网络安全系列之四十七 在IIS6中申请并安装证书

之前通过设置基本身份验证,可以实现客户端在访问指定的虚拟目录时,必须要输入用户名和密码进行验证,但是基本身份验证的信息在网络中是明文传输的,我们可以通过为站点申请并安装证书,来实现数据的加密传输。实验环境中的CA证书服务器已经搭建好,这里只介绍在Web服务器上的证书申请和安装过程。

(1)生成证书请求

在Web服务器上右击需要申请证书的网站,打开属性界面,选择“目录安全性”选项卡,并单击“服务器证书”按钮,如图所示。

在“IIS证书向导”中选择“新建证书”,为证书指定名称并设置密钥长度,最后会生成一个名为certreq.txt的证书请求文件,将其保存。

注意,客户端在生成证书请求时,就已经产生了密钥对,其中公钥包含在证书请求中,私钥则存放在注册表里。

(2) 提交证书申请

在Web服务器上打开浏览器,在地址栏中输入“http://<CA服务器的名称或IP地址>/certsrv“,登录到证书服务器。在”欢迎“界面中,点击”申请一个证书“。在”申请一个证书“页面中,单击”高级证书申请“,在”高级证书申请“页面中,单击”使用base64编码……“,如图所示。

打开之前保存的申请文件certreq,txt,将其内容复制到“保存的申请“文本框中,如图所示。

在“证书挂起“页面中,显示证书已经申请成功,但必须等待CA服务器检查颁发证书。

(3)由CA颁发证书

在CA服务器“挂起的申请“中为Web服务器颁发证书。

(4) 在Web服务器上安装证书

在Web服务器上,通过IE再次访问CA服务器,在“查看挂起的证书申请的状态“页面中,单击”保存的申请证书“,将证书保存到磁盘中。证书的默认文件名为certnew.cer。

(5) 安装证书并启用SSL

在网站属性的“目录安全性“选项卡中,单击”服务器证书“按钮,在服务器证书向导中选择”处理挂起的证书请求并安装证书“,指定网站使用的SSL端口,默认为443。

这样客户端就可以通过HTTPS方式访问Web站点了,但此时还允许通过未加密的HTTP方式访问Web站点,如果需要强制Web站点使用HTTPS服务,则进行以下设置。

在“安全通信“页面中,选中”要求安全通道SSL“,表示只能使用HTTPS服务访问此Web站点,默认密码强度只有40位,如果需要更高的密码强度可以选中”要求128位加密“复选框。在”客户端证书“项中选中“忽略客户端证书”,这样用户不必提供证书就可以通过HTTPS连接到此Web站点。

这样设置之后,在客户端如果使用http的方式访问网站,便会出现错误提示。

改用https的方式可以成功访问网站,而且在IE的状态栏上会看到一个小锁图标,表示浏览器与网站之间已建立起经过SSL保护的安全连接。将鼠标指针移动到该图标上,可以看到现在的加密强度。

时间: 2024-11-05 17:34:30

网络安全系列之四十七 在IIS6中申请并安装证书的相关文章

网络安全系列之四十三 在IIS6中配置ASP网站

本文将介绍如何在Win2003系统中通过IIS6.0来搭建一个ASP网站,网站数据库采用的是ACCESS,对于这类简单的小型数据库,无需安装数据库程序,只需直接配置IIS即可. 首先在添加删除组件中选择安装应用程序服务器,在安装过程中需要插入系统安装光盘: 安装完成后,打开IIS管理器,将默认站点停止运行,然后新建一个名为test的站点. 在创建站点时给予运行脚本权限. 站点创建完成后,设置站点属性,启用父路径.所谓父路径也就是在网页中允许使用"../"来代表上一级父目录. 在Web服

网络安全系列之四十一 在Linux中设置粘滞位sbit权限

通常情况下用户只要对某个目录具备w写入权限,便可以删除该目录中的任何文件,而不论这个文件的权限是什么. 比如我们进行下面的操作: #创建/test目录,并赋予777权限. [[email protected] ~]# mkdir /test [[email protected] ~]# chmod 777 /test #以root用户的身份在/test目录中创建文件file1,并查看其默认权限. [[email protected] ~]# touch /test/file1 [[email p

网络安全系列之四十 在Linux中设置SET位权限

虽然通过ACL增加了权限设置的灵活性,但是Linux系统中可供设置的权限只有读.写.执行三种,在某些特殊的场合,这可能将无法满足要求.因而,在Linux系统中还提供了几种特殊的附加权限,用于为文件或目录提供额外的控制方式,可用的附加权限包括:SET位权限(SUID.SGID)和粘滞位权限(Sticky Bit).本文将介绍SET位权限. SET位权限多用于给可执行的程序文件或目录进行设置,其中SUID表示对所有者用户添加SET位权限,SGID表示对所属组内的用户添加SET位权限.当一个可执行文件

【白话经典算法系列之十七】 数组中只出现一次的数 其他三次

本文地址:http://blog.csdn.net/morewindows/article/details/12684497转载请标明出处,谢谢. 欢迎关注微博:http://weibo.com/MoreWindows 首先看看题目要求: 数组A中,除了某一个数字x之外,其他数字都出现了三次,而x出现了一次.请给出最快的方法找到x. 这个题目非常有意思,在本人博客中有<位操作基础篇之位操作全面总结>这篇文章介绍了使用位操作的异或来解决——数组中其他数字出现二次,而x出现一次,找出x.有<

Windows Server 2008在MMC中申请多域名证书

随着IT的不断发展,对于安全性的要求越来越高,所以安全加密和身份验证在IT的应用中越来越多,证书在加密和身份演证中扮演着至关重要的作用.在很多的应用场景中,会使用都多域名的证书.下面的步骤就是如何在MMC中申请多域名证书: 在 Windows Server 2008 上我们可以使用 MMC 载入证书组件来创建多域名证书申请,之后通过浏览器访问证书申请站点(certsrv)提交多域名证书申请,最后在计算机上导入该证书即可方便我们后续的使用. 为此,我们首先需要运行 MMC,并载入 证书 组件,选择

网络安全系列之四十五 在IIS6中配置虚拟目录

一个网站中的所有网页和相关文件都要存放在主目录下,为了对文件进行归类整理,也可以在主目录下面建立子文件夹,分别存放不同内容的文件,例如一个网站中,新闻类的网页放在主目录的news文件夹,技术类的网页文件放在主目录的tech文件夹,产品类的网页文件放在products文件夹等,这些直接存放在主目录下的子文件夹都称为物理目录. 如果物理目录的数量很多,主目录的空间可能会不足,因此也可以将上述文件存放在其它分区或者其它计算机上,而用户访问时上述文件夹在逻辑上还属于网站之下,这种归属于网站之下的目录称为

网络安全系列之四十八 在IIS6中配置日志

如果网站启用了日志记录,管理员就可以通过查看日志跟踪网站被访问的情况,如哪些用户访问了本站点.访问者查看了什么内容,以及最后一次查看该信息的时间等,可以使用日志来评估内容受欢迎程度或识别信息瓶颈,有时还可以通过日志查出非授权用户访问网站以便采取应对措施. 启用网站日志记录的方法是在"网站"选项卡中勾选"启用日志记录",单击旁边的"属性"按钮,打开属性设置界面,如图所示,可以看到日志文件产生的时间间隔和存放的位置.默认设置是每天产生一个日志文件.

网络安全系列之四十六 在IIS6中配置目录安全性

Web站点默认是允许匿名访问的,某些特殊网站(或者虚拟目录)如果要求用户提供账号和密码才能访问,或者限定某些IP地址能(或不能)访问,那可以通过在Web站点属性的"目录安全性"选项卡中进行相关设置以完成上述要求. (1)匿名用户 在"身份验证方法"界面中可以看到Web服务器默认启用了匿名访问功能,即客户端在访问Web站点时无需进行身份验证.匿名用户在Web服务器中也要有一个相对应的用户账号,这个用户账号是在安装IIS时一并创建的,用户名为"IUSR_计算机

网络安全系列之四 手工SQL注入(ASP)

SQL注入是黑客对数据库进行攻击的常用手段之一,其核心思想在于:黑客在正常的需要调用数据库数据的URL后面构造一段数据库查询代码,然后根据返回的结果,从而获得想要的某些数据.下面我们就对之前已经搭建好的渗透平台进行SQL注入,最终目的是获得网站的管理员账号和密码.目标服务器IP地址:192.168.80.129,黑客主机IP地址:192.168.80.128. (1)寻找注入点 随便打开一个网页,注意观察URL. 注入点必定是类似"http://192.168.80.129/shownews.a