WEB服务安全配置与SSL协议.pptVIP

WEB服务安全配置与SSL协议 1 IIS的安全配置2 利用SSL实现安全的WEB传输服务 实验目的 1 掌握IIS的安全配置2 了解windowsCA证书服务器的配置与功能3 掌握SSL的原理和安装配置SSL站点的操作 实验内容 一 IIS web服务的安全配置 1 安装IIS 默认目录改为e myweb 并创建主页文档index htm 2 设置本web站点只能由172 16 40 0 24的主机访问 3 设置本web站点或站点子目录只能由用户student访问 4 设置web日志为w3c格式 扩充属性增加主机 发送和接收字节等 另设置web日志为ncsa格式 比较与w3c格式有何不同 二 配置ssl站点 实现安全的web传输 1 安装配置好Windows2000证书服务A ip地址 ipa 2 在IIS web服务器B上 ip为ipb 准备一个证书请求信息 certreq txt Internet服务管理器 web站点属性 目录安全性 服务器证书 3 访问http ipa certsrv 提交证书申请 申请证书 高级申请 4 由证书服务器A审查证书申请和颁发证书 5 访问http ipa certsrv 下载已颁发的证书 certnew cer 6 在IIS web服务器B上安装证书 使该站点变为SSL站点7 用https协议实现web数据的安全浏览 https ipb 8 尝试使用网络监视器 sniffer等抓包工具捕获www通讯的数据包 注意观察sslweb站点与普通web站点的不同 思考问题 1 IIS的日志文件一般存在什么地方 有什么作用 2 简述ssl的原理 ssl的端口号一般为多少 3 比较ssl的web站点与普通web站点的区别 可从服务器设置 客户端访问 数据传输安全等方面叙述 4 想一想windows2000证书服务器的主要功能 5 IIS6 0与IIS5 0比较在安全方面有那些增强 参考资料 用SSL加密增强FTP服务器的安全性在IIS上面布置SSL实现web安全通信用SSL增强IIS安全性的原理和实现过程 资料在网上查找 用IIS建立高安全性Web服务器 应用NTFS文件系统 合理配置权限修改默认目录C Inetpub共享权限的修改为系统管理员账号更名废止TCP IP上的NetBIOS善用安全策略和web日志审计定期打补丁升级 设置IIS的安全机制 设置IIS的安全机制 安装时应注意的安全问题避免安装在主域控制器上避免安装在系统分区上用户控制的安全性匿名用户一般用户登录认证的安全性匿名访问基本验证Windows集成验证 设置IIS的安全机制 设置IIS的安全机制 访问权限控制文件夹和文件的访问权限WWW目录的访问权限IP地址的控制端口安全性的实现IP转发的安全性SSL安全机制 设置IIS的安全机制 IIS Web服务器的日志 Web服务器的通用日志格式 CommonLogFormat 日志所在目录 C WINNT system32 LogFiles W3SVC1通用日志格式针对每一个Web请求生成一行纪录 记录以空格作为分隔 包括如下内容 SSL作为Web安全性解决方案1995年由Netscape公司提出SSL已经作为事实上的标准被众多网络产品提供商采纳SSL SecuritySocketLayer 全称是加密套接字协议层 它位于HTTP协议层和TCP协议层之间 用于建立用户与服务器之间的加密通信 确保所传递信息的安全性 同时SSL安全机制是依靠数字证书来实现的 SSL基于公用密钥和私人密钥 用户使用公用密钥来加密数据 但解密数据必须使用相应的私人密钥 使用SSL安全机制的通信过程如下 用户与IIS服务器建立连接后 服务器会把数字证书与公用密钥发送给用户 用户端生成会话密钥 并用公共密钥对会话密钥进行加密 然后传递给服务器 服务器端用私人密钥进行解密 这样 用户端和服务器端就建立了一条安全通道 只有SSL允许的用户才能与IIS服务器进行通信 SSL网站不同于一般的Web站点 它使用的是 HTTPS 协议 而不是普通的 HTTP 协议 因此它的URL 统一资源定位器 格式为 https 网站域名 SSL原理 SSL原理 浏览器请求与WWW服务器建立安全会话 WWW服务器将自己的公钥发给浏览器 WWW服务器与浏览器协商密钥位数 40位或128位 浏览器产生会话使用的秘密密钥 并用WWW服务器的公钥加密传给WWW服务器 WWW服务器用自己的私钥解密 WWW服务器和浏览器用会话密钥加密和解密 实现加密传输 利用SSL实现安全的WEB传输服务 1 安装证书服务器2 申请证书 准备请求信息 提交申请 3 审查颁发证书4 下载颁发的证书5 在IIS WEB服务器上安装证书 使该站点变为SSL站点6 用https协议实现web数据的安全浏览 安装证书管理软件和服务 1 windows2000公钥基础设施PKI和认证机构CA 图中给出了组成Windows2000PKI的基本逻辑组件 其中最核心的为微软证书服务系统 MicrosoftCertificateServices 它允许用户配置一个或多个企业CA 这些CA支持证书的发放和废除 并与活动目录和策略配合 共同完成证书和废除信息的发布 windows2000公钥基础设施PKI和认证机构CA Windows2000PKI其基本组件包括如下几种 1 证书服务 CertificateServices 证书服务作为一项核心的操作系统级服务 允许组织和企业建立自己的CA系统 并发布和管理数字证书 2 活动目录 活动目录服务作为一项核心的操作系统级服务 提供了查找网络资源的唯一位置 在PKI中为证书和CRL等信息提供发布服务 3 基于PKI的应用 Windows本身提供了许多基于PKI的应用 如InternetExplorer MicrosoftMoney InternetInformationServer Outlook和OutlookExpress等 另外 一些其它第三方PKI应用也同样可以建立在Windows2000PKI基础之上 4 Exchange密钥管理服务KMS ExchangeKeyManagementService KMS是MicrosoftExchange提供的一项服务 允许应用存储和获取用于加密e mail的密钥 在将来版本的Windows系统中 KMS将作为Windows操作系统的一部分来提供企业级的KMS服务 Windows2000中的集成PKI系统提供了证书服务功能 可以让用户通过Internet extranets intranets安全地交互敏感信息 证书服务验证一个电子商务交易中参与各方的有效性和真实性 并使用智能卡等提供的额外安全措施来使域用户登录到某个域 Windows2000通过创建一个证书机构CA来管理其公钥基础设施PKI 以提供证书服务 一个CA通过发布证书来确认用户公钥和其他属性的绑定关系 以提供对用户身份的证明 Windows2000证书服务创建的CA可以接收证书请求 验证请求信息和请求者身份 发行和撤销证书 以及发布证书废除列表CRL CertificateRevocationList 证书服务是通过内置的证书管理单元来实现的 安装证书管理软件和服务 2 安装证书管理软件和服务 3 安装证书管理软件和服务 4 安装证书管理软件和服务 5 准备一个证书请求信息 1 准备一个证书请求信息 2 准备一个证书请求信息 3 准备一个证书请求信息 4 准备一个证书请求信息 5 准备一个证书请求信息 6 准备一个证书请求信息 7 提交证书申请 1 提交证书申请 2 提交证书申请 3 提交证书申请 4 提交证书申请 5 为证书申请者颁布证书 1 为证书申请者颁布证书 2 为证书申请者颁布证书 3 为证书申请者颁布证书 4 下载证书 1 下载证书 2 下