2010年1月20日 星期三

如何在window2003上架設https(CA伺服器)

隨著Windows Server 2003作業系統的推出,Windows平臺的安全性和易用性大大增強,然而,在預設情況下,IIS使用HTTP協定以明文形式傳輸資料,沒有採取任何加密措施,使用者的重要資料很容易被竊取,如何才能保護局域網中的這些重要資料呢?

現在就介紹一下如何使用SSL增強IIS伺服器的通信安全。

一、什麼是SSL

SSL(Security Socket Layer)全稱是加密通訊端協議層,它位於HTTP協定層和TCP協定層之間,用於建立用戶與伺服器之間的加密通信,確保所傳遞資訊的安全性,同時SSL安全機制是依靠數位憑證來實現的。

SSL基於公用金鑰和私人金鑰,用戶使用公用金鑰來加密資料,但解密資料必須使用相應的私人金鑰。

使用SSL安全機制的通信過程如下:
用戶與IIS伺服器建立連接後,伺服器會把數位憑證與公用金鑰發送給用戶,用戶端生成工作階段金鑰,
並用公共金鑰對工作階段金鑰進行加密,然後傳遞給伺服器,伺服器端用私人金鑰進行解密,這樣,用戶端和伺服器端就建立了一條秘密頻道,只有SSL允許的用戶才能與IIS伺服器進行通信。

提示:SSL網站不同於一般的Web網站,它使用的是“HTTPS”協定,而不是普通的“HTTP”協議。
因此它的URL(統一資源定位器)格式為“https://網站名稱”。

二、安裝憑證服務伺服器

要想使用SSL安全機制功能,首先必須為Windows Server 2003系統安裝證書服務。

進入“控制台”,執行“新增或刪除程式”,接著進入“新增/刪除Windows元件”對話方塊,勾選“Certificate Services”選項,點擊“下一步”按鈕,接著選擇CA類型。

這裡選擇“獨立根目錄CA”,點擊“下一步”按鈕,為自己的CA伺服器取個名字,設置證書的有效期限,最後指定證書資料庫和證書資料庫日誌的位置,就可完成證書服務的安裝。

三、建立SSL網站

1.產生憑證文件

完成了證書服務的安裝後,
就可以為要使用SSL安全機制的網站產生憑證文件。

點擊“控制台→管理工具”,執行“網際網路資訊服務 (IIS) 管理員”,
在管理員視窗中展開“網站”目錄,
在預設網站(或要使使用SSL的網站)上點右鍵,
選擇“內容”,
在網站屬性對話方塊中切換到“目錄安全設定”標籤頁,
然後點擊“伺服器憑證”按鈕。

在“伺服器憑證精靈”對話方塊中,
點擊“下一步”按鈕,
選擇“建立新憑證”,
點擊“下一步”按鈕,
選擇“準備要求,但於稍後傳送”。
在“名稱”輸入框中為該證書取名,然後在“位元長度”下拉清單中選擇金鑰的位長。
接著設置證書的公司和單位、網站公用名稱和地理資訊,
最後指定憑證文件檔(certreq.txt)的保存位置。
這樣就完成了產生憑證文件。


2.向CA(憑證服務伺服器)申請憑證

完成上述設置後,還要把建立的憑證文件檔提交給證書伺服器。
在伺服器端的IE流覽器位址欄中輸入“http://localhost/CertSrv/default.asp”。

在“Microsoft 憑證服務”歡迎視窗中點擊“要求憑證”連結,
接下來在證書申請類型中點擊“進階憑證要求”連結,
然後在進階憑證要求視窗中點擊“用BASE64編碼的CMC或PKCS#10....”連結,
再打開剛剛生成的“certreq.txt”檔,將其中的內容複製到“已儲存的要求”輸入框後,
點擊“提交”按鈕即可。

3.CA(憑證服務伺服器)核發憑證

點擊“控制台→系統管理工具”,執行“憑證授權單位”。
在主視窗中展開樹狀目錄,點擊“擱置的要求”項,
找到剛才申請的證書,然後在上點擊右鍵,選擇“所有工作→發行”。

發行成功後,點擊樹狀目錄中的“已發出的憑證”,
按兩下剛才頒發的證書,在彈出的“證書”對話方塊的“詳細資料”標籤頁中,
點擊“複製到檔案”按鈕,彈出憑證匯出精靈,連續點擊“下一步”按鈕,
並在“匯出檔案格式”對話方塊中,選Base-64編碼,
點擊“下一步”,指定檔案名,最後點擊“完成”。

4.將憑證安裝到網站上

重新進入IIS管理器的“目錄安全性”標籤頁,
點擊“伺服器憑證”按鈕,彈出“擱置的證書要求”對話方塊,
選擇“處理擱置的要求並安裝憑證”選項,點擊“下一步”按鈕,
指定剛才匯出的伺服器憑證檔的位置,
接著設置SSL埠,使用默認的“443”即可,
最後點擊“完成”按鈕。

在“目錄安全性”標籤頁,點擊安全通訊欄的“編輯”按鈕,
勾選“必須使用安全通道(SSL)”選項,最後點擊“確定”按鈕即可啟用SSL。

在完成了對SSL網站的配置後,使用者只要在IE流覽器中輸入“https://網站名稱”就能訪問該網站。

在IE8會出現此網站出示的安全性憑證並非由信任的憑證授權單位所發行錯誤。

沒有留言:

張貼留言