SSL(Security Socket Layer) IIS的身份认证除了匿名访问、基本验证和Windows NT请求/响应方式外,还有一种安全性更高的认证,就是通过SSL (加密套接字协议层)安全机制使用数字证书。 SSL是一种保护WEB通讯的工业标准,位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。 SSL基于强公钥加密技术以及RSA的专用密钥序列密码(公钥和私钥),能够对信用卡和个人信息、电子商务提供较强的加密保护。任何用户都可以获得公钥来加密数据,但解密数据必须要通过相应的私钥。
使用SSL时,首先客户端与服务器建立连接,服务器把它的数字证书与公共密钥一并发送给客户端,客户端随机生成会话密钥,用从服务器得到的公钥对会话密钥进行加密,再把会话密钥传递给服务器。而会话密钥只有在服务器端用私钥才能解密,这样,客户端和服务器端就建立了一个惟一的安全通道。 IIS中基于证书的SSL特性由服务器端证书、客户端证书和不同的数字密钥组成,可使用微软认证服务(Microsoft Certificate Services)创建这些证书或从可相互信任的第三方机构获得,该机构称为证书颁发机构(Certification Authority,CA)。 SSL的缺陷是只能保证传输过程的安全,无法知道在传输过程中是否受到窃听。新的SSL协议被命名为TLS(Transport Layer Security),安全可靠性可有所提高。
证书服务的安装思路 为本机WEB站点安装证书服务,主要进行以下步骤 在本机上注册CA机构 为WEB站点创建申请表 申请SSL安全通道 WEB站点与客户端通过HTTPS协议进行安全通信
1.在本机上注册CA机构
证书服务器完成安装后,在本地IIS里的默认WEB服务器里生成的几个虚拟目录。
2.为WEB站点创建申请表
3.将申请表提交给CA机构,为WEB站点申请证书
默认情况下,发送到 CA 的所有证书申请都被设置为搁置,直到独立 CA 的管理员验证申请者的身份并确认申请。这是出于安全性的考虑,因为证书申请者的凭证还没有被独立 CA 验证。
4.CA机构颁发证书
注意:此证书对于维护站点安全非常重要,一般要将其保存在其它安全的地方,以不被它人获得。
5.将证书安装到WEB站点上
6.申请SSL安全通道
默认安装结束后,SSL并未启动,需要手动申请站点SSL的加密通道
7.WEB站点与客户端通过HTTPS协议进行安全通信
这时我们看这个网站的时候所有信息在网上以加密的方式来传送,任何人都无法再轻易了解其中的内容。这是加密前后的两幅IRIS的监听结果:
加密过的SSL会比普通的没有加密的WEB浏览的时候慢一点,主要是因为加密的隧道额外还要占用一点CPU的资源,对于那些没有任何秘密可言的WEB站点没有需要用加密的SSL通道。只要对于那些重要的目录和站点才有这个必要性。