单击此处编辑母版标题,,,,,,,,单击此处编辑母版标题,,,,,*,WEB,服务安全配置与,SSL,协议,1),IIS,的安全配置,,2),利用,SSL,实现安全的,WEB,传输服务,实验目的,1,、掌握,IIS,的安全配置,,2,、了解,windows CA,证书服务器的配置与功能,,3,、掌握,SSL,的原理和安装配置,SSL,站点的操作,实验内容,一、,IIS-web,服务的安全配置,:,1),安装,IIS,,默认目录改为,e:/myweb,,并创建主页文档,index.htm;�2),设置本,web,站点只能由的主机访问,;�3),设置本,web,站点或站点子目录只能由用户,student,访问,;�4),设置,web,日志为,w3c,格式,扩充属性增加主机、发送和接收字节等;� 另设置,web,日志为,ncsa,格式,比较与,w3c,格式有何不同二、配置,ssl,站点,,,实现安全的,web,传输,:,1),安装配置好,Windows2000,证书服务,A (ip,地址,: ipa);�2),在,IIS-web,服务器,B,上,(ip,为,ipb),,准备一个证书请求信息,(certreq.txt):,Internet,服务管理器→,web,站点属性→目录安全性→ 服务器证书,…,3),访问,http://ipa/certsrv/,, 提交证书申请,(,申请证书,→,高级申请,…);�4),由证书服务器,A,审查证书申请和颁发证书;,5),访问,http://ipa/certsrv/,,下载已颁发的证书,(certnew.cer) �6),在,IIS-web,服务器,B,上安装证书,,,使该站点变为,SSL,站点,7),用,https,协议实现,web,数据的安全浏览,(,https://ipb)�8),尝试使用网络监视器、,sniffer,等抓包工具捕获,www,通讯的数据包,注意观察,ssl web,站点与普通,web,站点的不同,思考问题,1)IIS,的日志文件一般存在什么地方,有什么作用?,,2),简述,ssl,的原理,,ssl,的端口号一般为多少?,,3),比较,ssl,的,web,站点与普通,web,站点的区别,可从服务器设置、客户端访问、数据传输安全等方面叙述。
4),想一想,windows 2000,证书服务器的主要功能5)IIS6.0,与,IIS5.0,比较在安全方面有那些增强,?,参考资料,用,SSL,加密增强,FTP,服务器的安全性,,在,IIS,上面布置,SSL,实现,web,安全,通信,,用,SSL,增强,IIS,安全性的原理和实现过程,,资料在网上查找,用,IIS,建立高安全性,Web,服务器,,应用,NTFS,文件系统,,,合理配置权限,,修改默认目录,C:/Inetpub,,共享权限的修改,,为系统管理员账号更名,,废止,TCP/IP,上的,NetBIOS,,善用安全策略和,web,日志审计,,定期打补丁升级,,,设置,IIS,的安全机制,设置,IIS,的安全机制:,,安装时应注意的安全问题,,避免安装在主域控制器上,,避免安装在系统分区上,,用户控制的安全性,,匿名用户,,一般用户,,登录认证的安全性,,匿名访问,,基本验证,,Windows,集成验证,设置,IIS,的安全机制,设置,IIS,的安全机制:,,访问权限控制,,文件夹和文件的访问权限,,WWW,目录的访问权限,,IP,地址的控制,,端口安全性的实现,,IP,转发的安全性,,SSL,安全机制,,设置,IIS,的安全机制,IIS-Web,服务器的日志,Web,服务器的通用日志格式,(CommonLogFormat),日志所在目录:,,,C:\WINNT\system32\LogFiles\W3SVC1,,,,通用日志格式针对每一个,Web,请求生成一行纪录,记录以空格作为分隔,包括如下内容:,remotehos,rfc931,authuser,,[date],,"request",,status,,bytes,,SSL,作为,Web,安全性解决方案,1995,年由,Netscape,公司提出,,SSL,已经作为事实上的标准被众多网络产品提供商采纳,,,SSL,(,Security Socket Layer,)全称是加密套接字协议层,它位于,HTTP,协议层和,TCP,协议层之间,用于建立用户与服务器之间的加密通信,确保所传递信息的安全性,同时,SSL,安全机制是依靠数字证书来实现的。
SSL,基于公用密钥和私人密钥,用户使用公用密钥来加密数据,但解密数据必须使用相应的私人密钥使用,SSL,安全机制的通信过程如下:用户与,IIS,服务器建立连接后,服务器会把数字证书与公用密钥发送给用户,用户端生成会话密钥,并用公共密钥对会话密钥进行加密,然后传递给服务器,服务器端用私人密钥进行解密,这样,用户端和服务器端就建立了一条安全通道,只有,SSL,允许的用户才能与,IIS,服务器进行通信SSL,网站不同于一般的,Web,站点,它使用的是“,HTTPS”,协议,而不是普通的“,HTTP”,协议因此它的,URL,(统一资源定位器)格式为“,https://,网站域名”SSL,原理,SSL,原理,①,浏览器请求与,WWW,服务器建立安全会话,,②,WWW,服务器将自己的公钥发给浏览器,,③,WWW,服务器与浏览器协商密钥位数(,40,位或,128,位),,④浏览器产生会话使用的秘密密钥,并用,WWW,服务器的公钥加密传给,WWW,服务器,,⑤,WWW,服务器用自己的私钥解密,,⑥,WWW,服务器和浏览器用会话密钥加密和解密,实现加密传输,利用,SSL,实现安全的,WEB,传输服务,1),安装证书服务器,2),申请证书,(,准备请求信息→提交申请,)�3),审查颁发证书,4),下载颁发的证书,5),在,IIS-WEB,服务器上安装证书,,,使该站点变为,SSL,站点,6),用,https,协议实现,web,数据的安全浏览,安装证书管理软件和服务(,1,),,windows2000,公钥基础设施,PKI,和认证机构,CA,,,图中给出了组成,Windows 2000 PKI,的基本逻辑组件,其中最核心的为微软证书服务系统(,Microsoft Certificate Services,),它允许用户配置一个或多个企业,CA,,这些,CA,支持证书的发放和废除,并与活动目录和策略配合,共同完成证书和废除信息的发布。
windows2000,公钥基础设施,PKI,和认证机构,CA,Windows 2000 PKI,其基本组件包括如下几种:,,,1),证书服务,(Certificate Services,),:,证书服务作为一项核心的操作系统级服务,允许组织和企业建立自己的,CA,系统,并发布和管理数字证书2),活动目录,:,活动目录服务作为一项核心的操作系统级服务,提供了查找网络资源的唯一位置,在,PKI,中为证书和,CRL,等信息提供发布服务3),基于,PKI,的应用,:,Windows,本身提供了许多基于,PKI,的应用,如,Internet Explorer,、,Microsoft Money,、,Internet Information Server,、,Outlook,和,Outlook Express,等另外,一些其它第三方,PKI,应用也同样可以建立在,Windows 2000 PKI,基础之上4) Exchange,密钥管理服务,KMS,(,Exchange Key Management Service,),KMS,是,Microsoft Exchange,提供的一项服务,允许应用存储和获取用于加密,e-mail,的密钥。
在将来版本的,Windows,系统中,,KMS,将作为,Windows,操作系统的一部分来提供企业级的,KMS,服务Windows 2000,中的集成,PKI,系统提供了证书服务功能,可以让用户通过,Internet/ extranets/ intranets,安全地交互敏感信息证书服务验证一个电子商务交易中参与各方的有效性和真实性,并使用智能卡等提供的额外安全措施来使域用户登录到某个域Windows 2000,通过创建一个证书机构,CA,来管理其公钥基础设施,PKI,,以提供证书服务一个,CA,通过发布证书来确认用户公钥和其他属性的绑定关系,以提供对用户身份的证明Windows 2000,证书服务创建的,CA,可以接收证书请求、验证请求信息和请求者身份、发行和撤销证书,以及发布证书废除列表,CRL,(,Certificate Revocation List,)证书服务是通过内置的证书管理单元来实现的安装证书管理软件和服务(,2,),安装证书管理软件和服务(,3,),安装证书管理软件和服务(,4,),安装证书管理软件和服务(,5,),准备一个证书请求信息(,1,),,准备一个证书请求信息(,2,),准备一个证书请求信息(,3,),准备一个证书请求信息(,4,),准备一个证书请求信息(,5,),准备一个证书请求信息(,6,),准备一个证书请求信息(,7,),提交证书申请(,1,),,,,提交证书申请(,2,),,,,提交证书申请(,3,),提交证书申请(,4,),提交证书申请(,5,),为证书申请者颁布证书(,1,),,为证书申请者颁布证书(,2,),为证书申请者颁布证书(,3,),为证书申请者颁布证书(,4,),下载证书(,1,),,,,下载证书(,2,),,,,下载证书(,3,),下载证书(,4,),安装证书并配置,WWW,服务器(,1,),,安装证书并配置,WWW,服务器(,2,),安装证书并配置,WWW,服务器(,3,),安装证书并配置,WWW,服务器(,4,),安装证书并配置,WWW,服务器(,5,),安装证书并配置,WWW,服务器(,6,),安装证书并配置,WWW,服务器(,7,),验证并访问安全的,Web,站点(,1,),,,,验证并访问安全的,Web,站点(,2,),验证并访问安全的,Web,站点(,2,),。