https+webservice

 

1.   简   介

本部署手册详细描述了证书的安装与设置，以及IIS的证书设置等，阐述在IIS上如何配置一个可以使用HTTPS协议访问的WEBSERVICE。

1.1 目    的

1、 为开发人员配置HTTPS协议方式访问WEBSERVICE提供帮助。

2、 保障WEBSERVICE接口访问安全。

1.2 意    义

Xml Web Service传输的数据是Xml格式的，Xml是一种明文，而传输层通过tcp/ip来传输，而tcp/ip的传输可能被非法监听，黑客可以轻易的将Xml数据解析出来，截获信息甚至篡改数据，这样就造成了Xml Web Service在数据传输中是很不安全的。利用SSL可以将原本的Xml经过高强度的加密，从而有效的防止数据在传输过程中被非法截获和篡改。

1.3 SSL介绍

SSL 的英文全称是 "Secure Sockets Layer" ，中文名为 "安全套接层协议层 "，它是网景（ Netscape ）公司提出的基于 WEB 应用的安全协议。SSL协议可分为两层： SSL记录协议(SSL Record Protocol)：它建立在可靠的传输协议(如TCP)之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL是Security Socket Layer的缩写，技术上称为安全套接字，可以简单为加密通讯协议，使用SSL可以对通讯（包括电子邮件）内容进行高强度的加密，以防止黑客监听您的通讯内容甚至是用户密码。

1.4 部署要求

A、 Windows2000/2003系统。

B、 域服务器。

C、 IIS6.0以上服务器。

D、 可用的WEBSERVICE。

下面以新区部署环境讲述HTTPS协议WEBSERVICE的部署

2.   安装证书颁发机构

       WINDOWS 2003 标准版和服务器版都是自带证书颁发机构的组件的，但是默认不安装，要申请证书，必须安装证书颁发机构组件，安装方法：

     打开控制面板-添加/删除程序，选择添加/删除WINDOWS组件，插入WINDOWS的安装光盘，选择“证书服务”，然后一路下一步即可。安装成功之后，便可以进入下一步的申请SSL证书。

3.   配置IIS网站的WEBSERVICE

使用HTTPS协议访问WEBSERVICE，有两个要求：

A、 必须使WEBSERVICE为一个独立的网站访问方式，不能使用默认站点下的虚拟目录方式。注意：HTTPS协议使用443端口地址，因此防火墙必须开通此地址。

B、 服务器必须加入到域里面，由域控来解析访问地址。

此时，配置好的WEBSERVICE访问方式还是普通的http.

4.   配置站点DNS

在域服务器上配置WERBSERIVCE访问的DNS地址，配置步骤：

选择DNS管理器－》机器名—》正向查找..－》域名—》新建别名。如图所示：

打开窗口，填写别名，如图：

此时需要选择目标主机，点击“浏览”，找到发布WEBSERVICE的目标主机，如图：

连续“确定”即可。

此时我们可以看到已经添加好的DNS解析，如图：

5.   为WEBSERVICE申请SSL证书

5.1 申请SSL证书

安装好证书服务，配置好DNS解析后，开始为webservice的站点设置证书访问，步骤如下：

右键站点—》属性—》目录安全性—》安全通信，点击“服务器证书”，然后下一步，选择“新建证书”，如图：

“下一步”：

下一步：

在名称中输入DNS名称，如：DEPRecevice.xq.cn,其他默认，下一步，再下一步：

在公用名称里面输入DNS，如：DEPRecevice.xq.cn，联系下一步，在SSL端口中默认443端口，在证书发布机构中选择域服务器，如图：

下一步，完成。

此时我们可以查看到已经订阅的证书，如图：

5.2 强制https访问

默认两种方式都可以访问，但是如果webservice必须使用https访问，则需要配置安全通信，在目录安全面板中，在安全通信栏中点击编辑，选择要求安全通道SSL，如图：

此时访问webservice时就必须使用https访问访问。

5.3 测试访问

此时我们可以测试使用https协议来访问webservice,如图：

6.   其他服务器访问此WEBSERVICE

Webservice的证书访问配置好后，并不是说现在所有的服务器都可以https协议访问了，需要满足如下要求：

A、 服务器必须加入域，或者服务器的DNS是域服务器地址。

B、 在服务器上按照证书链。

否则将出现安全提示窗口，

A条件很好满足，在IP地址中把DNS配置成域服务器地址即可。

B条件操作稍微麻烦一些，需要从域服务器上导出，然后在访问webservice的服务器上安装此证书。

6.1 导出证书链

操作步骤如下：

第一步：在域服务器上访问如下地址：http://localhost/certsrv/打开证书服务页面，如图：

第二步：选择“下载一个CA证书，证书链或CRL”，如图：

选择“下载CA证书链”，将certnew.p7b文件保存到本地目录上。

6.2 安装证书链

将证书链拷贝到访问服务器，右键证书链文件，选择安装证书，全部默认选项，连续下一步即可。如图：

最有提示导入证书成功。

证书安装成功后，即可以https访问远端webservice服务了。