server https配置Word下载.docx

1、由此可见，用HTTP在Internet上传输数据是很不安全的。2. HTTPS应运而生 随着Internet的日益商业化和社会化，人们对Internet的信息安全性给予了很大的关注，尤其在网上购物、网上银行、商业通信等敏感服务方面更是如此。为了提高HTTP传输数据的安全性，Netscape（网景公司）开发了SSL（Secure Socket Layer，安全套接字层）协议以确保数据在网络上的安全传输。SSL的作用就是对数据进行加密，利用SSL协议可以实现加密的http传输，这就是用户今天讨论的主角HTTPS（即SSL over HTTP）。 使用HTTPS在网络进行数据传输时，数据发送方首先把

2、数据包交给SSL协议进行加密，然后把加密后的数据包交给HTTP传输给数据接收方。数据接收方接收到加密后的数据包后并不能立即读取，而必须交由SSL协议将其解密成明文。在上述数据传输过程中，数据包是以密文的形式在网络上进行传输的。没有合法证书的用户无法解密这些密文，因此数据的安全性非常高。 提示：SSL是HTTPS的灵魂，HTTPS的安全性来源于SSL加密算法。目前SSL 使用一个由Diffle和Hellman提出的称为“公开密钥算法”的密码技术。此技术基于所谓的密钥对，由两个不同的密钥构成一个密钥对。如果使用密钥对的一个密钥加密数据，它就只能用密钥对的另一个密钥解密。密钥对中的一个密钥是公开的，

3、供用户用来加密数据，另一个则是私有的，用来解密用公开密钥加密的数据。 借助HTTPS可以保证Web站点的访问安全，以Windows Server 2003（SP1）系统为例，下面具体谈一谈实现方法。证书服务器用于向Web站点发放证书，默认情况下Windows Server（SP1）系统没有安装证书服务器，因此需要进行手动安装，操作步骤如下所述： Step1 在“控制面板”窗口中双击【添加或删除程序】选项，打开“添加或删除程序”窗口。然后在左窗格中单击【添加/删除Windows组件】按钮，打开“Windows组件向导”对话框。 Step2 在“组件”列表中找到并选中【证书服务】选项，然后单击【详

4、细信息】按钮，在打开的“证书服务”对话框中选中【证书服务Web注册支持】和【证书服务颁发机构（CA）】复选框。依次单击【确定】【下一步】按钮，如图9-76所示。图9-76 “证书服务”对话框 Step3 在打开的“CA类型”对话框中选中【独立根（CA）】单选钮，单击【下一步】按钮，如图9-77所示。图9-77 选择CA类型 Step4 打开“CA识别信息”对话框，输入CA名称等标识信息（如“安全站点”）。在【有效期限】编辑框中设置CA识别信息的有效期限，单击【下一步】按钮，如图9-78所示。图9-78 设置CA识别信息 Step5 打开“证书数据库设置”对话框，建议保持默认路径，并依次单击【下

5、一步】【完成】按钮。提示：在安装过程中系统会提示安装向导将停止IIS服务，单击【是】按钮停止继续安装。如果IIS当前没有启用ASP支持，想到将提示用户启用ASP。单击【是】按钮将继续安装。另外在复制文件的过程中会要求用户提供Windows 2000 Server安装光盘或指定安装源，并且在完成安装后证书服务会自动启动。 Step6 在开始菜单中依次单击【管理工具】【证书颁发机构】菜单项，打开“证书颁发机构”窗口。在左窗中右键单击【安全站点】（即证书服务标识）目录，依次选择【所有任务】【启动服务】命令启动证书服务，如图9-79所示。现在证书服务器已经可以为Web站点提供证书发放服务了，不过如果W

6、eb服务器没有提出申请证书的要求，证书服务器决不会为其主动提供证书。因此需要为Web服务器申请证书，操作步骤如下所述： Step1 在开始菜单中依次单击【管理工具】【Internet信息服务（IIS）管理器】菜单项，打开“Internet信息服务”窗口。在左窗格中右键单击Web站点名称（如“默认网站”），选择【属性】命令，打开“默认Web站点 属性”对话框。切换到【目录安全性】选项卡，单击【服务器证书】按钮。进入Web服务器证书向导，单击【下一步】按钮，如图9-80所示。 图9-80 单击【服务器证书】按钮 Step2 打开“服务器证书”对话框，由于是第一次使用证书向导，因此应该选中【新建证书

7、】单选钮，并单击【下一步】按钮，如图9-81所示。图9-81 选中【新建证书】单选钮 Step3 在打开的“延迟或立即请求”对话框中保持【现在准备请求，但稍后发送】单选钮的选中状态，并单击【下一步】按钮。 Step4 打开“名称和安全性设置”对话框，在【名称】编辑框中输入证书的名称。【位长】保持默认值，单击【下一步】按钮，如图9-82所示。图9-82 “名称和安全性设置”对话框 Step5 在接着打开的“单位信息”对话框中设置Web站点的所属单位和部门信息，建议输入真实有效的信息，单击【下一步】按钮，如图9-83所示。图9-83 “单位信息”对话框 Step6 打开“站点公用名称”对话框后直接

8、单击【下一步】按钮，打开“地理信息”对话框。设置合适的地理位置信息并单击【下一步】按钮，如图9-84所示。图9-84 “地理信息”对话框 Step7 打开“证书请求文件名”对话框，单击【浏览】按钮指定证书申请文件的保存位置和文件名称（也可以使用默认值，但一定要记住，以备后用）。依次单击【下一步】【完成】按钮完成服务器证书的申请，如图9-85所示。图9-85 “证书请求文件名”对话框为Web服务器申请证书的要求虽然已经提出，但尚未提交给证书服务器进行处理。现在需要登录到证书服务器提交Web服务器发出的证书申请，操作步骤如下所述： Step1 在IE浏览器地址栏中输入证书服务器地址（本例证书服务器

9、IP地址为10.115.223.8）http:/10.115.223.8/CertSrv/default.asp并回车，进入证书服务Web页。在“欢迎”页面中单击【申请一个证书】超链接，如图9-86所示。图9-86 单击【申请一个证书】超链接 Step2 打开“申请一个证书”Web页，单击【高级证书申请】超链接，并单击【下一步】按钮，如图9-87所示。图9-87 单击【高级证书申请】超链接 Step3 打开“高级证书申请”Web页，单击【使用 base64 编码的 PKCS #10 文件提交一个证书申请，或使用 base64 编码的 PKCS #7 文件更新证书申请】超链接，并单击【下一步】按

10、钮，如图9-88所示。图9-88 “高级证书申请”Web页 Step4 在打开的“提交一个证书申请或续交申请”Web页中，找到并打开事先保存的证书申请文件（也就是前面的步骤中提示要记住的文件），并将内容粘贴到“Base64 编码 证书申请 （PKCS#10 或 #7）”文本框中。最后单击【提交】按钮，如图9-89所示。图9-89 “提交一个证书申请或续交申请”Web页 Step5 系统提示证书挂起，要求用户等待管理员颁发所申请的证书，如图9-90所示。图9-90 证书挂起完成提交的证书已经暂时挂起，Web服务器等待证书服务器同意该申请并为自己颁发证书。证书服务器颁发证书的操作步骤如下所述： S

11、tep1 在开始菜单中依次单击【管理工具】【证书颁发机构】菜单项，打开“证书颁发机构”窗口。在左窗格中展开CA根证书服务器目录，选中【挂起的申请】选项，可以在右窗格中看到刚才提交的证书申请。选中该申请，然后依次单击【操作】【所有任务】【颁发】菜单命令即可颁发证书，如图9-91所示。图9-91 单击【颁发】命令 Step2 在左窗格中单击【颁发的证书】目录可以在右窗格中看到刚刚颁发的新证书。双击该证书，打开“证书”对话框。切换到【详细信息】选项卡，单击【复制到文件】按钮，进入“证书导出向导”。单击【下一步】按钮，如图9-92所示。图9-92 单击【复制到文件】按钮 Step3 打开“导出文件格式

12、”对话框，保持【DER编码二进制 X.509（.CER）】单选钮的选中状态，并单击【下一步】按钮。在打开的“要导出的文件”对话框中指定导出文件的存储路径和文件名（请务必将该文件名和路径记下来，以备后用）。依次单击【下一步】【完成】按钮完成证书的导出，如图9-93所示。图9-93 “要导出的文件”对话框完成证书颁发后需要返回至“默认网站 属性”对话框，进一步处理事先挂起的请求并安装证书，操作步骤如下所述： Step1 打开“Internet信息服务（IIS）管理器”窗口，在左窗格中右键单击【默认Web站点】目录，选择【属性】命令，打开“默认网站 属性”对话框。进入Web服务器证书向导，单击【下一

13、步】按钮。 Step2 打开“服务器证书”对话框，选中【分配现有证书】单选钮，并单击【下一步】按钮，如图9-94所示。图9-94 选中【分配现有证书】单选钮 Step3 在打开的“可用证书”对话框中列出了Web服务器当前可以使用的证书文件，选中该证书并单击【下一步】按钮，如图9-95所示。图9-95 “可用证书”对话框 Step4 打开“SSL端口”对话框，在【此网站应该使用的SSL端口】编辑框中保持默认的443端口。依次单击【下一步】【下一步】【完成】按钮完成证书的安装，如图9-96所示。图9-96 “SSL端口”对话框现在已经为Web站点申请并安装了证书，其已成为一个使用https加密协议

14、传输信息的 安全的Web站点。用户在访问Web站点时，Web站点会自动向用户传递服务器证书，用以向用户证明自己是合法的服务器，而不是冒充的服务器。本例中Web站点的IP地址为10.115.223.8，用户通过客户端浏览器访问该站点的方法为：在浏览器地址栏中输入Web站点地址https:/10.115.223.8:443，这时会打开“安全警报”对话框，提示用户“即将通过安全连接查看网页”。单击【确定】按钮即可访问该Web站点，如图9-97所示。图9-97 “安全警报”对话框如果出现有关证书存在问题的安全警报，则直接单击【是】按钮可以继续访问站点，且用户的信息不会被他人查看或更改。其实，只有在Web站点属性页的【目录安全性】选项卡中选中了【要求客户证书】复选框时，安装了证书的Web站点才会成为一个需要客户提供证书方能访问的站点。不过一般的Web站点都不这样做，因为这需要给每个客户端的IE浏览器发放证书，相对而言比较繁琐，除非有非常的安全需要（如网上银行的签约客户）。