前面講了這麼多理論知識,其實真要操作起來還是很簡單的,下面我們就利用證書來實作一個安全的Web站點,也就是當用戶端在通路網站時使用https實作資料加密傳輸。
要實作這個功能,首先要了解一下SSL協定。
“SSL安全套接字層”是一套提供身份驗證、保密性和資料完整性的加密技術,屬于傳輸層的協定。準确點來說,SSL其實是一個位于應用層和傳輸層之間的協定,是以才稱之為“套接字層”。
我們都知道在Web浏覽器和Web伺服器之間傳輸資料是使用HTTP協定,本來HTTP協定産生的資料是直接送給傳輸層的TCP協定,有了SSL這個套接字層之後,就要先送給SSL處理一下,然後再送給TCP,這也就稱之為HTTPS(基于SSL的HTTP)協定。之是以要經過SSL先處理一下,其目的主要是為了能夠在Web伺服器和用戶端之間建立一條安全通信通道,在這條安全信道中傳輸的資料都是經過加密的。
SSL安全信道的建立過程是:
首先用戶端向伺服器發出連接配接請求;
伺服器把它的數字證書發給用戶端;
用戶端生成會話密鑰(對稱式加密),并用從伺服器得到的公鑰對它進行加密,然後通過網絡傳送給伺服器;
伺服器使用私鑰解密得到會話密鑰,這樣用戶端和伺服器端就建立了安全通道。
在安全信道建立好之後,在用戶端與伺服器之間傳輸的資料都是采用對稱式加密,以提高通信效率,而對稱式加密的密鑰是通過非對稱式加密的方式傳送的,以保證會話密鑰的安全性。
Web站點啟用SSL之後,用戶端在通路網站時必須使用“https:\\……”的URL形式,預設使用的端口号也不再是TCP 80,而是變成了TCP 443。
為支援SSL通信,必須為Web伺服器配置證書。下面是在Web伺服器上申請證書并安裝的過程。
1. 生成證書請求
打開之前建立的Web伺服器,以域管理者身份登入。
選中伺服器,然後在中間的面闆中打開“伺服器證書”,點選“建立證書申請”。
輸入網站的相關資料,注意“通用名稱”文本框中必須輸入網站所用的域名,否則用戶端在通路網站時,将提示證書錯誤。
選擇證書的加密算法和密鑰長度。其中的“位長”是指網站公鑰的長度,位長越長,安全性越高,但性能越低。這裡都采用預設值。
為證書申請指定檔案名和儲存路徑。單擊“完成”按鈕,證書申請檔案建立成功,該檔案是一個文本檔案,裡面包含了所生成的證書申請編碼。
2. 送出證書申請
選擇使用base64編碼申請證書。
将剛才生成的證書申請檔案中的内部全部複制到“儲存的申請”中,将“證書模闆”選擇“Web伺服器”,點選“送出”按鈕。
企業根CA會自動頒發證書,點選“下載下傳證書”,并将證書儲存到指定的位置。
3. 安裝證書
回到IIS管理器的“伺服器證書”界面中,點選“完成證書申請”。
找到剛才下載下傳的證書,并為其起一個好記的名稱。
至此,Web伺服器證書申請并安裝成功。
4. 綁定證書并啟用SSL
證書安裝完成之後,下面需要将證書綁定到網站之上。
選中預設站點,點選右側的“綁定”。在“網站綁定”對話框中點選“添加”按鈕,将類型設定為“https”,端口為預設的443,SSL證書設定為剛才安裝的“web”。點選“确定”按鈕之後,證書就綁定好了。
然後打開“SSL設定”界面,勾選“要求SSL”:
這樣,在客戶機上如果用http方式通路網站,便會被拒絕:
隻有使用https方式才可以正常通路網站。
當然,如果在“SSL設定”中不勾選“要求SSL”,則用戶端既可以使用https也可以使用http方式通路web站點。
5. 虛拟目錄啟用SSL
大多數情況下,我們并不需要對整個網站都啟用SSL,而是隻需要對網站中的某個版塊(如交易支付頁面)啟用SSL。這時可以隻對Web站點中的某個虛拟目錄啟用強制SSL設定。
下面在Web站點中建立一個名為“pay”的虛拟目錄,并對其設定啟用強制SSL。
編輯站點首頁檔案Default.htm。
這樣在用戶端可以直接使用http方式通路網站,但是當要通路pay子目錄時,就會自動啟用SSL
本文轉自 yttitan 51CTO部落格,原文連結:http://blog.51cto.com/yttitan/1191833
![nmap –script 使用:nmap-vulners 和 vulscan出現錯誤 ‘/usr/bin/../share/nmap/scripts/vulscan’ found, but will[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)