(完整)3-SSL应用实例

利用SSL加密HTTP通道来加强IIS安全SSL（加密套接字协议层）位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个惟一的安全通道。建立了SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，并且在使用URL资源定位器时，输入https://，而不是http://一、先决条件：

要想成功架设SSL安全站点关键要具备以下几个条件。

1、需要从可信的证书颁发机构CA获取服务器证书。

2、必须在WEB服务器上安装服务器证书。

3、必须在WEB服务器上启用SSL功能。

4、客户端（浏览器端）必须同WEB服务器信任同一个证书认证机构，即需要安装CA证书。

二、准备工作：

在实施SSL安全站点之前需要我们做一些准备工作。

第一步：默认情况下IIS组件是安装在windows2000中的，如果没有该组件请自行安装。

第二步：我们建立的IIS站点默认是使用HTTP协议的，打开浏览器在地址处输入“http://本机IP”（不含引号）就可以访问。第三步：安装证书服务，通过控制面板中的添加/删除程序，选择添加/删除windows组件。在windows组件向导中找到“证书服务”，前面打勾后点“下一步”。小提示：证书服务有两个子选项“证书服务Web注册支持”和“证书服务颁发机构(CA)”。为了方便这两个功能都需要安装。第四步：系统会弹出“安装证书服务后计算机名和区域成员身份会出现改变，是否继续”的提示，我们选“是”即可。第五步：在windows组件向导CA类型设置窗口中选择独立根CA。

第六步：CA识别信息处的CA公用名称输入本地计算机的IP地址，如5，其他设置保留默认信息即可。第七步：输入证书数据库等信息的保存路径，仍然选择默认位置系统目录的system32下的certlog即可。第八步：下一步后出现“要完成安装，证书服务必须暂时停止IIS服务”的提示。选择“是”后继续。第九步：开始复制组件文件到本地硬盘。第十步：安装过程中会出现缺少文件的提示，我们需要将windows2000系统光盘插入光驱中才能继续。第十一步：继续复制文件完成windows组件的安装工作。三、配置证书：下面介绍如何通过IIS证书向导配置我们需要的证书文件。第一步：通过“管理工具”中的IIS管理器启动IIS编辑器。第二步：在默认网站上点鼠标右键选择“属性”。第三步：在默认网站属性窗口中点“目录安全性”标签，然后在安全通信处点“服务器证书”按钮。第四步：系统将自动打开WEB服务器证书向导。第五步：服务器证书处选择“新建证书”，然后下一步继续。第六步：延迟或立即请求处选择“现在准备证书请求，但稍后发送”。第七步：设置证书的名称和特定位长，名称保持默认网站即可，在位长处我们通过下拉菜单选择512。小提示：位长主要用于安全加密，位长越来则越安全，不过传输效率会受到一定的影响，网站性能也受影响。一般来说选择512已经足够了。第八步：输入单位信息，包括单位和部门。第九步：在站点公用名称窗口输入localhost。第十步：地理信息随便填写即可。第十一步：设置证书请求的文件名，我们可以将其保存到C盘根目录下面方便调用，保存的文件名为certreq.txt。第十二步：完成了IIS证书向导配置工作，并按照要求将相应的证书文件保存到桌面。四、申请证书：

配置好IIS所需的证书文件后就要根据该证书内容进行申请了。第一步：打开IE浏览器在地址栏中输入http://localhost/certsrv/打开证书服务界面。第二步：点“申请一个证书”后继续。第三步：在申请证书界面选择“高级证书申请”。第四步：在高级证书申请界面选择“使用base64编码的CMC或PKCS#10文件提交一个证书申请，或继订证书申请”。第五步：将复制的全部内容粘贴到“提交一个证书申请或续订申请”界面，然后点“提交”按钮。第六步：成功申请后出现证书挂起提示，说明证书申请已经收到，等待管理员通过申请认证。至此我们就完成了证书的申请工作，下面要通过刚刚申请的证书认证。五、验证证书：

证书申请后还需要服务器的管理员手动颁发该证书才能使之生效。第一步：我们选择任务栏的“开始->程序->管理工具->证书颁发机构”。第二步：在左边选项中找到“待定申请”。第三步：查看右边的列表，刚才提交的证书申请赫然在目，在待申请的证书上单击鼠标右键，弹出菜单中有“所有任务”一项，接着选择子项“颁发”。这时这个“待定申请”就会转移到“颁发的证书”下面。第四步：在“颁发的证书”下找到刚才那个证书，双击打开。并在“证书属性窗口”的”详细信息”标签中选择“复制到文件”。第五步：在“证书导出向导”中，任意选择一种CER格式导出，比如“DER编码二进制”并保存成文件。我们需要把证书导出到一个文件，这里我们把证书导出到c:\sql.cer这个文件里。

重新回到IIS的WEB管理界面里重新选择证书申请，这个时候出来的界面就是挂起的证书请求了。通过以上五步操作我们的IIS证书就通过了系统管理员的审核，下面就可以通过审核过的证书建立SSL加密站点了。六、配置IIS的SSL安全加密功能

在IIS设置窗口中启用SSL安全加密功能第一步：在默认网站属性窗口中点“目录安全性”标签，然后在安全通信处点“服务器证书”按钮。第二步：挂起的证书请求窗口中选择“处理挂起的请求并安装证书”选项。第三步：通过浏览按钮找到在验证证书第五步中通过证书导出向导刚刚保存的DER编码格式的文件。第四步：这时我们就可以设置SSL参数了，在安全通信属性中将”要求安全通道SSL”前打上对勾，从而启用了IIS站点的SSL加密功能。第五步：再次来到默认网站属性中的“网站”标签，可以看到SSL端口已经配置了端口信息——443。至此我们就完成了SSL加密站点的配置工作，客户端访问服务器的IIS网站时所浏览的信息是通过加密的，是非常安全的。

七、浏览SSL加密站点：

服务器上设置完SSL加密站点功能后我们在客户机上通过浏览器访问该站点时就会弹出一个“安全警报”窗口。只有信任该证书后才能够正常浏览网站信