Web CA服务器的建立访问权限等设置.docx

1、Web CA服务器的建立访问权限等设置计算机科学与技术学院网站建设与管理Web服务器的建立题目Web服务器的建立学生姓名冯守领学号2010121233专业班级10级科技二班指导老师 刘仁山Web服务器的建立一、建立Web工作站的原理1、web工作原理web本意是蜘蛛网和网的意思。现广泛译作网络、互联网等技术领域。表现为三种形式，即超文本（hypertext）、超媒体（hypermedia）、超文本传输协议（HTTP）等。当你想进入一个网页, 或者其他网络资源的时候，通常你要首先在你的浏览器上键入你想访问网页的统一资源定位符（Uniform Resource Locator)，或者通过超链接方式

2、链接到那个网页或网络资源。这之后的工作首先是URL的服务器名部分，被名为域名系统的分布于全球的因特网数据库解析，并根据解析结果决定进入哪一个IP地址(IP address)。 接下来的步骤是为所要访问的网页，向在那个IP地址工作的服务器发送一个HTTP请求。在通常情况下，HTML文本、图片和构成该网页的一切其他文件很快会被逐一请求并发送回用户。 网络浏览器接下来的工作是把HTML、CSS和其他接受到的文件所描述的内容，加上图像、链接和其他必须的资源，显示给用户。这些就构成了你所看到的“网页”。 大多数的网页自身包含有超链接指向其他相关网页，可能还有下载、源文献、定义和其他网络资源。像这样通过超

3、链接，把有用的相关资源组织在一起的集合，就形成了一个所谓的信息的“网”。这个网在因特网上被方便使用，就构成了最早在1990年代初蒂姆伯纳斯-李所说的万维网。2、HTTP的工作原理由于HTTP协议是基于请求/响应范式的(相当于客户机/服务器)。一个客户机与服务器建立连接后，发送一个请求给服务器，请求方式的格式为：统一资源标识符(URL)、协议版本号，后边是MIME信息包括请求修饰符、客户机信息和可能的内容。服务器接到请求后，给予相应的响应信息，其格式为一个状态行，包括信息的协议版本号、一个成功或错误的代码，后边是MIME信息包括服务器信息、实体信息和可能的内容。许多HTTP通讯是由一个用户代理初

4、始化的并且包括一个申请在源服务器上资源的请求。最简单的情况可能是在用户代理和服务器之间通过一个单独的连接来完成。在Internet上，HTTP通讯通常发生在TCP/IP连接之上。缺省端口是TCP80，但其它的端口也是可用的。但这并不预示着HTTP协议在Internet或其它网络的其它协议之上才能完成。HTTP只预示着一个可靠的传输。这个过程就好像我们打电话订货一样，我们可以打电话给商家，告诉他我们需要什么规格的商品，然后商家再告诉我们什么商品有货，什么商品缺货。这些，我们是通过电话线用电话联系(HTTP是通过TCP/IP)，当然我们也可以通过传真，只要商家那边也有传真。以上简要介绍了HTTP协

5、议的宏观运作方式，下面介绍一下HTTP协议的内部操作过程。在www中，“客户”与“服务器”是一个相对的概念，只存在于一个特定的连接期间，即在某个连接中的客户在另一个连接中可能作为服务器。基于HTTP协议的客户/服务器模式的信息交换过程，它分四个过程：建立连接、发送请求信息、发送响应信息、关闭连接。这就好像上面的例子，我们电话订货的全过程。其实简单说就是任何服务器除了包括HTML文件以外，还有一个HTTP驻留程序，用于响应用户请求。你的浏览器是HTTP客户，向服务器发送请求，当浏览器中输入了一个开始文件或点击了一个超级链接时，浏览器就向服务器发送了HTTP请求，此请求被送往由IP地址指定的URL

6、。驻留程序接收到请求，在进行必要的操作后回送所要求的文件。在这一过程中，在网络上发送和接收的数据已经被分成一个或多个数据包(packet)，每个数据包包括：要传送的数据；控制信息，即告诉网络怎样处理数据包。TCP/IP决定了每个数据包的格式。如果事先不告诉你，你可能不会知道信息被分成用于传输和再重新组合起来的许多小块。也就是说商家除了拥有商品之外，它也有一个职员在接听你的电话，当你打电话的时候，你的声音转换成各种复杂的数据，通过电话线传输到对方的电话机，对方的电话机又把各种复杂的数据转换成声音，使得对方商家的职员能够明白你的请求。这个过程你不需要明白声音是怎么转换成复杂的数据的。3、加/解密原

7、理Web工作站的加解密工作原理也就是PKI的工作原理。在当今高度信息化、数字化的社会里，随着互联网的发展和信息技术的普及，人们已经开始习惯于通过各种先进的通信手段传递重要的数据、图像和话音等信息进行各种交流，网络给人们的工作和生活带来了前所未有的便利。同时，人们对网络和信息的安全性提出了越来越高的要求。然而，由于互联网所具有的广泛性和开放性，决定了互联网不可避免地存在着信息安全隐患。因此，信息的安全问题成为人们关注的焦点，引起了世界各国政府以及商业机构的高度重视。为了防范信息安全风险，许多新的安全技术和规范不断的出现，公钥基础设施PKI(Public Key Infrastructure，简称

8、PKI)即是其中重要一员。 正如电子商务的基础设施之一是网络基础设施，借助于网络基础设施可使不同的网络节点之间互相交换数据，共享网络资源。建立网络基础设施的目的就是使不同的实体只要需要，就可以方便地使用基础设施提供的服务。安全基础设施与网络基础设施遵循同样的原则，安全基础设施为整体应用系统提供安全基本框架，它可以被应用系统中任何需要安全应用的对象使用。因此，其在设计上必须具有一般性和通用性。只有这样，那些需要使用这种基础设施的对象在使用安全服务时，才不会遇到困难。PKI就是这样一种安全基础设施，利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。用户可利用PKI平台提供的服务进行

9、安全通信。 公钥加密技术 公钥加解密技术的结构：每个网络用户有两个密钥，称为公钥和私钥。在信息的发送和接受过程中，使用一个密钥加密，使用另一个密钥解密，同一个用户的两个密钥可以互相加解密，但这两个密钥相互之间很难相互推导得出。公钥：称为公开密钥，可以向其他用户公开私钥：称为私有密钥，是用户自己拥有，不能公开。二、建立IIS Web网站的过程1、IIS安装配置IIS是Windows操作系统自带的组件。如果在安装操作系统的时候没有安装IIS，请打开“控制面板”-“添加或删除程序”-“添加/删除Windows组件”-应用程序服务器(如图1)详细信息Internet信息服务(如图2)。然后单击“下一步

10、”，按向导指示，完成对IIS的安装。图1图2启动Internet信息服务（IIS）。Internet信息服务简称为IIS，单击Windows开始菜单-所有程序-管理工具-Internet信息服务（IIS）管理器，即可启动“Internet信息服务”管理工具（如图3）图3Internet信息服务（IIS）管理器IIS安装后，系统自动创建了一个默认的Web站点，该站点的主目录默认为C:Inetpubwww.root。用鼠标右键单击“默认Web站点”，在弹出的快捷菜单中选择“属性”，此时就可以打开站点属性设置对话框，（如图4）在该对话框中，可完成对站点的全部配置。图4默认Web站点的主目录2、建立W

11、eb站点在Internet信息服务（IIS）管理器中点击“网站”右键“新建网站”下一步(如图5)图5输入网站描述“守领的网站”(如图6)图6输入网站的IP“192.168.2.205”，默认端口号为80(如图7)图7输入网站的主目录“C:Webcaptain”图8设置网站的访问权限(图9)图93、web服务器多站点的设置方法(1)设置多端口的方法我们知道Web站点的默认端口一般为80，如果改变这一端口，就能实现在同一服务器上新增站点的目的。我用于做实验的这台服务器名为CAPTAIN，安装有一块网卡，IP地址为192.168.2.205，在上一步IIS的安装配置中我已经新建了一Web站点“守领的

12、Web站点”。下面我们来增加“船长”站点（如图10）。图10在Internet信息服务（IIS）管理器中点击“网站”右键“新建网站”下一步输入网站描述同“守领的网站”的创建步骤相同，依次点击下一步，将站点说明定为“船长”，IP地址选择192.168.2.205，在TCP端口栏一定要将默认的80修改为其他值，如1200(如图11)。图11选定主目录，设置好访问权限，“船长”站点的设置也完成了。测试一下效果，在浏览器地址栏中输入http：/192.168.2.1、205（默认的端口号80可以省略），回车，我们将访问到“守领的网站”站点。输入http：/192.168.2.205：1200（注意IP

13、地址后的端口号一定不能少），则会出现“船长”站点。(2)设置多IP的方法一般情况下，一块网卡只设置了一个IP地址。如果我们为这块网卡绑定多个IP地址，每个IP地址对应一个Web站点，那么同样可以实现“一机多站”的目的。点击“开始”“设置”“网络连接”键单击“本地连接”，选择“属性”调出“本地连接属性”面板，选择“Internet协议（TCP/IP）”(如图12)。图12点击“属性”调出“Internet协议（TCP/IP）属性”面板，点击下方的“高级”调出“高级TCP/IP设置”面板。在IP地址栏下面列出了网卡已设定的IP地址和子网掩码，点击添加按钮(如图13)。图13在弹出的对话框中填上新的

14、IP地址192.168.2.206（如图14）。图14注意不能与其他机器的IP地址重复），子网掩码与原有的相同（如255.255.255.0）。然后依次确定，就完成了多个IP地址的绑定。按照上例中的做法设置站点“守领网站”，然后我们来增加“船长”站点。在Internet信息服务（IIS）管理器中点击“网站”右键“新建网站”下一步(创建步骤如上一标题中的船长站点的创建雷同)将站点说明定为“船长”，只是在IP地址选择192.168.2.206(如图15)图15（注意不能与默认站点的IP地址相同），TCP端口保持默认的80不变，选定主目录，设置好访问权限，“船长”站点的设置完成。分别在浏览器地址栏中

15、输入http：/192.168.2.205和http：/192.168.2.206，测试一下效果。如果您嫌通过输入IP地址访问站点不够方便的话，完全可以通过设置DNS，用http：/代替http：/192.168.2.205来访问“首领的网站”，用http：/代替http：/192.168.2.206来访问“船长”。(3)设置虚拟目录在Windows Server 2003系统中创建的Web网站，其中的所有内容一般都存储在主目录中。但随着网站内容的不断丰富，用户需要把不同层次的内容组织成网站主目录下的子目录或虚拟目录。在每个虚拟目录下挂载一个站点，从而实现 “一机多站”。创建虚拟目录，虚拟目录

16、既可以是本地磁盘中的任何一个目录，也可以是网络中其他计算机中的目录。相对而言，创建子目录的方式更安全高效。虚拟目录需要在主目录的基础上进行创建，创建步骤如下所述：第1步，在开始菜单中依次单击“管理工具”“Internet信息服务（IIS）管理器”菜单项，打开“Internet 信息服务（IIS）管理器”窗口。在左窗格中依次展开服务器“网站”目录，右键单击Web站点名称（如 “船长的网站”），在弹出的快捷菜单中依次选择“新建”“虚拟目录”命令弹出“虚拟目录创建向导对话框”(如图16)图16第2步，在打开的“虚拟目录创建向导”中单击“下一步”按钮，打开“虚拟目录别名”对话框。然后在“别名”编辑框中

17、输入一个能够反映该虚拟目录用途的名称（如book），并单击“下一步”按钮，如图17所示。图17第3步，打开“网站内容目录”对话框，在此处需要指定虚拟目录所在的路径。单击“浏览”按钮，在本地磁盘或网上邻居中选择目标目录，虚拟目录与网站的主目录可以不在一个分区或物理磁盘中。依次单击“确定”“下一步”按钮，如图18所示。图18第4步，在打开的“虚拟目录访问权限”对话框中，可以设置该虚拟目录准备赋予用户的访问权限。用户可以根据实际需要设置合适的权限，并单击“下一步”按钮，如图19图19第5步，打开完成创建虚拟目录对话框，单击“完成”按钮关闭虚拟目录创建向导。通过上述设置，用户可以通过“(4)设置多主机

18、头在不更改TCP端口和IP地址的情况下，同样可以实现“一机多站”，这里我们需要使用“主机头名”来区分不同的站点。所谓“主机头名”，实际上就是利用域名网址进行访问，因此要使用“主机头法”实现“一机多站”，就必须先进行DNS设置。在DNS中设置http：/和http：/两个网址，将它们都指向惟一的IP地址192.168.2.205。按照以上两例中的做法首先设置站点“守领的网站”，第1步，在开始菜单中依次单击“管理工具”“Internet信息服务（IIS）管理器”菜单项，打开“Internet 信息服务（IIS）管理器”窗口。在左窗格中依次展开服务器“网站”“守领的网站”右键“属性”,如图20所示图

19、20第2步，在弹出的属性对话框中点击“高级”弹出“高级网站标识”对话框，如图21所示图21第3步，选中IP地址“192.168.2.205”点击“编辑”弹出“添加/编辑网站标识”对话框，如22所示。然后单击“确定”按钮，“守领的网站”部署完毕。图22第4步，然后参考以上例进行添加“船长”站点的操作，IP地址选择192.168.2.205，TCP端口保持默认的80不变，“此站点的主机头”一项一定要填上，然后选定主目录，设置好访问权限，“船长”站点的设置完成。分别在浏览器地址栏中输入http：/和http：/两个网址，测试效果。与上两例不同的是，用“主机头法”实现的“一机多站”必须使用域名网址才能

20、访问。以上4种方式，可以根据具体情况选择使用。如果服务器安装有两块以上的网卡，同样可以采用“IP地址法”为每块网卡指定不同的IP地址，从而实现“一机多站”。三、Web服务器的安全配置1用户验证配置Web站点身份验证和访问控制第一步，在开始菜单中依次单击“管理工具”“Internet信息服务（IIS）管理器”菜单项，打开“Internet 信息服务（IIS）管理器”窗口。在左窗格中依次展开服务器“网站”“守领的网站”右键“属性”“目录安全性”“身份验证和访问控制”。如图23所示。图23第二步，“身份验证和访问控制”栏点击“编辑”，弹出“”对话框，如图24所示。图24第三步，去掉勾选“启用匿名访问

21、”复选框。在“用户访问需经过身份验证”框中选则验证方式。2、IP限制(1)Windows服务器限制访问人数和限制IP如何限制同时访问你网站的人数 第一步，在开始菜单中依次单击“管理工具”“Internet信息服务（IIS）管理器”菜单项，打开“Internet 信息服务（IIS）管理器”窗口。在左窗格中依次展开服务器“网站”“守领的网站”右键“属性”“性能”“网站连接”。如图25所示。图25然后在后面的输入框中输入你允许的最多同时在线的人数，如“1,000”（同图25）。设置完成后，单击“确定”按钮保存设置。重启IIS服务后你的网站就只允许1,000个人同时在线浏览了！ (2)如何限制网站的访

22、问流量如果网页内容只是普通的页面，那么人数多一点也没关系。但如果是下载服务器，那么对带宽和服务器的压力将更大，这不仅要限制网站访问人数，也要限制网站的访问流量。打开图25的“属性”对话框中，单击“性能”标签，单击选中“限制网站可以使用高的网络带宽”选项（如图26），图26然后在此选项框中的“最大网络使用”后的文本框后输入你能承受的最大数据访问流量，比如我们把它改成“500KB/S”，最后单击“确定”按钮。重新启动IIS服务后设置就可以生效了。 (3)如何限制访问你网站的IP地址对于一些重要的服务器，我们并不想让所有人都能访问，或者将一些总是攻击网站的用户屏蔽掉。这就需要添加限制访问风站的IP地

23、址了。 将网站的属性窗口切换到“目录安全性”标签，这时我们可以看到“IP地址及域名限制”选项框中，通过选项框中的功能描述，可以确定我们要找的就是它了。单击框中的“编辑”按钮，弹出如图27。图27所示的对话框，我们可以看到有两个选项：“授权访问”和“拒绝访问”。如果你想网站只给少部分人浏览，可以选择“拒绝访问”，如相反则选“授权访问”项。 选中“授权访问”，选择此项后，我们单击“添加”按钮，打开如图28所示对话框，图28在这里我们可以将少部分不允许访问我们的网站的IP黑名单输入进去。这里的黑名单可以是一台单独的机器，或是一个网段的机器，甚至可以是一个域内的所有机器。设置好后单击“确定”按钮，这下

24、那些黑名单份子就不得进来了（图29）！图29从图中我们也可以看到添加的IP地址的访问设为了“被拒”，也就是“授权访问”中的例外不允许访问的范围，这样可以正确理解为什么在“授权访问”下添加的IP地址是拒绝访问的列表。下面再来看“拒绝访问”，方法同“授权访问”一样，不过这里添加的可是“黄金账号”啊，只有你添加的IP才能访问你的网站哦！全部添加完毕后，一路“确定”保存设置，然后重启IIS服务就可以生效了。3、Web加密(1)、CA的建立安装证书(CA)服务组件要想使用SSL安全机制功能，首先必须为Windows Server 2003系统安装证书服务1、开始 - 控制面板 - 添加或删除程序 - 添

25、加/删除Windows组件，按以下内容勾选并安装安装过程需要提供Windows Server 2003安装光盘2、CA类型选择独立根CA，后面的步骤全部下一步即可3、配置CA的公用名称及有效期限安装完成后，单击“开始”按钮，选择选择“设置”“控制面板”“管理工具”，此时可在该菜单中找到“证书颁发机构”，说明CA的安装已经完成。为网站创建证书请求文件完成了证书服务的安装后，就可以为要使用SSL安全机制的网站创建请求证书文件1、开始 - 控制面板 - 管理工具 - Internet 信息服务(IIS)管理器展开服务器标签，展开网站标签，右键点击要使用SSL的网站，选择属性。这里使用默认网站切换到目

26、录安全性标签，点击服务器证书按钮4、在IIS证书向导中选择新建证书，下一步5、选择现在准备证书请求，但稍后发送，下一步6、输入证书的名称及位长，下一步7、设置证书的单位信息，下一步8、设置证书的公用名称，下一步9、设置证书的地理信息，下一步10、指定证书请求文件的导出路径及文件名，下一步。请记好路径及文件名，等会要用11、验证配置，完成证书请求文件的创建(2)、CA证书的申请申请服务器证书完成证书申请文件的制作之后，需要把证书申请提交给证书服务器打开IE浏览器，在地址栏中输入http:/localhost/certsrv/打开证书服务Web管理。选择申请一个证书2、选择高级证书申请3、选择使用

27、base64编码的CMC或PKCS #10文件提高一个证书申请，或使用base64编码的PKCS#7文件续订证书申请4、打开刚刚创建的证书申请文件c:certreq.txt，将其中的内容复制到“保存的申请”输入框后点击“提交”按钮即可5、证书挂起，等待管理员颁发证书。颁发服务器证书证书申请提交之后，我们就可以扮演管理员颁发证书给申请者了1、开始 - 设置 - 控制面板 - 管理工具 - 证书颁发机构，打开证书颁发机构对话框2、点击挂起的申请，鼠标右键单击申请的证书 - 所有任务 - 颁发。然后就可以在颁发的证书栏内看到证书了3、在颁发的证书内双击刚刚颁发的证书 - 详细信息，然后点击复制到文件

28、按钮，弹出证书导出向导4、连续点击下一步，并在要导出的文件对话框中指定保存路径和文件名，最后点击完成。这里注意记一下证书保存的位置，等会要用到这个证书文件安装服务器证书接下来将已经制作完成的证书安装到Web服务器中1、开始 - 控制面板 - 管理工具 - Internet 信息服务(IIS)管理器2、展开服务器标签，展开网站标签，右键点击要使用SSL的网站，这里使用默认网站3、切换到目录安全性标签，点击服务器证书按钮，弹出Web服务器证书向导4、选择处理挂起的请求并安装证书，下一步5、选择在上一步导出的证书文件，如果上一步是默认配置，通常是*.cer文件，下一步6、指定SSL端口，默认443，

29、下一步7、确认证书安装，没有问题的话就下一步完成Web服务器的证书安装要求安全通道(SSL)服务器证书安装完成后，需要在网站上开启SSL1、开始 - 控制面板 - 管理工具 - Internet 信息服务(IIS)管理器2、展开服务器标签，展开网站标签，右键点击要使用SSL的网站，选择属性。这里使用默认网站3、切换到目录安全性标签，点击安全通信下的编辑按钮4、勾选要求安全通道(SSL)和要求128位加密。客户端证书选择忽略客户端证书验证Web SSL通信1、可以在Web主目录中放置一个HTML文件，随便命名，如slyar.html2、打开IE浏览器，在地址栏中输入https:/localhos

30、t/slyar.html ，当然你也可以在其他电脑的IE客户端上输入https:/服务器IP地址或网站域名/slyar.htm来进行验证，客户端都是一样的3、如果设置成功，客户端IE会弹出如下证书确认信息4、点击是之后即可成功访问网站，同时在浏览器右下角看到锁头图标，实验成功完成(3)CA证书的绑定在IIS中设置网站要求使用SSL并且要求客户端证书的设置客户端申请安装客户端证书Client1在客户机上打开win2003证书服务器URL：http:/192.168.2.205/certsrv，提交一个“Web 浏览器证书”，姓名为“client1”。提交申请后，在win2003机器上证书颁发机构中批准颁发这个Client1证书。在客户机上再次打开win2003机器上证书服务的URL：http:/192.168.2.205/certsrv“查看挂起的证书申请的状态”，会看到整个证书申请已被批准，并能够被安装。点击安装证书，同样在安装过程中会提示是否安装Client1证