IIS的SSL身份验证

IIS使用的是“HTTP协议”以明文形式传输数据，没有采用任何加密手段，传输的重要数据很容易被窃取。其实，IIS的身份认证除了匿名访问、基本验证和Windows NT请求/响应方式外，还有一种安全性更高的认证，就是通过SSL（Security Socket Layer）安全机制使用数字证书。SSL（加密套接字协议层）位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。建立了SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，并且在使用URL资源定位器时，输入https:// ，而不是http://。
    在此就以Windows Server 2003为蓝本，来介绍如何在IIS 6中应用SSL安全加密机制功能。
    1.生成证书请求文件
　　如果想要为某个IIS网站创建数字证书，首先必须使用“Web服务器证书向导”功能为该网站生成一个证书请求文件。打开“Internet 信息服务（IIS）管理器”对话窗口，这里假设“娄底电广”网站要使用SSL安全加密机制，在其左侧窗口中依次展开“本地计算机”——“网站”，用鼠标右击其下的“娄底电广”，打开“娄底电广 属性”对话框。点击切换到“目录安全性”选项页，在“安全通信”中点击“服务器证书”，打开“Web 服务器证书向导”对话框，在“服务器证书”页中选择“新建证书”选项(如图1)。

　　点击“下一步”，选择“现在准备证书请求，但稍后发送”，接下来进入“名称和安全性设置”页，在“名称”栏中为该证书起个名字，在“位长”下拉列表中选择“密钥的位长”（注意：位长不能设置的过大，否则会影响通信质量），如图2所示。

　　接下来设置证书的单位、部门、和地理信息，然后在“站点公用名称”页中该网站的域名（娄底电广的域名为ldcatv.com），点击“下一步”，在“证书请求文件名”页指定证书请求文件的保存位置（如：C:/certreq.txt），这样就生成了证书请求文件。
    2.快速安装证书服务
　　接下来就是如何来申请IIS网站证书了，这就需要证书服务（Certificate Services）的支持，可在默认状态下，Windows Server 2003并没安装此服务，需要手工添加。双击运行“控制面板”中的“添加或删除程序”，点击“添加/删除Windows组件”，打开“Windows组件向导”对话框，勾选“证书服务”复选项，点击“下一步”，在新打开的对话框中选择“独立根 CA”项（如图3）。

　　点击“下一步”进入“CA 识别信息”页，在这里输入识别该CA的信息，包含：名字，有效期限等。点击“下一步”，程序就会生成密匙信息，并打开“证书数据库设置”页，在这里指定证书数据库和证书数据库日志的位置后（如图4），就完成了证书服务的安装。

    3.申请IIS网站证书
　　下面就来开始申请IIS网站证书，将系统安装目录中System32/Certsrv目录复制到网站根目录下，打开IE，在地址栏中输入：http://www.ldcatv.com/certsrv/default.asp，注意：这里网站为www.ldcatv.com，打开“Microsoft 证书服务”网页，点击“申请一个证书”（如图5）。

　　然后在证书申请类型中点击“高级证书申请”（如图6），打开高级证书申请窗口，点击“使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请。”，接着将证书请求文件的内容复制到“保存的申请”输入框中，这里的证书请求文件内容保存在“C:/certreq.txt”中，最后点击“提交”按钮即可。

    4.颁发IIS网站证书
　　申请成功了IIS网站证书，还需要颁发证书才能使之生效。运行“管理工具”中的“证书颁发机构”，展开左侧目录树，选择“挂起的申请”，在其右侧窗口找到刚才申请的证书，用鼠右击该证书，在弹出的快捷菜单中选择“所有任务”——“颁发”（如图7）。

　　接下来点击“颁发的证书”，打开刚刚颁发成功的证书，在 “证书”对话框中切换到“详细信息”选项页，点击“复制到文件”按钮，弹出证书导出对话框，一路点击“下一步”，在“要导出的文件”栏中指定文件名（比如：C:/ldcatv.cer)，完成证书颁发。

     5.导入IIS网站证书
　　在“娄底电广 属性”对话框的“目录安全性”选项页中，点击“服务器证书”按钮，打开“IIS 证书向导”对话框，在“挂起的证书请求”页中选择“处理挂起的请求并安装证书”项（如图8）。

　　点击“下一步”后，指定刚导出的IIS网站证书文件的位置（C:/ldcatv.cer），接着指定SSL使用的端口，建议使用默认的“443”，最后点击“完成”返回。
    6.配置IIS安全通信
　　导入证书后，IIS并没有启用SSL安全加密功能，需要进一步对IIS服务器进行配置。在“目录安全性”选项页中点击“安全通信”中的“编辑”，打开“安全通信”对话框，选择“要求安全通道（SSL）”和“要求128位加密”选项（如图9），点击“确定”返回。接着点击“身份验证和访问控制”的“编辑”，弹出“身份验证方法”对话框，取消勾选“启用匿名访问”和“集成Windows身份验证”复选项，只勾选“基本身份验证”复选项（如图13），弹出一警告对话框，点击“是”继续，然后点击“确定”返回。

    最后，点击切换到“网站”选项页，在“SSL 端口”中输入前面指定的端口（443），点击“确定”就完成了IIS安全通信配置。
    以上要访问“娄底电广”，就必须以这样的形式来访问：https://www.ldcatv.com，当在计算机中第一通过HTTPS进入站点的时候，会有弹出一个“安全警告”对话框，确认是否同意当前证书，点击“是”，这样浏览该网站的时候，所有信息在网上都会以加密的方式来传送的了，任何人都无法再轻易了解其中的内容。