1. 在Windows 2000中选择“开始”→“程序”→“治理工具”→“Internet 服务治理器” , 启动IIS治理界面 。
2. 选中主机名下的“默认Web站点” 项 , 右击 , 在弹出式菜单中选择“属性”菜单项 , 并在弹出的对话框中选择“目录安全性”标签页 , 如图2所示 。
3. 单击“安全通信”下的“服务器证书”按钮(假如该IIS以前没有安装过Web服务器证书 , “安全通信”下的“查看证书”和“编辑”按钮都是不可用的) , 弹出Web服务器证书向导对话框 , 显示目前Web服务器证书的状态 , 并指导用户安装或删除证书 。单击“下一步”按钮继续 。
4. 接下来弹出的对话框要求用户选择Web服务器证书的产生方式 , 如图3所示 , 选择“创建一个新证书”项 , 单击“下一步”按钮继续 。
图3 选择Web服务器证书的产生方式
5. 在接着弹出的对话框中 , 要求用户选择证书请求的发送方式 。假如选择稍后发送 , 系统将把证书请求保存为一个文件 , 可以在以后的任何时候把该请求发送给CA来请求证书;假如选择马上发送 , 则会把请求直接发送给CA , CA将把产生的证书自动安装到IIS(对Windows 2000企业CA而言 , 假如是其他CA , 产生的方式可能会有所不同) 。选择马上发送到在线CA , 单击“下一步”按钮继续 。
6. 接下来的对话框中要求输入新证书的名称和密钥长度 , 对服务器证书而言 , 一般选择1024位或以上长度 。选择好后单击“下一步”按钮继续 。
7. 然后在弹出的对话框中输入证书中要求的组织信息 , 如组织名称和组织部门 。单击“下一步”按钮继续 。
8. 接下来的对话框要求用户输入拥有此证书的Web站点的公用名称 , 它必须是一个合法的域名称 , 对同一网络中的不同证书 , 该名称唯一 。假如服务器在 Internet上 , 公用名称应为有效的DNS名;假如服务器在Intranet中 , 公用名称可以为计算机的NetBIOS名 , 即计算机名 。输入完后单击 “下一步”继续 。
9. 在接下来的对话框中输入证书中要求的地理信息 , 如国家名、省名和市名 , 输入完毕后 , 单击“下一步”按钮继续 。
10. 然后系统要求用户输入处理证书请求的证书颁发机构 , 该CA一般本系统中可用的在线CA 。单击“下一步”按钮继续 。
11. 然后系统弹出证书信息总结对话框 , 单击“下一步”按钮继续 , 则CA系统处理证书请求 , 并产生用户要求的Web服务器证书 , 然后单击系统弹出的“完成”按钮 , 即完成了Web服务器证书的申请 。
至此 , 已经完成了Web服务器证书的申请和安装任务 , 然后就可以对IIS进行安全配置 。单击图2所示的“安全通信”中的“查看”按钮 , 可以查看前面申请的 Web服务器证书;单击“编辑”按钮 , 弹出如图4所示的“安全通信”设置对话框 。可以在此对话框中设置安全Web服务器时一些属性 , 如在访问该服务器时是否需要SSL通道、是否使用128位强加密、是否需要验证客户端证书、是否把证书映射到用户账号 , 以使用客户证书来控制对资源的方式等 。
图4 IIS Web服务器证书的安全配置
默认情况下忽略客户证书 , 即用户访问配置好SSL服务器证书的Web站点时 , 不需要提交自己的证书 。至此 , 其他用户就可以采用SSL安全方式来访问配置好SSL服务器证书的Web站点了 , 即在浏览器地址栏内输入类似“https://….”字样的URL地址 。
4 结论
由于出口限制和其他原因 , 目前的浏览器(包括IE和Netscape)只能支持56位对称密钥和512位非对称密钥长度的SSL连接 , 这在实际应用中是非常不安全的 , 安全的SSL系统需要至少128位对称密钥和1024位非对称密钥长度 。在SSL的客户机/服务器模式下 , 即使服务器端可以支持位数更多的密钥长度 , 具有较高的安全强度 , 但由于客户端的限制 , 实际SSL连接中只能使用客户端较低位数的密钥长度来进行安全信息传输 。所以很多安全系统的客户端大都安装了一个SSL代理程序 , 它直接接管浏览器发送和接收的信息 , 利用安全的密钥长度与服务器进行交互(必要的时候还需要在服务器端安装SSL服务器代理) 。
推荐阅读
- HTTP协议基础
- 如何使用 IPSec 阻止特定网络协议和端口
- sniffer帮助理解子网掩码、网关与ARP协议的作用
- 房屋出售协议包括哪些内容
- Internet的标准通信协议—TCP/IP协议
- 广域网协议设置
- NGN网络协议解析
- APP对决Web3S:探索RESTful协议之路
- 1 用协议分析工具学习TCP/IP
- 透视你的网络 完美测试TCP/IP协议简介