分类: WINDOWS
2010-01-21 10:44:22
一、SSL的三大作用
SSL中文名字叫做安全套接字层。这是一种用于IIS服务的加密措施。它可以保证用户和内容的完整性与机密性,从而保护来自客户端(客户端发出的信息)和Web服务器(服务器端发出的信息)的敏感数据。如用户名与密码等等。结合IIS,SSL主要有三大方面的作用。
一是对服务器身份进行验证。简单的说,就是客户端验证服务器是否合法,允许客户端验证服务器的身份。启用SSL服务uqid客户端可以使用公钥基础结构来检验服务器的证书是否合法有效;还可以检验证书是否是由可信的证书权威机构发布的。如现在用户需要访问招商银行的网上银行,则客户端也可以验证所访问的服务器是否真的是招商银行的网上银行服务器。此时招商银行的服务器上有一张证书。通过这张证书上的相关信息,客户端就可以判断这个服务器是否是合法的。
二是服务器对客户端的身份验证。当用户第一次访问网上银行的时候,一般都会要求客户端安装相关的证书。这些证书都是服务器所提供的。当用户提出访问请求时,服务器端的SSL服务会验证客户端上的证书是否合法有效,并检查证书是否是由可信任的CA所颁布的。如果不是的话,则就会拒绝用户的访问请求。
三是加密SSL连接。当彼此的身份验证完成后,SSL协议还会对连接上的所有通信流量进行加密。众所周知,HTTP协议其没有加密功能。即用户平时访问网络,其数据都是没有加密的。此时网络管理员或者其他别有用心的技术人员,通过网络嗅探等功能可以看到用户发送的信息。显然这是非常危险的。而采用了SSL协议加密之后,客户端与WEB服务端之间传递的数据都是加密处理过的。即使通过嗅探器等工具获取了传递的数据包,也是没有用处的。因为无法对其进行解密。
以上就是SSL安全套接字的三大作用。IIS服务器有了SSL的加盟,安全性会有很大的保障。笔者建议,对于那些需要进行身份验证才能够访问的应用程序,最好都能够启用SSL协议。如在IIS服务器上可能集成了邮箱、OA办公系统等等。当从网站上的主页转向这些应用服务的时候,就需要使用SSL套接字,以增强安全性。当使用SSL套接字之后,网页的提示会有变化,会从http变为https。
虽然7.0以前版本的IIS已近集成了SSL安全套接字的功能,但是其支持还不够完善。比如在IIS中集成了FTP服务。对于这个FTP的登陆与数据传输,还不能够采用SSL加密措施。在7.0中,已经加入了这个特性。即可以使用FTP软件时通过实现针对FTP站点的SSL来保护IIS服务器中的FTP站点。这是一个很大的改进。在以前,IIS中部署FTP站点,则FTP站点很可能成为攻击者攻击IIS服务器的跳板。如通过FTP账号来推测其他应用服务的账号等等。现在在7.0中也支持SSL套接字功能的话,FTP账号也被加密了。这不仅可以提高FTP站点的安全性,而且也有利于保障整个IIS服务器的安全。
以前笔者在部署IIS服务器的时候,都不建议将其他的关键服务同FTP站点放在同一个网站上;或者不建议同邮箱系统等使用同一个用户名与密码。就是因为FTP站点的账号与密码没有SSL加密,而其他服务都支持SSL加密。从IIS7.0出来之后,笔者就改变了注意。现在笔者推荐在同一个服务器或者网站上,集成FTP站点,从而提高用户访问数据的效率。
三、在IIS7.0服务器上实施SSL的三个基本步骤
在IIS7.0服务器中实现SSL,其过程相对来说还是比较简单的。一般来说,只需要经过三个步骤。笔者对此就做一个详细的叙述,以帮助管理员迅速部署这个SSL协议。
第一步:获取合法、有效的证书。
在谈到SSL的三个作用的时候,笔者一致是围绕着证书展开的。无论是客户端验证服务器的合法性,还是服务器验证客户端的合法性,都需要有证书。所以要在IIS服务器上使用SSL,首先就必须要请求证书、并进行安装。通常情况下,可以创建请求从外部可信的CA 或者从内部的PKI中获得证书。如果想要用户可以通过互联网来访问企业的网站,那么笔者建议还是采用外部可信的CA为好。
在IIS服务器中,主要有三种证书请求,分别为创建证书请求、创建域证书请求和创建自签名证书请求。这三种请求往往适用于不同的场合。如创建自签名证书请求只适用于测试的环境。因为这个证书并不是由可信的CA签发的。所以其只能够在测试场合中使用。而创建域证书请求,也一般只在企业内部使用。内部证书权威机构是与公司的活动目录域相关联的企业证书权威机构。这种请求可以减少购买第三方证书的成本。但是一旦其出现故障或者被恶意攻击,那么对于IIS 服务器来说,就比骄危险了。故在大部分情况下,笔者还是建议用户使用第一种请求方式:创建证书请求。也就是说,使用第三方公共的CA证书。
第二步:为期望的网站绑定证书并启用SSL协议。
通常情况下,没有必要为全部的站点使用SSL协议。如在某个银行的主页上,一般只有访问网上银行的站点时,会使用SSL协议。而访问普通的网站,如门户网站、新闻网站等等,都不会启用这个SSL协议。毕竟通过SSL协议进行加密、解密以及身份认证的过程,是需要消耗服务器的资源的。所以,通常情况下没有必要为全部的站点启用SSL协议。一把来说,只需要为哪些需要用户身份认证的站点启用SSL协议即可。如FTP站点、OA系统登陆网页、邮箱登陆站点等等。只要对这些站点启用SSL协议即可。否则就是一种浪费。
在为期望的网站启用SSL协议的同时,还需要将第一步申请的证书绑定在网站上。特别要注意的一点是,在“添加绑定站点”对话框中,在类型项目下拉框里要选择“https”,为其分配合适的IP地址,并将验证端口设置为443。
第三步:为站点、应用程序和物理目录配置SSL设置。
最后安全管理员还需要为站点、应用程序和物理目录进行SSL相关的设置。配置的内容主要有如下几个方面。一是要配所需要采用的加密规则。这主要是在“Require ssl”选项上进行选择。通常情况下,选择128位加密已经足够了。当然有特殊要求的除外。如对于网上银行来说,可能安全级别还会更高。二是选择合适的证书。在向导的最后一个步骤中,是配置“接受”、“忽略”和“要求客户证书”。在这里要选择要求客户证书。否则的话,以上的配置可能会功亏一篑。
最后就是测试了。管理员可以试着登陆所绑定的站点。一般情况下设置前后会有两个比较明显的变化。通常情况下,如果是第一次访问的话,都会有上面所示的这么一个提示窗口。二是启用SSL站点的网页,其是以HTTPS开头,而不是以传统的HTTP开头。只要出现这两个特征,特别是第二个特征,就说明以上的配置成功了。
