网络工程设计与系统集成杨威PPT课件

网络工程设计与系统集成 杨威山西师范大学网络信息中心 人民邮电出版社 第2版 NetworkEngineeringDesignandSystemIntegration 2ndEdition 普通高等教育 十一五 国家级规划教材 什么电子政务 是否有过体验 电子政务中你最关心的是什么 如何解除在这些活动中的后顾之忧 问题思考 学习目标 1 了解电子政务网络总体架构 理解电子政务功能需求 基本掌握电子政务技术方案设计内容 以及电子政务信息系统设计内容 2 了解城域网RRPP技术原理 MPLSVPN技术原理 理解基于RRPP的城域网技术路线 基于VPN与MPLSVPN的安全逻辑隔离技术路线 基本掌握屏蔽线敷设技术工艺 能够按照电子政务的需求 设计中小型电子政务网络技术解决方案 3 了解PKI基本知识 以及物理隔离网闸技术与使用范围 理解办公专网概念 电子政务实体保密及PKI功能结构 理解网络行为监管与审计技术应用要点 理解关键业务数据集中存储备份 远程容灾与恢复技术方案 基本掌握Windows安全通信技术 以及安全可信Web网站构建的技术 第9章电子政务网络设计案例 重点知识 电子政务技术方案设计内容VPN与MPLS技术原理 VPN与MPLSVPN构建安全逻辑隔离系统屏蔽线敷设技术 涉密局域网布线Windows安全通信技术和可信网站设置技术难点知识 PKI功能结构MPLSVPN构建安全逻辑隔离系统 第9章电子政务网络设计案例 9 1电子政务概述 9 1 1电子政务网络总体架构电子政务是指政府机构利用信息化手段 实现各类政府职能 其核心是应用信息技术 提高政府事务处理的效率 改善政府组织和公共管理 背景 信息技术的飞速发展发达国家提出 电子政务 电子政府 计划 我国的电子政务 电子政务网络体系架构 9 1 2市级电子政务功能需求 电子政务城域网基本功能需求支持政府部门横向信息共享和交互平台支持政府各部门上下级纵向连接支持城域内各政府部门统一接入Internet 电子政务城域网建设要求 城域网关键性业务的可靠性保障政府部门业务系统安全隔离和受控互访特殊应用系统QoS保证降低城域网管理维护复杂度和成本数据中心安全防护 9 2市级电子政务城域网设计 电子政务城域骨干网电子政务信息系统城域网的汇聚与接入基于EPON的接入 9 2 1电子政务城域骨干网 电子政务城域网结构设计 城域网核心层RRPP技术 RRPP技术是一种专门用于以太网环的链路层协议 它在以太网环中能够防止数据环路引起的广播风暴 当以太网环上链路或设备故障时 能保证链路倒换时间为50ms以内 业务倒换时间为50 200ms 保证业务快速恢复 RRPP与STP 生成树协议 相比 RRPP具有算法简单 拓扑收敛速度快和收敛时间与环网上结点数无关等显著优势 RRPP技术没有改变传统以太网的硬件 所有正在网络中运行的中高端交换机都可以通过软件升级支持吉比特以太网端口的RRPP特性 RRPP与RPR技术相比 RRPP是一种低成本的自愈环网技术 逻辑子网VLAN划分 电子政务城域网的逻辑拓扑可划分为若干VLAN 虚拟子网 VLAN不受设备物理位置的限制 灵活性较大 市政府 市委服务器群单独划分子网 将各种主要服务器 Web Mail FTP OA VOD 数据库等 放在一个子网内便于管理和维护 同时也可以尽可能减少外部入侵及破坏系统的可能性 另外 交换机 包括全网核心层 汇聚层和接入层交换机 的管理划分单独子网 其他子网可按电子政务系统的职责范围划分 采用多个VLAN管理 9 2 2电子政务信息系统 公共服务网站整体架构 电子政务业务模型 根据政府机构的业务形态来看 通常电子政务主要包括三个应用领域 其业务模型可以用下图表示 图电子政务业务模型 面向社会公众和企业组织 为其提供政策 法规 条例和流程的查询服务 借助互联网实现政府机构的对外办公 如 申请 申报等 提高政府的运作效率 增加透明度 以信息化手段提高政府机构内部办公的效率 如 公文报送 信息通知和信息查询等 电子政务信息流 在电子政务系统中主要存在三种信息流 如下图所示 图电子政务信息流模型 电子政务体系结构 构建的电子政务体系结构主要包括三个应用系统和一个网络通信平台 如图所示 图电子政务平台系统结构 电子政务信息系统功能结构 电子政务信息系统一般分为政府公共服务网站和政府内部办公网站 其功能结构如图所示 图电子政务系统功能结构图 政务处理逻辑结构 4 政务处理逻辑组织将系统结构划分成数据层 组件层 功能层和应用层 如图所示 图电子政务处理逻辑结构 9 2 3城域网的汇聚与接入 设计思想汇聚层设备可以采用路由器 支持E1接入 也可以采用交换机 支持GE FE接入 汇聚层设备要求支持MPLSVPN 能够承担PE ProviderEdge 骨干网中的边缘设备 的功能 并需要支持NAT 地址转换 功能 以支持不同接入用户在地址重叠的情况下能够通过NAT技术转换成不同的地址 考虑某市各县经济情况 县区大小 各县网络机房需要配置不同型号的路由交换机 路由器 交换机 服务器等设备 通常 市政府与所辖的区政府位于同一个城市 可采用1Gbit s路由交换机上连市电子政务骨干网 县政府与市政府之间距离较近 可采用路由器上连电子政务骨干网 上连的设备均要支持MPLSVPN 便于纵向业务访问 技术方案 通信安全 为了保证各系统办公数据的全程安全 仅在MPLS网络上进行VPN隔离是不够的 还必须在接入端以下对不同部门的数据进行隔离 在条件允许的情况下 不同的部门局域网通过不同的边界路由器接入MPLS网络中 这些部门在接入侧隔离 如图9 7所示 9 2 4基于EPON的接入 例如 市地税局下属8个税务所 分布在城市的不同街道或路段 均在10km范围内 每个税务所约有5 20台业务终端 按照华为EPON技术方案 OLT设备选用S6503 配置SalienceIII型交换路由板 配置LS8M1PT8GA 8端口吉比特EPON业务板 与ONU之间的最大传输距离为10km S6503安置在市地税局大楼机房 网络屏蔽线安装技术电子政务办公专网拓扑结构电子政务专网的安全体系结构 9 3市级电子政务专网设计 9 3 1超五类屏蔽双绞线安装技术 屏蔽布线系统必须是从终点到终点的连续的屏蔽路径 例如 AMPNETCONNECT屏蔽布线系统从工作区域的信息插座 双绞线 配线架 RJ45跳线 组成了从终点到终点的连续的屏蔽路径 屏蔽路径结构示意 如图9 3所示 屏蔽系统所有设施应选择同一品牌的产品 通常屏蔽系统设计时充分考虑了接续的连续性 在水平子系统FTP连接的两端 RJ45屏蔽接口的屏蔽金属壳与RJ45接头的金属包覆套采用紧密嵌套接合 确保跳线和接口完全充分的接触 例如 AMP4对FTP线有锡箔屏蔽包覆层 屏蔽层内有一条接地线 这条接地线对于降低接地电阻 并保持一个低的接地电阻有重要作用 屏蔽布线安装工艺要求 屏蔽层的续接密实 连续 一个完全紧密的接地系统会提高屏蔽系统的整体性能 降低接地电阻 并使其一直保持低于1欧姆的电阻值 每个配线架独立接地 每个配线架只有一个接地点 尽量缩短屏蔽线的开剥长度 保持双绞线转弯时有大于线径8倍的弯曲半径 9 3 2电子政务办公专网拓扑结构 9 3 3电子政务专网的安全体系结构 9 4网络存储技术方案 多服务器集中存储远程灾难备份与恢复 9 4 1多服务器集中存储 面对多服务器存储管理 需要采用安全 可靠 稳定及低成本的IP存储技术方案 利用IPSAN自带的备份软件的实时或定时备份功能 能够实现备份工作自动化 制度化和全面化 为系统提供更高层次的安全保障和可靠性 多服务器集中存储网络 使用H3C的S5100 24P EI 提供24个1Gbit s电口 连接Web网站 工作流计划系统 资源库 数据库 身份认证与审计系统 电子政务信息系统 数据库 等服务器的1Gbit s网卡和EX1000S 组成IPSAN存储系统 EX1000S配置250GB的SATAII磁盘20块 采用RAID5 热补 可用存储容量4 5TB 服务器通过iSCSI驱动程序 免费 将数据集中到存储系统中 多服务器集中存储拓扑结构 9 4 2远程灾难备份与恢复 远程灾难备份与恢复技术支持在数据中心与灾难备份中心之间通过IP网络对关键业务数据进行策略性增量复制 实现数据的异地备份 并在发生意外灾难时对数据进行快速恢复 确保客户的业务持续性 9 5电子政务安全技术 电子政务PKI部署电子政务业务隔离电子政务业务互访电子政务安全通信点对点的通信安全网络行为监管与审计 9 5 1电子政务PKI部署 PKI定义与作用PKI PublicKeyInfrastructure 公钥基础设施 是一种遵循既定标准的密钥管理平台 它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系 PKI定义与作用 PKI是提供公钥加密和数字签名服务的系统 目的是为了自动管理密钥和证书 保证网上数字信息传输的机密性 真实性 完整性和不可否认性 PKI基于非对称公钥体制 采用数字证书管理机制 可以为透明地为网上应用提供上述各种安全服务 极大地保证了网上应用的安全性 PKI组成与功能 PKI系统可划分为四个功能区域 即核心安全区 审核管理区 在线服务区 本地审核受理点 LRA 区 PKI功能结构 PKI系统功能采用三级架构 PKI的安全机制 安全平台能够提供智能化的信任与有效授权服务 其中 信任服务主要是解决在茫茫网海中如何确认 你是你 我是我 他是他 的问题 授权服务主要是解决在网络中 每个实体能干什么 的问题 例如 张三发送一个合约给李四 李四可要求张三进行数字签名 签名后的合约不仅李四可以验证其完整性 其他人也可以验证该合约确实是张三签发的 而所有的人 包括李四 都没有模仿张三签署这个合约的能力 保密文件特性 1 防假冒 通过数字签名进行身份认证 例如 某用户自己申请了证书 私钥 获得了数字标识 可以实现向别人发送 数字签名 的邮件 别人就可以判断相关邮件确实是该用户发送的 2 保密性 只有收件人才能解密查看 3 完整性 保证邮件没有被中途篡改 4 不可否认性 发件人的数字证书中的 私钥 只有发件人唯一拥有 发件人利用其数字证书在传送前对电子邮件进行数字签名 发件人就无法否认发送过这个电子邮件 数字证书与加密 数字证书应集成加密与签名的双重安全措施 以确保电子文件的真实性和保密性 对于企业或组织内部的邮件用户无需到Internet上申请 可以由管理员统一发放和管理证书 正常情况下用户自己的证书中含有 私人密钥 和 公用密钥 私钥 只有用户自己拥有 而 公钥 是发放给大家的 别人拿到的用户的证书只含有 公钥 数字证书与S MIME 非对称加密 对称加密使用相同的密钥加密和解密数据 它的主要困难是密钥必须在保密通信涉及双方之间传递 1976年 WhitfieldDiffie和MartinHellman发明了一个叫做非对称 Asymmetric 或公共密钥 Public key 加密方法 作为对称加密的替换 通过公钥密码算法 通常是RSA算法 能生成一对密钥A和B 用密钥A加密的信息 只能由密钥B才能解密 同样用密钥B加密的信息 也只有由密钥A才能解密 为了应用 密钥的主人要把这对密钥中的一条 密钥A 公开出去 交给其他人 而把另一条 密钥B 留给自己保存 习惯上把公开出去的密钥叫做公钥 而留给自己保存的密钥叫做私钥 构造证书的最常见格式是X 509v3 由ITU发布 X 509v3证书包含的信息 版本 序列号 签名算法 发出者姓名 合法性期限 主题名称 主题公共密钥数据 发出者唯一标识符 主题唯一标识符和扩展 最后提供的信息是证书的数字签名 由发出者创建 邮件数字签名过程 当用户向外发送邮件时 他首先使用一种单向分解函数从邮件中得到固定长度的分解值 该值与邮件的内容相关 称为该邮件的指纹 然后使用自己的私钥对指纹进行加密 接受者能使用他的公钥进行解密 然后重新生成指纹进行比较 这样可以保证邮件是由他本人发送的而非假冒 同时也保证邮件在发送过程中没有被更改 这个过程称为数字签名和核实 9 5 2电子政务业务隔离 基于VLAN的业务隔离VLAN是在以太网的二层建立数据帧标签 FrameTag 使不同的标签数据帧通信被隔离 只有通过第三层交换 不同标签数据帧才可通信 在实际中 考虑到MAC地址易篡改和IP易盗用 电子政府分支部门 如县级工商局不同业务科室 多采用基于端口的VLAN 基于VPN的业务隔离 1 VPN技术要能够使得政务网内一个局域网的数据透明的穿过公用网到达另一个局域网 VPN采用了一种称之为隧道的技术 基于隧道的VPN网络 1 VPN技术 根据ISO模型 VPN的主要协议如表所示 表VPN的主要协议标准 3 VPN类型 1 AccessVPN 远程访问虚拟专网 2 IntranetVPN 内部虚拟专网 3 ExtranetVPN 扩展内部虚拟专网 该类型与传统的远程访问网络相对应 在AccessVPN方式下 远端用户不需要通过长途电话拨号到政府远程接入端口 而是拨号接入到用户本地的ISP 利用VPN系统在公众网上建立一个从客户端到网关的安全传输通道 该类型与政府内部的Intranet相对应 在IntranetVPN方式下 政府两个异地机构的局域网互连不租用专线 而是政府分支机构网络利用VPN特性可以在ChinaNET上组建省 市和县范围内的IntranetVPN 该类型与政府网和相关企业网 教育网所构成的Extranet相对应 该类型与IntranetVPN没有本质的区别 但由于是不同集团用户的网络相互通信 所以要更多的考虑设备的互连 地址的协调 安全策略的协商等问题 基于VPN的业务隔离 例如 市工商局下属有2个工商所 工商所与局机关分别相距6 2Km 9 6Km 工商局和下属2个所均建立了办公局域网 通过支持VPN接口的防火墙连接电子政务城域网 工商所分支网络与工商局网络分别建立安全隧道后 工商所分支网络可以与工商局网络安全通信 工商所分支网络之间也可以安全通信 这样大大的减少了隧道的配置条数 多协议标签交换技术 MPLS MultiProtocolLabelSwitching 是在Cisco公司所提出来的TagSwitching技术基础上发展起来的 属于第三层交换技术 基于MPLS的业务隔离 边缘路由器 交换路由器 交换路径 交换路径 MPLS的工作流程 LSR可以看作是ATM交换机与传统路由器的结合 由控制单元和交换单元组成 LER的作用是分析IP包头 决定相应的传送级别和标签交换路径 LSP 网络边缘行为 当IP数据包到达一个LER时 MPLS第一次应用标记网络核心行为 当一个带有标记的包到达LSR的时候 LSR提取入局标记 同时以它作为索引在标记信息库中查找 建立标记交换路径 第一种 逐跳寻径 HopbyHop 路由 第二种 显式路由 ER LSP从源端到目的端建立一条直接的端到端的路径 MPLS将显式路由嵌入到限制路由的标记分配协议的信息中 从而建立这条路径 MPLSVPN框架结构中包括P Prouters PE ProviderEdge CE CustomEdge 等设备 P代表骨干网中不与CE直接相连的路由器 不感知VPN PE代表骨干网中的边缘路由器 它直接与用户的CE相连 实施VPN主要功能 CE代表用户网络中直接与骨干网相连的边缘设备 路由器或防火墙 不感知VPN 只需支持标准的IP功能即可 三种设备中 真正参与VPN业务部署的只有PE设备 也就是说MPLSVPN业务的智能化和业务压力都集中在PE设备上 基于MPLSVPN的纵向业务隔离 基于HoPE的MPLSVPN结构 华为公司在2002年提出的分层PE技术 HoPE HierarchyofPE 很好地修补了三层MPLSVPN技术的先天不足 在网络建构成本许可的前提下 享受MPLSVPN的好处 在这种架构中 UPE功能和传统的PE一样 但性能要求要低得多 而SPE要在传统PE的基础上增加功能 9 5 3电子政务业务互访 电子政务业务互访设计电子政务网按照功能不同可为纵向业务区 公众服务区和资源共享区3个独立区域 纵向业务区是各个纵向政府部门在电子政务外网上划分出来的虚拟逻辑专网 负责传送各政府部门自身的业务数据 彼此之间严格安全隔离 公众服务区是电子政务外网上划分出的对公众服务的部分 包括各类Web FTP公众服务器 纵向业务系统对Internet和公众服务区的访问 纵向业务系统访问互联网或公众服务区时 要在纵向业务区的边界路由器 可能在PE上 也可能在边界防火墙上 上设置NAT协议 通过NAT 将纵向业务区用户的私有网络地址 如192 169 0 0 翻译成电子政务外网统一分配的地址 以这个地址实现对公众服务区 公众服务器同样分配电子政务外网地址 访问和对互联网的访问 纵向业务系统对共享资源区的访问 纵向业务系统用户访问共享资源区时 纵向业务系统用户不直接访问共享资源区 而是通过前置机方式访问 纵向业务系统 如工商 将自己需要和其余纵向业务系统 如国税 地税 交互的数据通过安全方式 如隔离网闸 由内部服务器导入到前置机上 所有纵向业务系统的前置机设置成一个单独的VPN 共享资源区设置成一个共享VPN 9 5 4电子政务安全通信 安全套接层协议 SSL是一种安全性很高的认证方式 是通过SSL安全机制使用的数字证书 SSL位于HTTP层和TCP层之间 建立用户与服务器之间的加密通信 确保所传递信息的安全性 SSL是工作在公共密钥和私人密钥基础上的 任何用户都可以获得公共密钥来加密数据 但解密数据必须要通过相应的私人密钥 使用SSL安全机制时 首先客户端与服务器建立连接 服务器把它的数字证书与公共密钥一并发送给客户端 客户端随机生成会话密钥 用从服务器得到的公共密钥对会话密钥进行加密 并把会话密钥在网络上传递给服务器 而会话密钥只有在服务器端用私人密钥才能解密 这样 客户端和服务器端就建立了一个惟一的安全通道 HTTPS协议 安全超文本传输协议 HTTPS SecureHypertextTransferProtocol 安全超文本传输协议 是由Netscape开发并内置于其浏览器中 用于对数据进行压缩和解压操作 并返回网络上传送回的结果 HTTPS实际上是应用了SSL作为HTTP应用层的子层 HTTPS的端口是443 HTTP的端口是80 SSL使用40或128位关键字作为RC4流加密算法 这对于商业信息的加密是合适的 HTTPS和SSL支持使用X 509数字认证 用户可以确认发送者是谁 IPSec协议 Internet协议安全性 IPSec可用于保护在两台计算机 如应用程序服务器和数据库服务器 之间传送的数据的安全 因为IPSec加密 完整性和身份验证等服务是在传输层实现 IPSec对应用程序来说是完全透明的 应用程序可以继续使用TCP端口和UDP端口以正常方式相互通信 使用IPSec 可以对两台计算机之间传送的所有数据加密 从而实现消息机密性 在两台计算机之间提供消息完整性 但不加密数据 在两台计算机 而非用户 之间相互验证身份 例如 可以建立只允许特定客户端计算机 如应用程序服务器或Web服务器 所发请求的策略 从而帮助保护数据库服务器的安全 也可以限制只与特定的IP协议和TCP UDP端口通信 RPC加密 远程过程调用加密 RPC提供一套可配置的身份验证级别 范围从无身份验证 和无数据保护 到参数状态的完全加密 最安全的级别 RPC数据包保密性 会为每一个远程过程调用 及由此产生的每一个DCOM方法调用的参数状态加密 RPC加密级别 40位或128位 取决于客户端计算机和服务器计算机上运行的Windows操作系统版本 点对点安全性 安全通信的典型Web部署模型点对点通信情况大致可分为 浏览器到Web服务器 Web服务器到远程应用程序服务器 以及应用程序服务器到数据库服务器等三种 在这三种点到点通信中 使用SSL IPSec和RPC加密 保护每一个通道的安全 如图9 10所示 Windows身份验证 平台级身份验证基本身份验证 可使用IIS配置Web服务 WebServices 的虚拟目录 以便进行基本身份验证 使用此方法 客户端必须配置代理服务器 并提供用户名和密码形式的凭据 然后代理服务器将通过它的每个Web服务请求一起传输 凭据是以明文形式传输的 使用基于SSL SecureSocketLayer 安全套接层 的基本身份验证集成的Windows身份验证 可使用IIS配置Web服务的虚拟目录 根据客户端和服务器环境不同 进行KerberosV5身份验证 相对于基本身份验证 这种方法的优点是凭据不通过网络传递 从而排除了网络窃听的威胁 将服务器配置为集成Windows身份验证的WebServices 客户必须显式地配置代理服务器上的 凭据 属性 9 5 6网络行为监管与审计 网络行为事先预防网络行为事中监控网络行为事后审计 安全渗透网络全局 用户接入网络主机 网络传输设备 安全策略服务器 隔离区域 RG SAM锐捷认证系统 RG SMP安全管理平台 RG RES 安全修复系统 用户认证信息 802 1x 用户认证信息 Radius B用户安全策略判断 A用户身份认证识别 用户网络访问权限 Radius RG SA锐捷安全客户端 安全访问权限执行 802 1x 安全信息通知 用户入网强制安全 用户接入网络主机 网络传输设备 安全策略服务器 隔离区域 RG SMP安全管理平台 RG RES 安全修复系统 安全事件 RG SA锐捷安全客户端 安全规则执行 安全信息通知 RG SWITCH锐捷安全联动设备 安全事件 安全事件判断 调用相应安全规则 安全渗透网络全局 网络安全事件的自动防御 根据不同的安全事件 将相应的安全策略下发到安全联动设备中或者安全客户端上 从而保证用户系统免受安全攻击 自动防御 源地址检查 网络中心 PingSweep 防止用户对网络的扫描 ACL功能 强大的ACL功能 提供标准 扩展 基于时间以及专家级ACL 全方位保护网络 RADIUS身份验证 SSH BPDUGUARD 802 1W 防止对STP的攻击 StormContrl 风暴控制防止瞬间超大的数据流量 验证用户对核心设备的访问 PORTSERCURITY 端口MAC的绑定 限定MAC数量 有效保护网络攻击 源IP地址欺骗攻击检测 SSH 源IP地址限制 设备访问的安全性 防DOS攻击 防SYN Smurf攻击 网络设备嵌入式安全机制 根据对用户系统安全性的评估 已及新的安全策略要求 安全系统会将相应的安全信息下发给安全客户端要求用户进行系统安全性升级 同时有效控制用户的网络访问行为和范围 当修复完成用户被允许正常进行网络访问 用户接入网络主机 网络传输设备 安全策略服务器 隔离区域 RG SMP安全管理平台 RG RES 安全修复系统 RG SA锐捷安全客户端 A 安全信息 目前用户系统处于不完整状态 或新安全策略要求用户进行系统升级 自动网络连接修复 安全客户端根据安全信息 自动连接修复服务器进行系统修复 RG SWITCH锐捷安全联动设备 B 用户访问范围控制 用户系统信息通告 用户访问范围控制 自动修复 安全客户端自动将用户网络访问行为进行进行统计 同时针对新的网络行为将自动通知管理员 邮件 日志报表 管理员能根据网络新的行为进行分析 从而有效防范新的安全事件 同时安全管理平台可以自动进行网络安全策略和网络环境的学习 用户接入网络主机 网络传输设备 安全策略服务器 隔离区域 RG SMP安全管理平台 RG RES 安全修复系统 RG SA锐捷安全客户端 A 新的网络行为 安全客户端会将用户的新的网络访问行为自动通知安全管理平台 RG SWITCH锐捷安全联动设备 B 通过邮件 每日安全管理平台日志报表提醒管理员 安全策略的自学习 针对相同的安全行为的安全信息将自动匹配相同的安全策略 A 网络环境的通告 B 安全管理平台自动进行网络环境分析对比 并形成报告 自动学习 基于SSL的可信连接条件申请和安装服务器证书Web服务器安全通信设置安装客户端CA证书基于SSL客户机的验证使用CTL提高Web站点信任度 9 6建立可信的政务网站 9 6 1基于SSL的可信连接条件 在浏览器和IISWeb服务器之间建立SSL连接 必须具备以下条件 1 在Web服务器上安装 证书服务 组件 2 从可信的证书颁发机构获取Web服务器证书 3 在Web服务器上安装服务器证书 4 在Web服务器上设置SSL选项 5 客户端必须同Web服务器信任同一证书认证机构 安装CA证书 IIS6 0提供了三个新的安全任务向导 用来简化大多数维护Web站点的安全所需的安全任务 6 Web服务器证书向导用来管理IIS和服务器证书中的SSL 7 CTL向导用来管理证书信任列表 CTL CertificateTrustList 证书信任列表列出了每个Web站点或虚拟目录所信任的证书颁发机构 8 权限向导分配Web和NTFS访问权限给Web站点 虚拟目录以及服务器上的文件 9 6 2申请和安装服务器证书 安装证书服务组件 1 打开 控制面板 中的 填加 删除程序 鼠标单击 添加 删除Windows组件 出现 Windows组件向导 操作窗口 选择 证书服务 复选框 2 鼠标单击 下一步 组件安装向导开始安装 证书服务 在默认安装中 证书服务 没有安装 证书服务 组件要用Windows2003Server光盘来安装 3 出现 证书颁发机构类型 如图9 11所示 选择 独立根CA 的安装类型 鼠标单击 下一步 4 出现 CA标识信息 如图9 12所示 输入标识该CA的信息 给自己的CA起一个名字 鼠标单击 下一步 接下来出现 证书数据存储位置 操作窗口 图略 选择 证书数据库 证书数据库日志 和 共享文件夹 的存储路经 即可完成安装 生成服务器证书请求文件 1 打开Internet信息服务管理单元 选择相应的 Web站点 单击鼠标右键 从快捷菜单中选择 属性 打开属性设置对话框 选择 目录安全性 选项卡 2 鼠标左键单击 安全通信 区域中的 服务器证书 按钮 打开Web服务器证书向导欢迎界面 提示Web服务器没有安装证书 3 鼠标单击 下一步 按钮 出现如图9 13所示的对话框 选择 创建一个新证书 单选钮 若选择第二个选项 则将一个已存在的证书分配到该站点 若选择第三个选项 则直接从密钥管理器备份文件导入一个证书 4 鼠标单击 下一步 按钮 出现 稍后或立即请求 对话框 选择发送证书申请的方法 鼠标单击 下一步 按钮 出现如图9 14所示的对话框 设置证书 名称 和安全密钥的 长度 5 鼠标单击 下一步 按钮 出现 组织信息 对话框 设置证书的组织信息 6 鼠标单击 下一步 按钮 出现如图9 15所示的对话框 设置站点的公用名称 7 鼠标单击 下一步 按钮 出现 地理信息 对话框 设置CA的地理信息 默认继承根证书的有关设置值 8 鼠标单击 下一步 按钮 出现 证书请求文件名 对话框 设置要产生的证书请求文件名及路径 9 鼠标单击 下一步 按钮 显示证书请求文件的摘要信息 如图9 16所示 10 鼠标单击 下一步 按钮 再单击 完成 按钮 结束证书文件 certreq txt 的创建 可以用文件编辑器打开生成的证书请求文件certreq txt 进行查看 生成服务器证书请求文件 申请服务器证书 1 启动服务器的浏览器 在URL栏中输入 http locahost CertSrv default asp 打开本地的证书服务的虚拟目录 出现欢迎界面 2 选择 申请证书 鼠标单击 下一步 按钮 3 选择 高级申请 鼠标单击 下一步 按钮 4 选择 高级证书申请 中的第二个选项 即选择使用 base64的编码 方式提交证书申请 5 填写申请表单 将已经生成的服务器证书请求文件 certreq txt 的内容复制到 保存的申请 表单中 在 证书模板 下拉列表中选择 Web服务器 6 鼠标单击 提交 提交成功后 返回一个页面给申请者 告诉证书已经成功提交 现在是挂起状态 即等待CA中心来颁发这个证书了 7 在 控制面板 中的 管理工具 中 启动 证书颁发机构 在待定申请中找到刚刚申请条目 然后用鼠标右键单击 颁发 即可 安装服务器证书 1 打开Internet信息服务管理单元 选择 默认Web站点 单击鼠标右键打开 属性 设置对话框 选择 目录安全性 选项卡 鼠标左键单击 安全通信 区域中的 服务器证书 按钮 打开 欢迎使用Web服务器证书向导 界面 2 鼠标单击 下一步 按钮 出现 挂起的证书请求 对话框 选择 处理挂起的请求并安装证书 3 鼠标单击 下一步 按钮 出现 处理挂起的请求 对话框 输入证书文件的路径和文件名 鼠标单击 浏览 按钮 从磁盘上选择刚刚颁发成功证书文件 ServerCert cer 4 鼠标单击 下一步 按钮 显示该证书的摘要信息 如图10 14所示 5 鼠标单击 下一步 按钮 出现 完成Web服务器证书向导 的对话框 鼠标单击 完成 按钮 关闭服务器证书安装向导 6 回到 目录安全性 选项卡 鼠标单击 查看证书 可进一步查看Web服务器证书 每个Web站点只能有一个服务器证书 为安全起见 应注意及时备份服务器证书 9 6 3设置Web服务器的安全通信 1 在Internet信息服务管理单元中 选择欲启用SSL保护的 Web站点 单击鼠标右键打开 属性 设置对话框 在 Web站点 选项卡设置 SSL端口 默认的端口号是443 2 在图中 鼠标单击 目录安全性 选项卡 鼠标单击 安全通信 区域的 编辑 按钮 出现如图所示的 安全通信 对话框 如果选中 申请安全通道 SSL 复选框 则强制浏览器与Web站点 或者目录 文件 建立SSL加密通信连接 选中 申请128位加密 复选框 则强制SSL连接使用128位加密 3 客户证书选项设置 一般可选用默认选项 忽略客户证书 允许没有客户证书的用户访问该Web资源 因为大部分Web访问都是匿名的 若选用 接收客户证书 或 申请客户证书 则只允许有客户证书的用户访问该Web资源 即禁止匿名访问 建立了SSL安全机制后 只有SSL允许的客户才能与SSL允许的Web站点进行通信 并且在使用URL资源定位器时 输入https 而不是http 9 6 4安装客户端CA证书 1 启动IE浏览器 打开https locahost CertSrv default asp 出现欢迎界面 2 选择 检查CA证书或证书员销列表 鼠标单击 下一步 按钮 3 出现如图所示的界面 鼠标单击 安装此CA证书路径 链接 4 出现 根证书存储 对话框 鼠标单击 是 按钮 将CA添加到浏览器的 受信任的根证书颁发机构 5 出现界面 提示CA证书已安装 说明已将该CA证书添加到根证书存储区 此时 在IE浏览器中选择菜单 工具 Internet选项 打开 Internet选项 对话框 选择 内容 选项卡 鼠标单击 证书 按钮 出现如图所示的对话框 选择 受信任的根证颁发机构 选项卡 可以发现新增加的CA证