WEB服务安全配置与服务安全配置与SSL协议协议1)IIS的安全配置的安全配置2)利用利用SSL实现安全的实现安全的WEB传输服务传输服务实验目的实验目的1、掌握、掌握IIS的安全配置的安全配置2、了解、了解windowsCA证书服务器的配置与功能证书服务器的配置与功能3、掌握、掌握SSL的原理和安装配置的原理和安装配置SSL站点的操作站点的操作实验内容实验内容思考问题思考问题1)IIS的日志文件一般存在什么地方,有什么作用?的日志文件一般存在什么地方,有什么作用?2)简述简述ssl的原理,的原理,ssl的端口号一般为多少?的端口号一般为多少?3)比较比较ssl的的web站点与普通站点与普通web站点的区别,可从服站点的区别,可从服务器设置、客户端访问、数据传输安全等方面叙述务器设置、客户端访问、数据传输安全等方面叙述4)想一想想一想windows2000证书服务器的主要功能证书服务器的主要功能5)IIS6.0与与IIS5.0比较在安全方面有那些增强比较在安全方面有那些增强?参考资料用用SSL加密增强加密增强FTP服务器的安全性服务器的安全性在IIS上面布置SSL实现web安全通信用用SSL增强增强IIS安全性的原理和实现过程安全性的原理和实现过程 资料在网上查找用用IIS建立高安全性建立高安全性Web服务器服务器l应用应用NTFS文件系统文件系统,合理配置权限合理配置权限l修改默认目录修改默认目录C:/Inetpubl共享权限的修改共享权限的修改l为系统管理员账号更名为系统管理员账号更名l废止废止TCP/IP上的上的NetBIOSl善用安全策略和善用安全策略和web日志审计日志审计l定期打补丁升级定期打补丁升级设置IIS的安全机制设置设置IIS的安全机制:的安全机制:安装时应注意的安全问题安装时应注意的安全问题避免安装在主域控制器上避免安装在主域控制器上避免安装在系统分区上避免安装在系统分区上用户控制的安全性用户控制的安全性匿名用户匿名用户一般用户一般用户登录认证的安全性登录认证的安全性匿名访问匿名访问基本验证基本验证Windows集成验证集成验证设置IIS的安全机制设置IIS的安全机制IIS-Web服务器的日志服务器的日志Web服务器的通用日志格式服务器的通用日志格式(CommonLogFormat)日志所在目录:日志所在目录:C:WINNTsystem32LogFilesW3SVC1通用日志格式针对每一个通用日志格式针对每一个Web请求生成一行纪录,记请求生成一行纪录,记录以空格作为分隔,包括如下内容:录以空格作为分隔,包括如下内容:remotehosrfc931authuserdate requeststatusbytesvSSL作为作为Web安全性解决方案安全性解决方案1995年由年由Netscape公司提出公司提出vSSL已经作为事实上的标准被众多网络产品提供商采纳已经作为事实上的标准被众多网络产品提供商采纳SSL(SecuritySocketLayer)全称是加密套接字协议层,它位于)全称是加密套接字协议层,它位于HTTP协议层和协议层和TCP协议层之间,用于建立用户与服务器之间的加密通信,协议层之间,用于建立用户与服务器之间的加密通信,确保所传递信息的安全性,同时确保所传递信息的安全性,同时SSL安全机制是依靠数字证书来实现的。
安全机制是依靠数字证书来实现的SSL基于公用密钥和私人密钥,用户使用公用密钥来加密数据,但解基于公用密钥和私人密钥,用户使用公用密钥来加密数据,但解密数据必须使用相应的私人密钥使用密数据必须使用相应的私人密钥使用SSL安全机制的通信过程如下:用安全机制的通信过程如下:用户与户与IIS服务器建立连接后,服务器会把数字证书与公用密钥发送给用户,服务器建立连接后,服务器会把数字证书与公用密钥发送给用户,用户端生成会话密钥,并用公共密钥对会话密钥进行加密,然后传递给服用户端生成会话密钥,并用公共密钥对会话密钥进行加密,然后传递给服务器,服务器端用私人密钥进行解密,这样,用户端和服务器端就建立了务器,服务器端用私人密钥进行解密,这样,用户端和服务器端就建立了一条安全通道,只有一条安全通道,只有SSL允许的用户才能与允许的用户才能与IIS服务器进行通信服务器进行通信SSL网站不同于一般的网站不同于一般的Web站点,它使用的是站点,它使用的是“HTTPS”协议,而不是协议,而不是普通的普通的“HTTP”协议因此它的协议因此它的URL(统一资源定位器)格式为(统一资源定位器)格式为“https:/网站域名网站域名”。
SSL原理原理SSL原理原理利用利用SSL实现安全的实现安全的WEB传输服务传输服务1)安装证书服务器安装证书服务器2)申请证书申请证书(准备请求信息准备请求信息提交申请提交申请)3)审查颁发证书审查颁发证书4)下载颁发的证书下载颁发的证书5)在在IIS-WEB服务器上安装证书服务器上安装证书,使该站点变为使该站点变为SSL站点站点6)用用https协议实现协议实现web数据的安全浏览数据的安全浏览安装证书管理软件和服务(安装证书管理软件和服务(1)windows2000公钥基础设施公钥基础设施PKI和认证机构和认证机构CA 图中给出了组成图中给出了组成Windows2000PKI的基本逻辑组件,其中最的基本逻辑组件,其中最核心的为微软证书服务系统(核心的为微软证书服务系统(MicrosoftCertificateServices),),它允许用户配置一个或多个企业它允许用户配置一个或多个企业CA,这些,这些CA支持证书的发放和废支持证书的发放和废除,并与活动目录和策略配合,共同完成证书和废除信息的发布除,并与活动目录和策略配合,共同完成证书和废除信息的发布windows2000公钥基础设施公钥基础设施PKI和认证机构和认证机构CAWindows2000PKI其基本组件包括如下几种:其基本组件包括如下几种:1)证书服务证书服务(CertificateServices):证书服务作为一项核心的操作系统级服务,允证书服务作为一项核心的操作系统级服务,允许组织和企业建立自己的许组织和企业建立自己的CA系统,并发布和管理数字证书。
系统,并发布和管理数字证书2)活动目录活动目录:活动目录服务作为一项核心的操作系统级服务,提供了查找网络资源活动目录服务作为一项核心的操作系统级服务,提供了查找网络资源的唯一位置,在的唯一位置,在PKI中为证书和中为证书和CRL等信息提供发布服务等信息提供发布服务3)基于基于PKI的应用的应用:Windows本身提供了许多基于本身提供了许多基于PKI的应用,如的应用,如InternetExplorer、MicrosoftMoney、InternetInformationServer、Outlook和和OutlookExpress等另外,一些其它第三方等另外,一些其它第三方PKI应用也同样可以建立在应用也同样可以建立在Windows2000PKI基础之上基础之上4)Exchange密钥管理服务密钥管理服务KMS(ExchangeKeyManagementService)KMS是是MicrosoftExchange提供的一项服务,允许应用存储和获取用于加密提供的一项服务,允许应用存储和获取用于加密e-mail的的密钥在将来版本的密钥在将来版本的Windows系统中,系统中,KMS将作为将作为Windows操作系统的一部分来操作系统的一部分来提供企业级的提供企业级的KMS服务。
服务Windows2000中的集成中的集成PKI系统提供了证书服务功能,可以让用户通过系统提供了证书服务功能,可以让用户通过Internet/extranets/intranets安全地交互敏感信息证书服务验证一个电子商务安全地交互敏感信息证书服务验证一个电子商务交易中参与各方的有效性和真实性,并使用智能卡等提供的额外安全措施来使域用交易中参与各方的有效性和真实性,并使用智能卡等提供的额外安全措施来使域用户登录到某个域户登录到某个域Windows2000通过创建一个证书机构通过创建一个证书机构CA来管理其公钥基础设施来管理其公钥基础设施PKI,以提,以提供证书服务一个供证书服务一个CA通过发布证书来确认用户公钥和其他属性的绑定关系,以提通过发布证书来确认用户公钥和其他属性的绑定关系,以提供对用户身份的证明供对用户身份的证明Windows2000证书服务创建的证书服务创建的CA可以接收证书请求、验可以接收证书请求、验证请求信息和请求者身份、发行和撤销证书,以及发布证书废除列表证请求信息和请求者身份、发行和撤销证书,以及发布证书废除列表CRL(CertificateRevocationList)。
证书服务是通过内置的证书管理单元来实)证书服务是通过内置的证书管理单元来实现的安装证书管理软件和服务(安装证书管理软件和服务(2)安装证书管理软件和服务(安装证书管理软件和服务(3)安装证书管理软件和服务(安装证书管理软件和服务(4)安装证书管理软件和服务(安装证书管理软件和服务(5)准备一个证书请求信息(准备一个证书请求信息(1)准备一个证书请求信息(准备一个证书请求信息(2)准备一个证书请求信息(准备一个证书请求信息(3)准备一个证书请求信息(准备一个证书请求信息(4)准备一个证书请求信息(准备一个证书请求信息(5)准备一个证书请求信息(准备一个证书请求信息(6)准备一个证书请求信息(准备一个证书请求信息(7)提交证书申请(提交证书申请(1)提交证书申请(提交证书申请(2)提交证书申请(提交证书申请(3)提交证书申请(提交证书申请(4)提交证书申请(提交证书申请(5)为证书申请者颁布证书(为证书申请者颁布证书(1)为证书申请者颁布证书(为证书申请者颁布证书(2)为证书申请者颁布证书(为证书申请者颁布证书(3)为证书申请者颁布证书(为证书申请者颁布证书(4)下载证书(下载证书(1)下载证书(下载证书(2)下载证书(下载证书(3)下载证书(下载证书(4)验证并访问安全的验证并访问安全的Web站点(站点(1)验证并访问安全的验证并访问安全的Web站点(站点(2)验证并访问安全的验证并访问安全的Web站点(站点(2)。