给IIS加把安全锁-教你轻松创建身份验证证书
作者: 郑斌
责任编辑: 阚智
来源: 中小企业IT采购
时间: 2006-11-20 14:09
关键字: 身份验证证书,安全
浏览: 0
点赞: 0
收藏: 0
创建SSL身份验证证书
要想对IIS中的指定网站信息建立加密传输机制的话,首先需要为该目标网站创建一个SSL身份验证证书,该证书的创建操作只需要通过Windows 2003服务器操作系统内置的“Web服务器证书向导”功能就能轻松完成;下面就是为目标网站创建证书请求文件的具体操作步骤:
依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,双击“管理工具”图标,并在其后界面中双击“Internet 信息服务(IIS)管理器”图标,打开系统的IIS控制台界面。
接下来将“现在准备证书请求,但稍后发送”项目选中,然后为新证书设置一个合适的名称,同时在“位长”列表框中为新证书设置一个合适的密钥位长;下面再输入好使用证书的单位以及部门信息,然后输入站点的公用名称,一般来说要是该站点位于Internet上的话,就应该输入该站点的完整域名信息。完成好上面的所有信息输入操作后,Web服务器证书向导窗口将会弹出如图2所示的界面,提示我们指定一个合适的文本文件来保存证书请求信息,默认状态下系统会自动在Windows安装根目录下创建一个名为“certreq.txt”的文本文件来作为证书请求文件,最后单击向导窗口中的“完成”按钮就能结束SSL身份验证证书的创建任务了。
手工添加证书服务
由于Windows 2003服务器操作系统在缺省状态下并不支持证书服务,这样的话安装在该系统中的网站自然就无法申请网站证书;为了能够正确申请网站证书,我们需要按照下面的方法,先将证书服务启动好:
依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,双击“添加或删除程序”图标,再其后出现的窗口中再单击“添加/删除Windows组件”标签,在弹出的如图3所示的标签页面中将“证书服务” 项目选中,随后系统打开一个提示界面提醒我们一旦安装好了证书服务后,将无法更改域成员身份以及计算机名称,同时询问我们是否需要继续下面的操作。
接下来单击“下一步”按钮,Windows系统将会自动创建好密钥信息,然后会弹出“证书数据库设置”对话框,在该对话框的“证书数据库”文本框中指定好证书数据库的存放位置,在该对话框的“证书数据库日志”文本框中指定好证书数据库日志的存放位置,然后再单击“下一步”按钮;随后系统将会自动按照我们的设置要求进行配置系统,同时提示我们插入Windows 2003服务器操作系统的安装光盘,一旦插入安装光盘后,Windows系统就会自动完成证书服务的其他配置任务。
申请高级网站证书
为了让目标网站使用SSL加密机制,来保证网站信息在传输过程中不被人偷窥,我们需要申请一个高级网站证书;在申请网站证书时,我们可以按照如下步骤来操作:
依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,双击“证书颁发机构”图标,在其后界面的左侧窗格区域中选中“挂起的申请”选项,在对应该选项右侧的窗格区域中用鼠标右键单击前面申请好的证书,并依次执行右键菜单中的“所有任务”/“颁发”命令。
下面再选中“颁发的证书”选项,并在对应该选项右侧的窗格区域中用鼠标左键双击前面申请好的证书,在随后弹出的证书对话框中单击“详细信息”标签,打开如图7所示的标签页面;接着单击该标签页面中的“复制到文件”按钮,打开证书导出向导界面,根据界面提示指定好具体的文件名称,结束证书的颁发任务。
将证书导入网站目录
为了让目标网站所对应的目录文件信息全部使用SSL加密传输功能,我们需要将前面申请好的网站证书导入到目标网站所对应的目录中;在导入网站证书时,可以按照下面的步骤来操作:
依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,双击“管理工具”图标,并在其后界面中双击“Internet 信息服务(IIS)管理器”图标,打开系统的IIS控制台界面。
在该界面的左侧窗格区域中,依次展开“本地计算机”/“网站”分支,再用鼠标右键单击该分支下面的目标网站名称,从弹出的右键菜单中执行“属性”命令,打开目标网站的属性设置界面。
单击该界面中的“目录安全性”标签,并在对应标签页面的“安全通信”设置项处,单击“服务器证书”按钮,打开IIS证书向导设置窗口,然后选择“分配现有证书”选项,再将前面颁发好的证书选中,最后在如图8所示的界面中指定好网站应该使用的SSL端口,缺省状态下该端口号码为“443”,完成上面的设置后,再单击“完成”按钮返回到目标网站的“目录安全性”标签页面。
接下来在“身份验证和访问控制”设置项处单击“编辑”按钮,打开身份验证方法设置窗口,将该窗口中的“启用匿名访问”选项以及“集成Windows身份验证”选项的选中状态取消,再将“基本身份验证”选项选中,随后系统将会自动弹出一提示界面,单击该界面中的“是”按钮,最后单击“确定”按钮返回到目录安全标签页面。
下面再单击目标网站属性界面中的“网站”标签,并在对应标签页面的SSL端口文本框中输入事先设置好的SSL端口号码,最后单击一下“确定”按钮就可以了。以后我们再次访问目标网站中的信息时,必须使用形如“https://xxx.xxx.xxx.xxx”格式的URL地址(其中xxx.xxx.xxx.xxx为目标网站的域名地址或IP地址),才能看到网站中的具体内容。不过,在第一次通过HTTPS方式访问目标站点时,浏览器将会自动打开一个安全警告窗口来提示我们是否同意当前证书,我们单击一下“是”按钮来浏览网站信息时,目标网站中的信息就会在传输过程中被自动加密,其他任何人都不会偷窥到其中的内容,这样IIS信息访问就会更加安全。
要想对IIS中的指定网站信息建立加密传输机制的话,首先需要为该目标网站创建一个SSL身份验证证书,该证书的创建操作只需要通过Windows 2003服务器操作系统内置的“Web服务器证书向导”功能就能轻松完成;下面就是为目标网站创建证书请求文件的具体操作步骤:
依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,双击“管理工具”图标,并在其后界面中双击“Internet 信息服务(IIS)管理器”图标,打开系统的IIS控制台界面。
接下来将“现在准备证书请求,但稍后发送”项目选中,然后为新证书设置一个合适的名称,同时在“位长”列表框中为新证书设置一个合适的密钥位长;下面再输入好使用证书的单位以及部门信息,然后输入站点的公用名称,一般来说要是该站点位于Internet上的话,就应该输入该站点的完整域名信息。完成好上面的所有信息输入操作后,Web服务器证书向导窗口将会弹出如图2所示的界面,提示我们指定一个合适的文本文件来保存证书请求信息,默认状态下系统会自动在Windows安装根目录下创建一个名为“certreq.txt”的文本文件来作为证书请求文件,最后单击向导窗口中的“完成”按钮就能结束SSL身份验证证书的创建任务了。
手工添加证书服务
由于Windows 2003服务器操作系统在缺省状态下并不支持证书服务,这样的话安装在该系统中的网站自然就无法申请网站证书;为了能够正确申请网站证书,我们需要按照下面的方法,先将证书服务启动好:
依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,双击“添加或删除程序”图标,再其后出现的窗口中再单击“添加/删除Windows组件”标签,在弹出的如图3所示的标签页面中将“证书服务” 项目选中,随后系统打开一个提示界面提醒我们一旦安装好了证书服务后,将无法更改域成员身份以及计算机名称,同时询问我们是否需要继续下面的操作。
接下来单击“下一步”按钮,Windows系统将会自动创建好密钥信息,然后会弹出“证书数据库设置”对话框,在该对话框的“证书数据库”文本框中指定好证书数据库的存放位置,在该对话框的“证书数据库日志”文本框中指定好证书数据库日志的存放位置,然后再单击“下一步”按钮;随后系统将会自动按照我们的设置要求进行配置系统,同时提示我们插入Windows 2003服务器操作系统的安装光盘,一旦插入安装光盘后,Windows系统就会自动完成证书服务的其他配置任务。
申请高级网站证书
为了让目标网站使用SSL加密机制,来保证网站信息在传输过程中不被人偷窥,我们需要申请一个高级网站证书;在申请网站证书时,我们可以按照如下步骤来操作:
依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,双击“证书颁发机构”图标,在其后界面的左侧窗格区域中选中“挂起的申请”选项,在对应该选项右侧的窗格区域中用鼠标右键单击前面申请好的证书,并依次执行右键菜单中的“所有任务”/“颁发”命令。
下面再选中“颁发的证书”选项,并在对应该选项右侧的窗格区域中用鼠标左键双击前面申请好的证书,在随后弹出的证书对话框中单击“详细信息”标签,打开如图7所示的标签页面;接着单击该标签页面中的“复制到文件”按钮,打开证书导出向导界面,根据界面提示指定好具体的文件名称,结束证书的颁发任务。
将证书导入网站目录
为了让目标网站所对应的目录文件信息全部使用SSL加密传输功能,我们需要将前面申请好的网站证书导入到目标网站所对应的目录中;在导入网站证书时,可以按照下面的步骤来操作:
依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,双击“管理工具”图标,并在其后界面中双击“Internet 信息服务(IIS)管理器”图标,打开系统的IIS控制台界面。
在该界面的左侧窗格区域中,依次展开“本地计算机”/“网站”分支,再用鼠标右键单击该分支下面的目标网站名称,从弹出的右键菜单中执行“属性”命令,打开目标网站的属性设置界面。
单击该界面中的“目录安全性”标签,并在对应标签页面的“安全通信”设置项处,单击“服务器证书”按钮,打开IIS证书向导设置窗口,然后选择“分配现有证书”选项,再将前面颁发好的证书选中,最后在如图8所示的界面中指定好网站应该使用的SSL端口,缺省状态下该端口号码为“443”,完成上面的设置后,再单击“完成”按钮返回到目标网站的“目录安全性”标签页面。
接下来在“身份验证和访问控制”设置项处单击“编辑”按钮,打开身份验证方法设置窗口,将该窗口中的“启用匿名访问”选项以及“集成Windows身份验证”选项的选中状态取消,再将“基本身份验证”选项选中,随后系统将会自动弹出一提示界面,单击该界面中的“是”按钮,最后单击“确定”按钮返回到目录安全标签页面。
下面再单击目标网站属性界面中的“网站”标签,并在对应标签页面的SSL端口文本框中输入事先设置好的SSL端口号码,最后单击一下“确定”按钮就可以了。以后我们再次访问目标网站中的信息时,必须使用形如“https://xxx.xxx.xxx.xxx”格式的URL地址(其中xxx.xxx.xxx.xxx为目标网站的域名地址或IP地址),才能看到网站中的具体内容。不过,在第一次通过HTTPS方式访问目标站点时,浏览器将会自动打开一个安全警告窗口来提示我们是否同意当前证书,我们单击一下“是”按钮来浏览网站信息时,目标网站中的信息就会在传输过程中被自动加密,其他任何人都不会偷窥到其中的内容,这样IIS信息访问就会更加安全。
©本站发布的所有内容,包括但不限于文字、图片、音频、视频、图表、标志、标识、广告、商标、商号、域名、软件、程序等,除特别标明外,均来源于网络或用户投稿,版权归原作者或原出处所有。我们致力于保护原作者版权,若涉及版权问题,请及时联系我们进行处理。
