资深网管教你打造SSL加密的安全站点

使用SSL协议有什么好处呢？SSL平安协议工作在网络传输层，适用于，telnet,FTP和NNTP等效劳，不过SSL最广泛的应用还是WEB平安访问，如网上交易，政府办公等。本文将由笔者为各位读者介绍使用SSL加密协议建立WWW站点的全过程，为了保证技术的先进性我们介绍在windows2003的IIS6上建立SSL加密的方法，当然在windows2000的IIS5上建立SSL加密步骤根本相同。一、先决条件：要想成功架设SSL平安站点关键要具备以下几个条件。1、需要从可信的证书方法机构CA获取效劳器证书。2、必须在WEB效劳器上安装效劳器证书。3、必须在WEB效劳器上启用SSL功能。4、客户端〔浏览器端〕必须同WEB效劳器信任同一个证书认证机构，即需要安装CA证书。二、准备工作：在实施SSL平安站点之前需要我们做一些准备工作。第一步：默认情况下IIS6组件是安装在windows2003中的，如果没有该组件请自行安装。第二步：我们建立的IIS站点默认是使用协议的，翻开浏览器在地址处输入“://本机IP〞〔不含引号〕就可以访问。〔如图1〕图1第三步：安装证书效劳，通过控制面板中的添加/删除程序，选择添加/删除windows组件。在windows组件向导中找到“证书效劳〞，前面打勾后点“下一步〞。〔如图2〕图2点击看大图小提示：证书效劳有两个子选项“证书效劳Web注册支持〞和“证书效劳颁发机构(CA)〞。为了方便这两个功能都需要安装。第四步：系统会弹出“安装证书效劳后计算机名和区域成员身份会出现改变，是否继续〞的提示，我们选“是〞即可。〔如图3〕图3第五步：在windows组件向导CA类型设置窗口中选择独立根CA。〔如图4〕图4第六步：CA识别信息处的CA公用名称输入本地计算机的IP地址，如5，其他设置保存默认信息即可。〔如图5〕图5第七步：输入证书数据库等信息的保存路径，仍然选择默认位置系统目录的system32下的certlog即可。〔如图6〕图6点击看大图第八步：下一步后出现“要完成安装，证书效劳必须暂时停止IIS效劳〞的提示。选择“是〞后继续。〔如图7〕图7第九步：开始复制组件文件到本地硬盘。〔如图8〕图8第十步：安装过程中会出现缺少文件的提示，我们需要将windows2003系统光盘插入光驱中才能继续。〔如图9〕图9第十一步：继续复制文件完成windows组件的安装工作。〔如图10〕图10三、配置证书：下面就要为各位读者介绍如何通过IIS证书向导配置我们需要的证书文件。第一步：通过“管理工具〞中的IIS管理器启动IIS编辑器。第二步：在默认网站上点鼠标右键选择“属性〞。〔如图11〕图11点击看大图第三步：在默认网站属性窗口中点“目录平安性〞标签，然后在平安通信处点“效劳器证书〞按钮。〔如图12〕图12第四步：系统将自动翻开WEB效劳器证书向导。〔如图13〕图13第五步：效劳器证书处选择“新建证书〞，然后下一步继续。〔如图14〕图14第六步：延迟或立即请求处选择“现在准备证书请求，但稍后发送〞。〔如图15〕图15第七步：设置证书的名称和特定位长，名称保持默认网站即可，在位长处我们通过下拉菜单项选择择512。〔如图16〕图16小提示：位长主要用于平安加密，位长越来那么越平安，不过传输效率会受到一定的影响，网站性能也受影响。一般来说选择512已经足够了。第八步：输入单位信息，包括单位和部门。〔如图17〕图17第九步：在站点公用名称窗口输入localhost。〔如图18〕图18第十步：地理信息随便填写即可。〔如图19〕图19第十一步：设置证书请求的文件名，我们可以将其保存到桌面以便下面步骤调用方便，保存的文件名为certreq.txt。〔如图20〕图20第十二步：完成了IIS证书向导配置工作，并按照要求将相应的证书文件保存到桌面。〔如图21〕图21四、申请证书：配置好IIS所需的证书文件后就要根据该证书内容进行申请了。第一步：翻开IE浏览器在地址栏中输入://5/certsrv/翻开证书效劳界面。〔效劳器IP地址为5〕〔如图22〕图22点击看大图第二步：点“申请一个证书〞后继续。第三步：在申请证书界面选择“高级证书申请〞。〔如图23〕图23点击看大图第四步：在高级证书申请界面选择“使用base64编码的CMC或PKCS#10文件提交一个证书申请，或继订证书申请〞。〔如图24〕图24点击看大图第五步：用记事本翻开上面保存在桌面上的那个certreq.txt文件，将里面的内容全部复制。〔如图25〕图25第六步：将复制的全部内容粘贴到“提交一个证书申请或续订申请〞界面，然后点“提交〞按钮。〔如图26〕图26点击看大图第七步：成功申请后出现证书挂起提示，说明证书申请已经收到，等待管理员通过申请认证。〔如图27〕图27至此我们就完成了证书的申请工作，下面要通过刚刚申请的证书认证。五、验证证书：证书申请后还需要效劳器的管理员手动颁发该证书才能使之生效。第一步：我们选择任务栏的“开始->程序->管理工具->证书颁发机构〞。〔如图28〕图28点击看大图第二步：在左边选项中找到“挂起的申请〞。〔如图29〕图29第三步：查看右边的列表，刚刚提交的证书申请赫然在目，在待申请的证书上单击鼠标右键，弹出菜单中有“所有任务〞一项，接着选择子项“颁发〞。这时这个“待定申请〞就会转移到“颁发的证书〞下面。第四步：在“颁发的证书〞下找到刚刚那个证书，双击翻开。并在“证书属性窗口〞的详细信息标签中选择“复制到文件〞。〔如图30〕图30第五步：在“证书导出向导〞中，任意选择一种CER格式导出，比方“DER编码二进制〞并保存成文件。通过以上五步操作我们的IIS证书就通过了系统管理员的审核，下面就可以通过审核过的证书建立SSL加密站点了。六、配置IIS的SSL平安加密功能我们再次来到IIS设置窗口中启用SSL平安加密功能。第一步：在默认网站属性窗口中点“目录平安性〞标签，然后在平安通信处点“效劳器证书〞按钮。第二步：挂起的证书请求窗口中选择“处理挂起的请求并安装证书〞选项。〔如图31〕图31第三步：通过浏览按钮找到在验证证书第五步中通过证书导出向导刚刚保存的DER编码格式的文件。〔如图32〕图32第四步：这时我们就可以设置SSL参数了，在平安通信属性中将〞要求平安通道SSL〞前打上对勾，从而启用了IIS站点的SSL加密功能。〔如图33〕图33第五步：再次来到默认网站属性中的网站标签，可以看到SSL端口已经配置了端口信息——443。〔如图34〕图34至此我们就完成了SSL加密站点的配置工作，客户端访问效劳器的IIS网站时所浏览的信息是通过加密的，是非常平安的。七、浏览SSL加密站点：效劳器上设置完SSL加密站点功能后我们在客户机上通过浏览器访问该站点时就会弹出一个“平安警报〞窗口。〔如图35〕只有信任该证书后才能够正常浏览网站信息。〔如图36〕图36小提示：在访问通过SSL加密的站点时所输入的地址应该以s://开头，例如本文中应该使用s://5。如果仍然那使用://5那么会出现“该网页必须通过平安频道查看，您要查看的网页要求在地址中使用"s"。禁止访问：要求SSL〞的提示。总结：本文介绍的步骤是建立