Web CA服务器的建立访问权限等设置.docx
《Web CA服务器的建立访问权限等设置.docx》由会员分享,可在线阅读,更多相关《Web CA服务器的建立访问权限等设置.docx(49页珍藏版)》请在冰豆网上搜索。
WebCA服务器的建立访问权限等设置
计算机科学与技术学院
网站建设与管理
Web服务器的建立
题目Web服务器的建立
学生姓名冯守领
学号2010121233
专业班级10级科技二班
指导老师刘仁山
Web服务器的建立
一、建立Web工作站的原理
1、web工作原理
web本意是蜘蛛网和网的意思。
现广泛译作网络、互联网等技术领域。
表现为三种形式,即超文本(hypertext)、超媒体(hypermedia)、超文本传输协议(HTTP)等。
当你想进入一个网页,或者其他网络资源的时候,通常你要首先在你的浏览器上键入你想访问网页的统一资源定位符(UniformResourceLocator),或者通过超链接方式链接到那个网页或网络资源。
这之后的工作首先是URL的服务器名部分,被名为域名系统的分布于全球的因特网数据库解析,并根据解析结果决定进入哪一个IP地址(IPaddress)。
接下来的步骤是为所要访问的网页,向在那个IP地址工作的服务器发送一个HTTP请求。
在通常情况下,HTML文本、图片和构成该网页的一切其他文件很快会被逐一请求并发送回用户。
网络浏览器接下来的工作是把HTML、CSS和其他接受到的文件所描述的内容,加上图像、链接和其他必须的资源,显示给用户。
这些就构成了你所看到的“网页”。
大多数的网页自身包含有超链接指向其他相关网页,可能还有下载、源文献、定义和其他网络资源。
像这样通过超链接,把有用的相关资源组织在一起的集合,就形成了一个所谓的信息的“网”。
这个网在因特网上被方便使用,就构成了最早在1990年代初蒂姆·伯纳斯-李所说的万维网。
2、HTTP的工作原理
由于HTTP协议是基于请求/响应范式的(相当于客户机/服务器)。
一个客户机与服务器建立连接后,发送一个请求给服务器,请求方式的格式为:
统一资源标识符(URL)、协议版本号,后边是MIME信息包括请求修饰符、客户机信息和可能的内容。
服务器接到请求后,给予相应的响应信息,其格式为一个状态行,包括信息的协议版本号、一个成功或错误的代码,后边是MIME信息包括服务器信息、实体信息和可能的内容。
许多HTTP通讯是由一个用户代理初始化的并且包括一个申请在源服务器上资源的请求。
最简单的情况可能是在用户代理和服务器之间通过一个单独的连接来完成。
在Internet上,HTTP通讯通常发生在TCP/IP连接之上。
缺省端口是TCP80,但其它的端口也是可用的。
但这并不预示着HTTP协议在Internet或其它网络的其它协议之上才能完成。
HTTP只预示着一个可靠的传输。
这个过程就好像我们打电话订货一样,我们可以打电话给商家,告诉他我们需要什么规格的商品,然后商家再告诉我们什么商品有货,什么商品缺货。
这些,我们是通过电话线用电话联系(HTTP是通过TCP/IP),当然我们也可以通过传真,只要商家那边也有传真。
以上简要介绍了HTTP协议的宏观运作方式,下面介绍一下HTTP协议的内部操作过程。
在www中,“客户”与“服务器”是一个相对的概念,只存在于一个特定的连接期间,即在某个连接中的客户在另一个连接中可能作为服务器。
基于HTTP协议的客户/服务器模式的信息交换过程,它分四个过程:
建立连接、发送请求信息、发送响应信息、关闭连接。
这就好像上面的例子,我们电话订货的全过程。
其实简单说就是任何服务器除了包括HTML文件以外,还有一个HTTP驻留程序,用于响应用户请求。
你的浏览器是HTTP客户,向服务器发送请求,当浏览器中输入了一个开始文件或点击了一个超级链接时,浏览器就向服务器发送了HTTP请求,此请求被送往由IP地址指定的URL。
驻留程序接收到请求,在进行必要的操作后回送所要求的文件。
在这一过程中,在网络上发送和接收的数据已经被分成一个或多个数据包(packet),每个数据包包括:
要传送的数据;控制信息,即告诉网络怎样处理数据包。
TCP/IP决定了每个数据包的格式。
如果事先不告诉你,你可能不会知道信息被分成用于传输和再重新组合起来的许多小块。
也就是说商家除了拥有商品之外,它也有一个职员在接听你的电话,当你打电话的时候,你的声音转换成各种复杂的数据,通过电话线传输到对方的电话机,对方的电话机又把各种复杂的数据转换成声音,使得对方商家的职员能够明白你的请求。
这个过程你不需要明白声音是怎么转换成复杂的数据的。
3、加/解密原理
Web工作站的加解密工作原理也就是PKI的工作原理。
在当今高度信息化、数字化的社会里,随着互联网的发展和信息技术的普及,人们已经开始习惯于通过各种先进的通信手段传递重要的数据、图像和话音等信息进行各种交流,网络给人们的工作和生活带来了前所未有的便利。
同时,人们对网络和信息的安全性提出了越来越高的要求。
然而,由于互联网所具有的广泛性和开放性,决定了互联网不可避免地存在着信息安全隐患。
因此,信息的安全问题成为人们关注的焦点,引起了世界各国政府以及商业机构的高度重视。
为了防范信息安全风险,许多新的安全技术和规范不断的出现,公钥基础设施PKI(PublicKeyInfrastructure,简称PKI)即是其中重要一员。
正如电子商务的基础设施之一是网络基础设施,借助于网络基础设施可使不同的网络节点之间互相交换数据,共享网络资源。
建立网络基础设施的目的就是使不同的实体只要需要,就可以方便地使用基础设施提供的服务。
安全基础设施与网络基础设施遵循同样的原则,安全基础设施为整体应用系统提供安全基本框架,它可以被应用系统中任何需要安全应用的对象使用。
因此,其在设计上必须具有一般性和通用性。
只有这样,那些需要使用这种基础设施的对象在使用安全服务时,才不会遇到困难。
PKI就是这样一种安全基础设施,利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。
用户可利用PKI平台提供的服务进行安全通信。
公钥加密技术
公钥加解密技术的结构:
每个网络用户有两个密钥,称为公钥和私钥。
在信息的发送和接受过程中,使用一个密钥加密,使用另一个密钥解密,同一个用户的两个密钥可以互相加解密,但这两个密钥相互之间很难相互推导得出。
公钥:
称为公开密钥,可以向其他用户公开
私钥:
称为私有密钥,是用户自己拥有,不能公开。
二、建立IISWeb网站的过程
1、IIS安装配置
IIS是Windows操作系统自带的组件。
如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->应用程序服务器(如图1)——详细信息——Internet信息服务(如图2)。
然后单击“下一步”,按向导指示,完成对IIS的安装。
图1
图2
启动Internet信息服务(IIS)。
Internet信息服务简称为IIS,单击Windows开始菜单---所有程序---管理工具---Internet信息服务(IIS)管理器,即可启动“Internet信息服务”管理工具(如图3)
图3—Internet信息服务(IIS)管理器
IIS安装后,系统自动创建了一个默认的Web站点,该站点的主目录默认为C:
\\Inetpub\\www.root。
用鼠标右键单击“默认Web站点”,在弹出的快捷菜单中选择“属性”,此时就可以打开站点属性设置对话框,(如图4)在该对话框中,可完成对站点的全部配置。
图4—默认Web站点的主目录
2、建立Web站点
在Internet信息服务(IIS)管理器中点击“网站”——右键——“新建网站”——下一步(如图5)
图5
输入网站描述“守领的网站”(如图6)
图6
输入网站的IP“192.168.2.205”,默认端口号为80(如图7)
图7
输入网站的主目录“C:
\Web\captain”
图8
设置网站的访问权限(图9)
图9
3、web服务器多站点的设置方法
(1)设置多端口的方法
我们知道Web站点的默认端口一般为80,如果改变这一端口,就能实现在同一服务器上新增站点的目的。
我用于做实验的这台服务器名为CAPTAIN,安装有一块网卡,IP地址为192.168.2.205,在上一步IIS的安装配置中我已经新建了一Web站点“守领的Web站点”。
下面我们来增加“船长”站点(如图10)。
图10
在Internet信息服务(IIS)管理器中点击“网站”——右键——“新建网站”——下一步——输入网站描述……同“守领的网站”的创建步骤相同,依次点击下一步,将站点说明定为“船长”,IP地址选择192.168.2.205,在TCP端口栏一定要将默认的80修改为其他值,如1200(如图11)。
图11
选定主目录,设置好访问权限,“船长”站点的设置也完成了。
测试一下效果,在浏览器地址栏中输入http:
//192.168.2.1、205(默认的端口号80可以省略),回车,我们将访问到“守领的网站”站点。
输入http:
//192.168.2.205:
1200(注意IP地址后的端口号一定不能少),则会出现“船长”站点。
(2)设置多IP的方法
一般情况下,一块网卡只设置了一个IP地址。
如果我们为这块网卡绑定多个IP地址,每个IP地址对应一个Web站点,那么同样可以实现“一机多站”的目的。
点击“开始”→“设置”→“网络连接”——键单击“本地连接”,选择“属性”调出“本地连接属性”面板,选择“Internet协议(TCP/IP)”(如图12)。
图12
点击“属性”调出“Internet协议(TCP/IP)属性”面板,点击下方的“高级”调出“高级TCP/IP设置”面板。
在IP地址栏下面列出了网卡已设定的IP地址和子网掩码,点击添加按钮(如图13)。
图13
在弹出的对话框中填上新的IP地址192.168.2.206(如图14)。
图14
注意不能与其他机器的IP地址重复),子网掩码与原有的相同(如255.255.255.0)。
然后依次确定,就完成了多个IP地址的绑定。
按照上例中的做法设置站点“守领网站”,然后我们来增加“船长”站点。
在Internet信息服务(IIS)管理器中点击“网站”——右键——“新建网站”——下一步(创建步骤如上一标题中的船长站点的创建雷同)将站点说明定为“船长”,只是在IP地址选择192.168.2.206(如图15)
图15
(注意不能与默认站点的IP地址相同),TCP端口保持默认的80不变,选定主目录,设置好访问权限,“船长”站点的设置完成。
分别在浏览器地址栏中输入http:
//192.168.2.205和http:
//192.168.2.206,测试一下效果。
如果您嫌通过输入IP地址访问站点不够方便的话,完全可以通过设置DNS,用http:
//代替http:
//192.168.2.205来访问“首领的网站”,用http:
//代替http:
//192.168.2.206来访问“船长”。
(3)设置虚拟目录
在WindowsServer2003系统中创建的Web网站,其中的所有内容一般都存储在主目录中。
但随着网站内容的不断丰富,用户需要把不同层次的内容组织成网站主目录下的子目录或虚拟目录。
在每个虚拟目录下挂载一个站点,从而实现“一机多站”。
创建虚拟目录,虚拟目录既可以是本地磁盘中的任何一个目录,也可以是网络中其他计算机中的目录。
相对而言,创建子目录的方式更安全高效。
虚拟目录需要在主目录的基础上进行创建,创建步骤如下所述:
第1步,在开始菜单中依次单击“管理工具”→“Internet信息服务(IIS)管理器”菜单项,打开“Internet信息服务(IIS)管理器”窗口。
在左窗格中依次展开服务器→“网站”目录,右键单击Web站点名称(如“船长的网站”),在弹出的快捷菜单中依次选择“新建”→“虚拟目录”命令→弹出“虚拟目录创建向导对话框”(如图16)
图16
第2步,在打开的“虚拟目录创建向导”中单击“下一步”按钮,打开“虚拟目录别名”对话框。
然后在“别名”编辑框中输入一个能够反映该虚拟目录用途的名称(如book),并单击“下一步”按钮,如图17所示。
图17
第3步,打开“网站内容目录”对话框,在此处需要指定虚拟目录所在的路径。
单击“浏览”按钮,在本地磁盘或网上邻居中选择目标目录,虚拟目录与网站的主目录可以不在一个分区或物理磁盘中。
依次单击“确定”→“下一步”按钮,如图18所示。
图18
第4步,在打开的“虚拟目录访问权限”对话框中,可以设置该虚拟目录准备赋予用户的访问权限。
用户可以根据实际需要设置合适的权限,并单击“下一步”按钮,如图19
图19
第5步,打开完成创建虚拟目录对话框,单击“完成”按钮关闭虚拟目录创建向导。
通过上述设置,用户可以通过“
(4)设置多主机头
在不更改TCP端口和IP地址的情况下,同样可以实现“一机多站”,这里我们需要使用“主机头名”来区分不同的站点。
所谓“主机头名”,实际上就是利用域名网址进行访问,因此要使用“主机头法”实现“一机多站”,就必须先进行DNS设置。
在DNS中设置http:
//和http:
//两个网址,将它们都指向惟一的IP地址192.168.2.205。
按照以上两例中的做法首先设置站点“守领的网站”,
第1步,在开始菜单中依次单击“管理工具”→“Internet信息服务(IIS)管理器”菜单项,打开“Internet信息服务(IIS)管理器”窗口。
在左窗格中依次展开服务器→“网站”→“守领的网站”→右键“属性”,如图20所示
图20
第2步,在弹出的属性对话框中点击“高级”——弹出“高级网站标识”对话框,如图21所示
图21
第3步,选中IP地址“192.168.2.205”—点击“编辑”—弹出“添加/编辑网站标识”对话框,如22所示。
然后单击“确定”按钮,“守领的网站”部署完毕。
图22
第4步,然后参考以上例进行添加“船长”站点的操作,IP地址选择192.168.2.205,TCP端口保持默认的80不变,“此站点的主机头”一项一定要填上,然后选定主目录,设置好访问权限,“船长”站点的设置完成。
分别在浏览器地址栏中输入http:
//和http:
//两个网址,测试效果。
与上两例不同的是,用“主机头法”实现的“一机多站”必须使用域名网址才能访问。
以上4种方式,可以根据具体情况选择使用。
如果服务器安装有两块以上的网卡,同样可以采用“IP地址法”为每块网卡指定不同的IP地址,从而实现“一机多站”。
三、Web服务器的安全配置
1用户验证
配置Web站点身份验证和访问控制
第一步,在开始菜单中依次单击“管理工具”→“Internet信息服务(IIS)管理器”菜单项,打开“Internet信息服务(IIS)管理器”窗口。
在左窗格中依次展开服务器→“网站”→“守领的网站”→右键“属性”→“目录安全性”→“身份验证和访问控制”。
如图23所示。
图23
第二步,“身份验证和访问控制”栏→点击“编辑”,弹出“”对话框,如图24所示。
图24
第三步,去掉勾选“启用匿名访问”复选框。
在“用户访问需经过身份验证”框中选则验证方式。
2、IP限制
(1)Windows服务器限制访问人数和限制IP
如何限制同时访问你网站的人数
第一步,在开始菜单中依次单击“管理工具”→“Internet信息服务(IIS)管理器”菜单项,打开“Internet信息服务(IIS)管理器”窗口。
在左窗格中依次展开服务器→“网站”→“守领的网站”→右键“属性”→“性能”→“网站连接”。
如图25所示。
图25
然后在后面的输入框中输入你允许的最多同时在线的人数,如“1,000”(同图25)。
设置完成后,单击“确定”按钮保存设置。
重启IIS服务后你的网站就只允许1,000个人同时在线浏览了!
(2)如何限制网站的访问流量
如果网页内容只是普通的页面,那么人数多一点也没关系。
但如果是下载服务器,那么对带宽和服务器的压力将更大,这不仅要限制网站访问人数,也要限制网站的访问流量。
打开图25的“属性”对话框中,单击“性能”标签,单击选中“限制网站可以使用高的网络带宽”选项(如图26),
图26
然后在此选项框中的“最大网络使用”后的文本框后输入你能承受的最大数据访问流量,比如我们把它改成“500KB/S”,最后单击“确定”按钮。
重新启动IIS服务后设置就可以生效了。
(3)如何限制访问你网站的IP地址
对于一些重要的服务器,我们并不想让所有人都能访问,或者将一些总是攻击网站的用户屏蔽掉。
这就需要添加限制访问风站的IP地址了。
将网站的属性窗口切换到“目录安全性”标签,这时我们可以看到“IP地址及域名限制”选项框中,通过选项框中的功能描述,可以确定我们要找的就是它了。
单击框中的“编辑…”按钮,弹出如图27。
图27
所示的对话框,我们可以看到有两个选项:
“授权访问”和“拒绝访问”。
如果你想网站只给少部分人浏览,可以选择“拒绝访问”,如相反则选“授权访问”项。
选中“授权访问”,选择此项后,我们单击“添加”按钮,打开如图28所示对话框,
图28
在这里我们可以将少部分不允许访问我们的网站的IP黑名单输入进去。
这里的黑名单可以是一台单独的机器,或是一个网段的机器,甚至可以是一个域内的所有机器。
设置好后单击“确定”按钮,这下那些黑名单份子就不得进来了(图29)!
图29
从图中我们也可以看到添加的IP地址的访问设为了“被拒”,也就是“授权访问”中的例外不允许访问的范围,这样可以正确理解为什么在“授权访问”下添加的IP地址是拒绝访问的列表。
下面再来看“拒绝访问”,方法同“授权访问”一样,不过这里添加的可是“黄金账号”啊,只有你添加的IP才能访问你的网站哦!
全部添加完毕后,一路“确定”保存设置,然后重启IIS服务就可以生效了。
3、Web加密
(1)、CA的建立
安装证书(CA)服务组件
要想使用SSL安全机制功能,首先必须为WindowsServer2003系统安装证书服务
1、开始-控制面板-添加或删除程序-添加/删除Windows组件,按以下内容勾选并安装
安装过程需要提供WindowsServer2003安装光盘
2、CA类型选择独立根CA,后面的步骤全部下一步即可
3、配置CA的公用名称及有效期限
安装完成后,单击“开始”按钮,选择选择“设置”—>“控制面板”—>“管理工具”,此时可在该菜单中找到“证书颁发机构”,说明CA的安装已经完成。
为网站创建证书请求文件
完成了证书服务的安装后,就可以为要使用SSL安全机制的网站创建请求证书文件
1、开始-控制面板-管理工具-Internet信息服务(IIS)管理器
展开服务器标签,展开网站标签,右键点击要使用SSL的网站,选择"属性"。
这里使用"默认网站"
切换到"目录安全性"标签,点击"服务器证书"按钮
4、在"IIS证书向导"中选择"新建证书",下一步
5、选择"现在准备证书请求,但稍后发送",下一步
6、输入证书的名称及位长,下一步
7、设置证书的单位信息,下一步
8、设置证书的公用名称,下一步
9、设置证书的地理信息,下一步
10、指定证书请求文件的导出路径及文件名,下一步。
请记好路径及文件名,等会要用
11、验证配置,完成证书请求文件的创建
(2)、CA证书的申请
申请服务器证书
完成证书申请文件的制作之后,需要把证书申请提交给证书服务器
打开IE浏览器,在地址栏中输入"http:
//localhost/certsrv/"打开证书服务Web管理。
选择"申请一个证书"
2、选择"高级证书申请"
3、选择"使用base64编码的CMC或PKCS#10文件提高一个证书申请,或使用base64编码的PKCS#7文件续订证书申请"
4、打开刚刚创建的证书申请文件"c:
\certreq.txt",将其中的内容复制到“保存的申请”输入框后点击“提交”按钮即可
5、证书挂起,等待管理员颁发证书。
颁发服务器证书
证书申请提交之后,我们就可以扮演管理员颁发证书给申请者了
1、开始-设置-控制面板-管理工具-证书颁发机构,打开证书颁发机构对话框
2、点击"挂起的申请",鼠标右键单击申请的证书-所有任务-颁发。
然后就可以在"颁发的证书"栏内看到证书了
3、在"颁发的证书"内双击刚刚颁发的证书-详细信息,然后点击"复制到文件"按钮,弹出证书导出向导
4、连续点击"下一步",并在"要导出的文件"对话框中指定保存路径和文件名,最后点击"完成"。
这里注意记一下证书保存的位置,等会要用到这个证书文件
安装服务器证书
接下来将已经制作完成的证书安装到Web服务器中
1、开始-控制面板-管理工具-Internet信息服务(IIS)管理器
2、展开服务器标签,展开网站标签,右键点击要使用SSL的网站,这里使用"默认网站"
3、切换到"目录安全性"标签,点击"服务器证书"按钮,弹出Web服务器证书向导
4、选择"处理挂起的请求并安装证书",下一步
5、选择在上一步导出的证书文件,如果上一步是默认配置,通常是*.cer文件,下一步
6、指定SSL端口,默认443,下一步
7、确认证书安装,没有问题的话就下一步完成Web服务器的证书安装
要求安全通道(SSL)
服务器证书安装完成后,需要在网站上开启SSL
1、开始-控制面板-管理工具-Internet信息服务(IIS)管理器
2、展开服务器标签,展开网站标签,右键点击要使用SSL的网站,选择"属性"。
这里使用"默认网站"
3、切换到"目录安全性"标签,点击"安全通信"下的"编辑"按钮
4、勾选"要求安全通道(SSL)"和"要求128位加密"。
客户端证书选择"忽略客户端证书"
验证WebSSL通信
1、可以在Web主目录中放置一个HTML文件,随便命名,如slyar.html
2、打开IE浏览器,在地址栏中输入https:
//localhost/slyar.html,当然你也可以在其他电脑的IE客户端上输入https:
//服务器IP地址或网站域名/slyar.htm来进行验证,客户端都是一样的
3、如果设置成功,客户端IE会弹出如下证书确认信息
4、点击"是"之后即可成功访问网站,同时在浏览器右下角看到锁头图标,实验成功完成
(3)CA证书的绑定
在IIS中设置网站要求使用SSL并且要求客户端证书的设置
客户端申请安装客户端证书Client1
在客户机上打开win2003证书服务器URL:
http:
//192.168.2.205/certsrv,提交一个“Web浏览器证书”,姓名为“client1”。
提交申请后,在win2003机器上证书颁发机构中批准颁发这个Client1证书。
在客户机上再次打开win2003机器上证书服务的URL:
http:
//192.168.2.205/certsrv“查看挂起的证书申请的状态”,会看到整个证书申请已被批准,并能够被安装。
点击安装证书,同样在安装过程中会提示是否安装Client1证
升级会员 