WEB服務安全配置與SSL協(xié)議

單擊此處編輯母版標題,,,,,,,,單擊此處編輯母版標題,,,,,*,WEB,服務安全配置與,SSL,協(xié)議,1),IIS,的安全配置,,2),利用,SSL,實現(xiàn)安全的,WEB,傳輸服務,實驗目的,1,、掌握,IIS,的安全配置,,2,、了解,windows CA,證書服務器的配置與功能,,3,、掌握,SSL,的原理和安裝配置,SSL,站點的操作,實驗內(nèi)容,一、,IIS-web,服務的安全配置,:,1),安裝,IIS,，默認目錄改為,e:/myweb,，并創(chuàng)建主頁文檔,index.htm;2),設置本,web,站點只能由的主機訪問,;3),設置本,web,站點或站點子目錄只能由用戶,student,訪問,;4),設置,web,日志為,w3c,格式，擴充屬性增加主機、發(fā)送和接收字節(jié)等； 另設置,web,日志為,ncsa,格式，比較與,w3c,格式有何不同二、配置,ssl,站點,,,實現(xiàn)安全的,web,傳輸,:,1),安裝配置好,Windows2000,證書服務,A (ip,地址,: ipa);2),在,IIS-web,服務器,B,上,(ip,為,ipb),,準備一個證書請求信息,(certreq.txt):,Internet,服務管理器→,web,站點屬性→目錄安全性→ 服務器證書,…,3),訪問,http://ipa/certsrv/,， 提交證書申請,(,申請證書,→,高級申請,…);4),由證書服務器,A,審查證書申請和頒發(fā)證書；,5),訪問,http://ipa/certsrv/,，下載已頒發(fā)的證書,(certnew.cer) 6),在,IIS-web,服務器,B,上安裝證書,,,使該站點變?yōu)?SSL,站點,7),用,https,協(xié)議實現(xiàn),web,數(shù)據(jù)的安全瀏覽,(,https://ipb)8),嘗試使用網(wǎng)絡監(jiān)視器、,sniffer,等抓包工具捕獲,www,通訊的數(shù)據(jù)包，注意觀察,ssl web,站點與普通,web,站點的不同,思考問題,1)IIS,的日志文件一般存在什么地方，有什么作用？,,2),簡述,ssl,的原理，,ssl,的端口號一般為多少？,,3),比較,ssl,的,web,站點與普通,web,站點的區(qū)別，可從服務器設置、客戶端訪問、數(shù)據(jù)傳輸安全等方面敘述。

4),想一想,windows 2000,證書服務器的主要功能5)IIS6.0,與,IIS5.0,比較在安全方面有那些增強,?,參考資料,用,SSL,加密增強,FTP,服務器的安全性,,在,IIS,上面布置,SSL,實現(xiàn),web,安全,通信,,用,SSL,增強,IIS,安全性的原理和實現(xiàn)過程,,資料在網(wǎng)上查找,用,IIS,建立高安全性,Web,服務器,,應用,NTFS,文件系統(tǒng),,,合理配置權限,,修改默認目錄,C:/Inetpub,,共享權限的修改,,為系統(tǒng)管理員賬號更名,,廢止,TCP/IP,上的,NetBIOS,,善用安全策略和,web,日志審計,,定期打補丁升級,,,設置,IIS,的安全機制,設置,IIS,的安全機制：,,安裝時應注意的安全問題,,避免安裝在主域控制器上,,避免安裝在系統(tǒng)分區(qū)上,,用戶控制的安全性,,匿名用戶,,一般用戶,,登錄認證的安全性,,匿名訪問,,基本驗證,,Windows,集成驗證,設置,IIS,的安全機制,設置,IIS,的安全機制：,,訪問權限控制,,文件夾和文件的訪問權限,,WWW,目錄的訪問權限,,IP,地址的控制,,端口安全性的實現(xiàn),,IP,轉發(fā)的安全性,,SSL,安全機制,,設置,IIS,的安全機制,IIS-Web,服務器的日志,Web,服務器的通用日志格式,(CommonLogFormat),日志所在目錄：,,,C:\WINNT\system32\LogFiles\W3SVC1,,,,通用日志格式針對每一個,Web,請求生成一行紀錄，記錄以空格作為分隔，包括如下內(nèi)容：,remotehos,rfc931,authuser,,[date],,"request",,status,,bytes,,SSL,作為,Web,安全性解決方案,1995,年由,Netscape,公司提出,,SSL,已經(jīng)作為事實上的標準被眾多網(wǎng)絡產(chǎn)品提供商采納,,,SSL,（,Security Socket Layer,）全稱是加密套接字協(xié)議層，它位于,HTTP,協(xié)議層和,TCP,協(xié)議層之間，用于建立用戶與服務器之間的加密通信，確保所傳遞信息的安全性，同時,SSL,安全機制是依靠數(shù)字證書來實現(xiàn)的。

SSL,基于公用密鑰和私人密鑰，用戶使用公用密鑰來加密數(shù)據(jù)，但解密數(shù)據(jù)必須使用相應的私人密鑰使用,SSL,安全機制的通信過程如下：用戶與,IIS,服務器建立連接后，服務器會把數(shù)字證書與公用密鑰發(fā)送給用戶，用戶端生成會話密鑰，并用公共密鑰對會話密鑰進行加密，然后傳遞給服務器，服務器端用私人密鑰進行解密，這樣，用戶端和服務器端就建立了一條安全通道，只有,SSL,允許的用戶才能與,IIS,服務器進行通信SSL,網(wǎng)站不同于一般的,Web,站點，它使用的是“,HTTPS”,協(xié)議，而不是普通的“,HTTP”,協(xié)議因此它的,URL,（統(tǒng)一資源定位器）格式為“,https://,網(wǎng)站域名”SSL,原理,SSL,原理,①,瀏覽器請求與,WWW,服務器建立安全會話,,②,WWW,服務器將自己的公鑰發(fā)給瀏覽器,,③,WWW,服務器與瀏覽器協(xié)商密鑰位數(shù)（,40,位或,128,位）,,④瀏覽器產(chǎn)生會話使用的秘密密鑰，并用,WWW,服務器的公鑰加密傳給,WWW,服務器,,⑤,WWW,服務器用自己的私鑰解密,,⑥,WWW,服務器和瀏覽器用會話密鑰加密和解密，實現(xiàn)加密傳輸,利用,SSL,實現(xiàn)安全的,WEB,傳輸服務,1),安裝證書服務器,2),申請證書,(,準備請求信息→提交申請,)3),審查頒發(fā)證書,4),下載頒發(fā)的證書,5),在,IIS-WEB,服務器上安裝證書,,,使該站點變?yōu)?SSL,站點,6),用,https,協(xié)議實現(xiàn),web,數(shù)據(jù)的安全瀏覽,安裝證書管理軟件和服務（,1,）,,windows2000,公鑰基礎設施,PKI,和認證機構,CA,,,圖中給出了組成,Windows 2000 PKI,的基本邏輯組件，其中最核心的為微軟證書服務系統(tǒng)（,Microsoft Certificate Services,），它允許用戶配置一個或多個企業(yè),CA,，這些,CA,支持證書的發(fā)放和廢除，并與活動目錄和策略配合，共同完成證書和廢除信息的發(fā)布。

windows2000,公鑰基礎設施,PKI,和認證機構,CA,Windows 2000 PKI,其基本組件包括如下幾種：,,,1),證書服務,(Certificate Services,）,:,證書服務作為一項核心的操作系統(tǒng)級服務，允許組織和企業(yè)建立自己的,CA,系統(tǒng)，并發(fā)布和管理數(shù)字證書2),活動目錄,:,活動目錄服務作為一項核心的操作系統(tǒng)級服務，提供了查找網(wǎng)絡資源的唯一位置，在,PKI,中為證書和,CRL,等信息提供發(fā)布服務3),基于,PKI,的應用,:,Windows,本身提供了許多基于,PKI,的應用，如,Internet Explorer,、,Microsoft Money,、,Internet Information Server,、,Outlook,和,Outlook Express,等另外，一些其它第三方,PKI,應用也同樣可以建立在,Windows 2000 PKI,基礎之上4) Exchange,密鑰管理服務,KMS,（,Exchange Key Management Service,）,KMS,是,Microsoft Exchange,提供的一項服務，允許應用存儲和獲取用于加密,e-mail,的密鑰。

在將來版本的,Windows,系統(tǒng)中，,KMS,將作為,Windows,操作系統(tǒng)的一部分來提供企業(yè)級的,KMS,服務Windows 2000,中的集成,PKI,系統(tǒng)提供了證書服務功能，可以讓用戶通過,Internet/ extranets/ intranets,安全地交互敏感信息證書服務驗證一個電子商務交易中參與各方的有效性和真實性，并使用智能卡等提供的額外安全措施來使域用戶登錄到某個域Windows 2000,通過創(chuàng)建一個證書機構,CA,來管理其公鑰基礎設施,PKI,，以提供證書服務一個,CA,通過發(fā)布證書來確認用戶公鑰和其他屬性的綁定關系，以提供對用戶身份的證明Windows 2000,證書服務創(chuàng)建的,CA,可以接收證書請求、驗證請求信息和請求者身份、發(fā)行和撤銷證書，以及發(fā)布證書廢除列表,CRL,（,Certificate Revocation List,）證書服務是通過內(nèi)置的證書管理單元來實現(xiàn)的安裝證書管理軟件和服務（,2,）,安裝證書管理軟件和服務（,3,）,安裝證書管理軟件和服務（,4,）,安裝證書管理軟件和服務（,5,）,準備一個證書請求信息（,1,）,,準備一個證書請求信息（,2,）,準備一個證書請求信息（,3,）,準備一個證書請求信息（,4,）,準備一個證書請求信息（,5,）,準備一個證書請求信息（,6,）,準備一個證書請求信息（,7,）,提交證書申請（,1,）,,,,提交證書申請（,2,）,,,,提交證書申請（,3,）,提交證書申請（,4,）,提交證書申請（,5,）,為證書申請者頒布證書（,1,）,,為證書申請者頒布證書（,2,）,為證書申請者頒布證書（,3,）,為證書申請者頒布證書（,4,）,下載證書（,1,）,,,,下載證書（,2,）,,,,下載證書（,3,）,下載證書（,4,）,安裝證書并配置,WWW,服務器（,1,）,,安裝證書并配置,WWW,服務器（,2,）,安裝證書并配置,WWW,服務器（,3,）,安裝證書并配置,WWW,服務器（,4,）,安裝證書并配置,WWW,服務器（,5,）,安裝證書并配置,WWW,服務器（,6,）,安裝證書并配置,WWW,服務器（,7,）,驗證并訪問安全的,Web,站點（,1,）,,,,驗證并訪問安全的,Web,站點（,2,）,驗證并訪問安全的,Web,站點（,2,）,。