基於IIS配置Https服務

來源:互聯網
上載者:User

一:先比較下Http和Https:

  只要上過網的朋友一定接觸過“HTTP”,每次開網頁的時候,不管是什麼網址,其前面都會出現HTTP字樣,比如“http://www.cbifamily.com”、“http://62.135.5.7”等等,而有些時候開啟如銀行等對安全性要求很高的網站的時候其網址的首碼又會變作“https”,這兩個首碼到底是什麼意思?有什麼作用呢?相信很多使用者朋友對此並不瞭解。下面就由我給大家解釋一二。

     http的全稱是Hypertext Transfer Protocol Vertion (超文字傳輸通訊協定 (HTTP)),說通俗點就是用網路連結傳輸文本資訊的協議,我們現在所看的各類網頁就是這個東東。每次開網頁時為什麼要出現“http://”呢?其實這個道理非常簡單,因為你要獲得網路上超文本資訊,那麼你肯定要遵循其超文本傳輸的規範,就如同你是“天地會”成員,你和其他“天地會”成員接頭時首先要說出“地震高崗,一派西山千古秀!”和“門朝大海,三合河水萬年流”這樣的接頭暗號,說出後才能和會友進行溝通。所以每次開網頁出現的“http://”就如同上面所講的接頭暗號,當暗號正確後才能獲得相關資訊。

     看完了上面的解釋,或許你已經懂得是為什麼每次開網頁時要出現“http”了。那麼接下來我們再談談為什麼有時候網頁的接頭暗號又會變作“https”呢?

     HTTPS的全稱是Secure Hypertext Transfer Protocol(安全超文字傳輸通訊協定 (HTTPS)),是在http協議基礎上增加了使用SSL加密傳送資訊的協議。我們還是用天地會接頭的例子來講,大家可能覺得每次天地會接頭都是使用“地震高崗,一派西山千古秀!”這類婦孺皆知的接頭暗號,這樣的組織還有什麼安全性可言?只要說出了暗號那麼就可能獲得天地會的相關秘密。事實上並不是這樣的,如果僅僅是靠一個婦孺皆知的接頭暗號進行資訊保密,天地會可能早被清兵圍剿了,何來那麼多傳奇故事呢?他們之間的交流除了使用了接頭暗號外,可能還是用了“黑話”,就是一些僅僅只有天地會成員才能聽懂的黑話,這樣即使天地會成員之間的交談資訊被泄露出去了,沒有相關揭秘的東西,誰也不會知道這些黑話是什嗎?同樣HTTPS協議就如同上面天地會的資訊交談一樣,它也將自己需要傳輸的超文本協議通過SSL加密,讓明文變成了“黑話”即使傳輸的資訊被人捕獲,捕獲的人也沒辦法知道其實際內容。

     所以http和https之間的區別就在於其傳輸的內容是否加密和是否是開發性的內容。這也是你為什麼常常看見https開頭的網址都是一些類似銀行網站的這類網址的原因

二:言歸正題,配置我們的Https網站

 

HTTPS(Secure Hypertext Transfer Protocol)安全超文字傳輸通訊協定 (HTTPS) .

它是由Netscape開發並內建於其瀏覽器中,用於對資料進行壓縮和解壓操作,並返回網路上傳送回的結果。HTTPS實際上應用了Netscape的完全通訊端層(SSL)作為HTTP應用程式層的子層。(HTTPS使用連接埠443,而不是象HTTP那樣使用連接埠80來和TCP/IP進行通訊。)SSL使用40 位關鍵字作為RC4流密碼編譯演算法,這對於商業資訊的加密是合適的。HTTPS和SSL支援使用X.509數字認證,如果需要的話使用者可以確認寄件者是誰。。

https是以安全為目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,https的安全基礎是SSL,因此加密的詳細內容請看SSL。

它是一個URI scheme(抽象標識符體系),句法類同http:體系。用於安全的HTTP資料轉送。https:URL表明它使用了HTTP,但HTTPS存在不同於HTTP的預設連接埠及一個加密/身分識別驗證層(在HTTP與TCP之間)。這個系統的最初研發由網景公司進行,提供了身分識別驗證與加密通訊方法,現在它被廣泛用於全球資訊網上安全敏感的通訊,例如交易支付方面。

限制
它的安全保護依賴瀏覽器的正確實現以及伺服器軟體、實際密碼編譯演算法的支援.

一種常見的誤解是“銀行使用者線上使用https:就能充分徹底保障他們的銀行卡號不被偷竊。”實際上,與伺服器的加密串連中能保護銀行卡號的部分,只有使用者到伺服器之間的串連及伺服器自身。並不能絕對確保伺服器自己是安全的,這點甚至已被攻擊者利用,常見例子是模仿銀行網域名稱的釣魚攻擊。少數罕見攻擊在網站傳輸客戶資料時發生,攻擊者嘗試竊聽資料於傳輸中。

商業網站被人們期望迅速儘早引入新的特殊處理常式到金融網關,僅保留傳輸碼(transaction number)。不過他們常常儲存銀行卡號在同一個資料庫裡。那些資料庫和伺服器少數情況有可能被未授權使用者攻擊和損害。

TLS 1.1之前
這段僅針對TLS 1.1之前的狀況。因為SSL位於http的下一層,並不能理解更高層協議,通常SSL伺服器僅能頒證給特定的IP/連接埠組合。這是指它經常不能在虛擬機器主機(基於網域名稱)上與HTTP正常組合成HTTPS。

這一點已被更新在即將來臨的TLS 1.1中—會完全支援基於網域名稱的虛擬機器主機。

 

為 Web 服務器配置 SSL
要在 IIS 中啟用 SSL,首先必須獲得用於加密和解密通過網路傳輸的資訊的認證。IIS 具有自己的認證請求工具,您可以使用此工具向憑證授權單位發送認證請求。此工具簡化了擷取認證的過程。如果您使用的是 Apache,則必須手動擷取認證。
在 IIS 和 Apache 中,您都會收到來自憑證授權單位的認證檔案,此檔案必須配置在電腦上。Apache 使用 SSLCACertificateFile 指令讀取其源檔案中的認證。而在 IIS 中,您可以使用網站或檔案夾屬性的目錄安全性選項卡來配置和管理憑證。

您可以將認證從 Apache 遷移到 IIS;但是 Microsoft 建議您重新建立或擷取一個新的 IIS 認證。

此過程假定您的網站已經具備了認證。

 1. 以管理員身份登入到 Web 服務器電腦。
2. 單擊開始,指向設定,然後單擊控制台。
3. 雙擊管理工具,然後雙擊 網際網路服務管理員。
4. 從左窗格中的不同服務網站的列表中選擇網站。
5. 按右鍵希望為其配置 SSL 通訊的網站、檔案夾或檔案,然後單擊屬性。
6. 單擊目錄安全性選項卡。
7. 單擊編輯。
8. 如果希望網站、檔案夾或檔案要求 SSL 通訊,請單擊需要安全通道 (SSL)。
9. 單擊需要 128 位加密以配置 128 位(而不是 40 位)加密支援。
10. 要允許使用者不必提供認證就可以串連,請單擊忽略客戶認證。

或者,如果要讓使用者提供認證,請使用接受客戶認證。
11. 要配置用戶端映射,請單擊啟用客戶認證映射,然後單擊編輯將客戶認證映射到使用者。

如果配置了此功能,可以將客戶認證分別映射到 Active Directory 中的每個使用者。可以使用此功能以根據使用者訪問網站時提供的認證自動識別使用者。可以將使用者一對一映射到認證(一個認證標識一個使用者),或者將許多認證映射到一個使用者(根據特定的規則,對照認證列表來匹配特定的使用者。第一個有效匹配項成為映射。)
12. 單擊確定。

 

下面就要為各位讀者介紹如何通過IIS認證嚮導配置我們需要的認證檔案。(From:it168)
  
  第一步:通過“管理工具”中的IIS管理器啟動IIS編輯器。
  
  第二步:在預設網站上點滑鼠右鍵選擇“屬性”。(11)
    

   圖11
  
  第三步:在預設網站屬性視窗中點“目錄安全性”標籤,然後在安全通訊處點“伺服器憑證”按鈕。(12)
    
   圖12
  
  第四步:系統將自動開啟WEB伺服器憑證嚮導。(13)
    
   圖13
  
  第五步:伺服器憑證處選擇“建立認證”,然後下一步繼續。(14)
    
   圖14
  
  第六步:延遲或立即請求處選擇“現在準備認證請求,但稍後發送”。(15)
    
   圖15
  
  第七步:設定認證的名稱和特定位長,名稱保持預設網站即可,在位長處我們通過下拉式功能表選擇512。(16)
    
   圖16
  
  小提示:位長主要用於安全加密,位長越來則越安全,不過傳輸效率會受到一定的影響,網站效能也受影響。一般來說選擇512已經足夠了。
  
  第八步:輸入單位資訊,包括單位和部門。(17)
    
   圖17
  
  第九步:在網站一般名稱視窗輸入localhost。(18)
    
   圖18
  
  第十步:地理資訊隨便填寫即可。(19)
    
   圖19
  
  第十一步:設定認證請求的檔案名稱,我們可以將其儲存到案頭以便下面步驟調用方便,儲存的檔案名稱為certreq.txt。(20)
    
   圖20
  
  第十二步:完成了IIS認證嚮導配置工作,並按照要求將相應的認證檔案儲存到案頭。(21)
  

 

 

 

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.