定申请人的身份，确定申请人是否具有申请他们所指定的证书类型的安全权限，并由此自动确定是否立即颁发证书或拒绝申请，这种策略设置不能被更改。如果选择此选项一定注意保护含有此服务的服务器，不能直接暴露在外。独立根CA可以选择在收到申请时自动颁发证书或将申请保持为搁置状态，由管理员验证证书申请者的真实性及合法性，决定是否颁发证书。在这里推荐选择证书颁发机构为：独立根CA，单击【下一步】按钮继续下面的安装操作。,(7)在这里可以根据自己的实际情况来填写CA标识相关信息，如CA名称、单位、城市、电子邮件和有效期限等，单击【下一步】按钮继续下面的安装操作。(8)在这里系统将让用户设置证书数据库、证书数据库日志储存的位置，默认为C:WINNTSystem32CertLog文件夹，在这里可以不作更改，以默认位置为存储数据的位置，单击【下一步】按钮继续下面的安装操作。,(9)安装程序会根据用户前面的设置，自动配置【证书服务】。(10)经过13分钟的安装过程，系统便会提示用户【证书服务】完成安装，单击【完成】按钮关闭【Windows组件向导】。,10.2.2安装配置进阶篇,在IIS下Web服务器的SSL服务未激活之前，在【Web站点】选项卡中的【SSL端口】文本框成灰色，即不可用。接下来启动IIS管理器来申请一个数字证书。我们以申请站点的数字证书为例，介绍如何激活Web服务器的SSL服务。生成Web服务器数字证书提交Web服务器数字证书颁发、导出Web服务器数字证书安装Web服务器数字证书启用Web服务器安全通道SSL服务使用安全通道SSL访问网站测试SSL的安全性,(1)选择【开始】【设置】【控制面板】【管理工具】【Internet服务管理器】，右击Web站点，在弹出的快捷菜单中选择【属性】命令。(2)在【属性】对话框中，选择【目录安全性】选项卡，单击【安全通信】选项组中的【服务器证书】按钮。,(3)首选进入系统的欢迎使用Web服务器证书向导，并对证书服务作一些简要的说明，单击【下一步】按钮继续以下操作。(4)由于是第一次配置，所以要选择【创建一个新证书】单选按钮，单击【下一步】按钮继续以下操作。,(5)选择默认项即【现在准备请求，但稍候发送】单选按钮，单击【下一步】按钮继续以下操作。(6)在【名称】文本框中为新证书起一个名称，此名称显示于证书文档中。选择加密钥的位长为512，即默认选项，单击【下一步】按钮继续以下操作。,(7)根据自己的实际情况输入组织、组织部门名称，这是为了在网上便于与其他组织区分开，单击【下一步】按钮继续以下操作。(8)建议在输入Web站点的公用名称时为默认的本机计算机名，单击【下一步】按钮继续以下操作。,(9)要求用户输入所处的国家、省、市、县信息，单击【下一步】按钮继续以下操作。(10)证书请求文件中的内容是刚才对数字证书的设置及用户信息，其内容为加密形式。证书名可以随便起一个名字。默认情况下，证书请求文件保存在C盘根目录下，默认证书名为certreq.txt。可以对此步设置不作更改，单击【下一步】按钮继续以下操作。,(11)再一次核实刚才输入的证书信息，如果需要更改，则通过单击【上一步】按钮找到要更改的信息即可。如果所输入的信息无误，单击【下一步】按钮完成数字证书请求文件的操作。(12)证书请求已被创建并保存到c:certreq.txt文件中，单击【完成】按钮关闭IIS证书向导窗口。,(1)打开浏览器，在地址栏中输入服务器申请证书的地址“http:/localhost/CertSrv/default.asp”，然后按回车键，便可以打开服务器证书申请服务页面。因为此时我们要向服务器提交证书，所以选择任务时选择【申请证书】选项，单击【下一步】按钮，继续下面的证书申请操作。(2)选择【高级申请】单选按钮，单击【下一步】按钮，继续下面的证书申请操作。,(3)选择使用base64的编码方式来提交我们的证书申请，单击【下一步】按钮，继续下面的证书申请操作。(4)在【Base64编码证书申请】框中把刚刚在C盘根目录下生成的certreq.txt中的内容粘贴进去，然后单击【提交】按钮，继续下面的证书申请操作。,(5)提交成功以后，会返回一个页面告诉我们证书已经成功提交。现在的挂起状态就是等待CA中心来颁发这个证书了。,(1)【开始】【设置】【控制面板】【管理工具】，双击打开【证书颁发机构】窗口。(2)双击打开【证书颁发机构(本地)】YLPOLICE【待定申请】，在【待定申请】中找到刚刚申请的证书，然后右击，在弹出的快捷菜单中选择【所有任务】【颁发】命令。,(3)颁发成功以后在【证书颁发机构(本地)】YLPOLICE【颁发的证书】里找到刚才颁发的证书。双击打开该证书的属性栏目，单击【详细信息】标签，在【详细信息】选项卡中单击【复制到文件】按钮将证书导出到本机磁盘中的【详细信息】中。(4)证书导出向导主要是向用户介绍使用此向导可以帮助用户将证书从存储区复制到磁盘，并对证书导出作一个简要的说明，单击【下一步】按钮，继续下面的证书导出操作。,(5)在这一步选择Base64编码，即CER格式，单击【下一步】按钮，继续下面的证书导出操作。(6)为要导出的证书命名为flyingfox.cer，并将其保存在C盘根目录下，单击【下一步】按钮，继续下面的证书导出操作。,(7)确定自己刚才导出证书的设置无误，单击【完成】按钮，系统会弹出一个导出证书成功的对话框，此时flyingfox.cer证书文件便会被导出到C盘根目录下。,(1)选择【开始】【设置】【控制面板】【管理工具】【Internet服务管理器】，右击Web站点，在弹出的快捷菜单中选择【属性】命令，在【属性】对话框中，选择【目录安全性】选项卡，单击【安全通信】选项组中的【服务器证书】按钮，这时弹出来的界面就是挂起的证书请求窗口。选择【处理挂起的请求并安装证书】单选按钮，单击【下一步】按钮，继续安装证书操作。(2)在【路径和文件名】文本框中输入刚才导出的证书文件flyingfox.cer的路径和文件名或单击【浏览】按钮查找该文件，然后单击【下一步】按钮，继续安装证书操作。,(3)输入正确的证书文件名及路径后，系统将会显示该证书的摘要。若要安装此证书，单击【下一步】按钮。(4)接下来系统将会提示用户已成功完成Web服务器证书的安装，单击【完成】按钮关闭IIS证书安装向导。,(1)回到【属性】对话框中，选择【目录安全性】选项卡，单击【安全通信】选项组中的【编辑】按钮，在【安全通信】对话框中选中【申请安全通道】复选框，单击【确定】按钮，即可启动安全通道SSL。(2)安全通道SSL启动后，【属性】对话框中的【SSL端口】文本框已变亮，并且其默认端口为443，这就表示安全通道现在已经开始工作了。,(1)打开浏览器，在浏览器的地址栏中输入网址，按回车键，网页中会弹出一个【安全警报】对话框，通知用户即