https 服務器搭建

隨着Windows   Server   2003操作系統的推出，Windows平台的安全性和易用性大大增
強，然而，在默認情況下，IIS使用HTTP協議以明文形式傳輸數據，沒有采取任何加密
措施，用戶的重要數據很容易被竊取，如何才能保護局域網中的這些重要數據呢?下面
筆者就介紹一下如何使用SSL增強IIS服務器的通信安全。

  　　一、什么是SSL

  　　SSL（Security   Socket   Layer）全稱是加密套接字協議層，它位於HTTP協議
層和TCP協議層之間，用於建立用戶與服務器之間的加密通信，確保所傳遞信息的安全
性，同時SSL安全機制是依靠數字證書來實現的。

  　　SSL基於公用密鑰和私人密鑰，用戶使用公用密鑰來加密數據，但解密數據必須
使用相應的私人密鑰。使用SSL安全機制的通信過程如下：用戶與IIS服務器建立連接
后，服務器會把數字證書與公用密鑰發送給用戶，用戶端生成會話密鑰，並用公共密鑰
對會話密鑰進行加密，然后傳遞給服務器，服務器端用私人密鑰進行解密，這樣，用戶
端和服務器端就建立了一條安全通道，只有SSL允許的用戶才能與IIS服務器進行通信。

  　　提示：SSL網站不同於一般的Web站點，它使用的是“HTTPS”協議，而不是普通
的“HTTP”協議。因此它的URL（統一資源定位器）格式為“https://網站域名”。

  　　二、安裝證書服務

  　　要想使用SSL安全機制功能，首先必須為Windows   Server   2003系統安裝證書
服務。

  　　進入“控制面板”，運行“添加或刪除程序”，接着進入“Windows組件向導”
對話框，勾選“證書服務”選項，點擊“下一步”按鈕，接着選擇CA類型。這里選擇
“獨立根CA”，點擊“下一步”按鈕，為自己的CA服務器取個名字，設置證書的有效期
限，最后指定證書數據庫和證書數據庫日志的位置，就可完成證書服務的安裝。

  　　三、配置SSL網站

  　　1.創建請求證書文件

  　　完成了證書服務的安裝后，就可以為要使用SSL安全機制的網站創建請求證書文
件。點擊“控制面板→管理工具”，運行“Internet   信息服務-IIS   管理器”，在
管理器窗口中展開“網站”目錄，右鍵點擊要使用SSL的網站，選擇“屬性”選項，在
網站屬性對話框中切換到“目錄安全性”標簽頁（圖1），然后點擊“服務器證書”按
鈕。在“IIS證書向導”對話框中選擇“新建證書”，點擊“下一步”按鈕，選擇“現
在准備證書請求，但稍后發送”。在“名稱”輸入框中為該證書取名，然后在“位長”
下拉列表中選擇密鑰的位長。接着設置證書的單位、部門、站點公用名稱和地理信息，
最后指定請求證書文件的保存位置。這樣就完成了請求證書文件的創建。


          2.申請服務器證書

  　　完成上述設置后，還要把創建的請求證書文件提交給證書服務器。在服務器端的
IE瀏覽器地址欄中輸入“http://localhost/CertSrv/default.asp”。在“Microsoft
證書服務”歡迎窗口中點擊“申請一個證書”鏈接，接下來在證書申請類型中點擊“高
級證書申請”鏈接，然后在高級證書申請窗口中點擊“使用BASE64編碼的CMC或
PKCS#10....”鏈接，再打開剛剛生成的“certreq.txt”文件，將其中的內容復制到
“保存的申請”輸入框后點擊“提交”按鈕即可。

  　　3.頒發服務器證書

  　　點擊“控制面板→管理工具”，運行“證書頒發機構”。在主窗口中展開樹狀目
錄，點擊“掛起的申請”項（圖2），找到剛才申請的證書，然后右鍵點擊該項，選擇
“所有任務→頒發”。頒發成功后，點擊樹狀目錄中的“頒發的證書”項，雙擊剛才頒
發的證書，在彈出的“證書”對話框的“詳細信息”標簽頁中，點擊“復制到文件”按
鈕，彈出證書導出向導，連續點擊“下一步”按鈕，並在“要導出的文件”對話框中指
定文件名，最后點擊“完成”。

  4.安裝服務器證書

  　　重新進入IIS管理器的“目錄安全性”標簽頁，點擊“服務器證書”按鈕，彈出
“掛起的證書請求”對話框，選擇“處理掛起的請求並安裝證書”選項，點擊“下一
步”按鈕，指定剛才導出的服務器證書文件的位置，接着設置SSL端口，使用默認的
“443”即可，最后點擊“完成”按鈕。

  　　在“目錄安全性”標簽頁，點擊安全通信欄的“編輯”按鈕，勾選“要求安全通
道（SSL）”選項，最后點擊“確定”按鈕即可啟用SSL。

  　　在完成了對SSL網站的配置后，用戶只要在IE瀏覽器中輸入“https://網站域
名”就能訪問該網站。