【转帖】使用SSL加密IIS站点

[Tony]

摘要

默认情况下HTTP协议是没有任何加密措施的，所有的消息全部都是以明文形式在网络上传送的，恶意的攻击者可以通过安装监听程序来获得浏览器和服务器之间的通讯内容。所以全面加密整个网络传输隧道是个良好的安全措施。

SSL（Security Socket Layer加密套接字协议层）位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。使用SSL 安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一起发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样， 客户端和服务器端就建立了一个惟一的安全通道。

建立了SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，并且在使用URL资源***时，输入https:// ，而不是http:// 。

关键字

SSL，IIS，加密，数字认证

服务器端设置

安装CA服务

1．以Win2000服务器版本为例，要想使用SSL加密机制，首先需要在控制面板里的添加删除Windows组件中去安装“证书服务”。

2．在安装的时候，选择“独立根CA”的安装类型，然后为该CA服务器起个名字，设置证书的有效期限，使用默认值即可，最后指定证书数据库和证书数据库日志的位置后，就完成了证书服务的安装。

申请数字证书

1．生成证书请求文件

进入“控制面板→管理工具→Internet 服务管理器”，选择我们需要配置的Web站点，选择Web站点“属性”里的目录安全性-安全通信-服务器证书。

在“IIS证书向导”窗口中选择“新建证书”选项。这里注意站点名称和证书名称最好一致，推荐使用1024位的加密位长。

接着设置证书的单位、部门等信息，然后需要指定证书请求文件的保存位置，需要把证书请求文件保存在一个安全的地方，同时在后面的提交证书服务器的时候也会用到这个文件。

2．将刚刚生成的服务器申请证书提交给证书服务器。

在IE地址栏中输入http://localhost/CertSrv。

在“Microsoft 证书服务”窗口中选择“申请证书”。

在选择申请类型的时候，选择“高级申请”。

在“高级证书申请”窗口中选择“使用BASE64编码方式”

接下来在“提交一个保存的申请”窗口将证书请求文件（即前面生成的文件）的内容复制到“保存的申请”输入框中，最后点击“提交”按钮。

提交成功以后，会返回一个页面告知证书表示已经成功提交了，但是现在是处于挂起状态需要等待CA中心颁发才能生效。