網路安全系列之四十七 在IIS6中申請並安裝證書

2021-09-03 09:57:24 字數 1832 閱讀 9724

之前通過設定基本身份驗證,可以實現客戶端在訪問指定的虛擬目錄時,必須要輸入使用者名稱和密碼進行驗證,但是基本身份驗證的資訊在網路中是明文傳輸的,我們可以通過為站點申請並安裝證書,來實現資料的加密傳輸。實驗環境中的ca證書伺服器已經搭建好,這裡只介紹在web伺服器上的證書申請和安裝過程。

(1)生成證書請求

在web伺服器上右擊需要申請證書的**,開啟屬性介面,選擇「目錄安全性」選項卡,並單擊「伺服器證書」按鈕,如圖所示。

在「iis證書嚮導」中選擇「新建證書」,為證書指定名稱並設定金鑰長度,最後會生成乙個名為certreq.txt的證書請求檔案,將其儲存。

注意,客戶端在生成證書請求時,就已經產生了金鑰對,其中公鑰包含在證書請求中,私鑰則存放在登錄檔裡。

(2) 提交證書申請

在web伺服器上開啟瀏覽器,在位址列中輸入「http://

開啟之前儲存的申請檔案certreq,txt,將其內容複製到「儲存的申請「文字框中,如圖所示。

在「證書掛起「頁面中,顯示證書已經申請成功,但必須等待ca伺服器檢查頒發證書。

(3)由ca頒發證書

在ca伺服器「掛起的申請「中為web伺服器頒發證書。

(4) 在web伺服器上安裝證書

在web伺服器上,通過ie再次訪問ca伺服器,在「檢視掛起的證書申請的狀態「頁面中,單擊」儲存的申請證書「,將證書儲存到磁碟中。證書的預設檔名為certnew.cer。

(5) 安裝證書並啟用ssl

在**屬性的「目錄安全性「選項卡中,單擊」伺服器證書「按鈕,在伺服器證書嚮導中選擇」處理掛起的證書請求並安裝證書「,指定**使用的ssl埠,預設為443。

這樣客戶端就可以通過https方式訪問web站點了,但此時還允許通過未加密的http方式訪問web站點,如果需要強制web站點使用https服務,則進行以下設定。

在「安全通訊「頁面中,選中」要求安全通道ssl「,表示只能使用https服務訪問此web站點,預設密碼強度只有40位,如果需要更高的密碼強度可以選中」要求128位加密「核取方塊。在」客戶端證書「項中選中「忽略客戶端證書」,這樣使用者不必提供證書就可以通過https連線到此web站點。

這樣設定之後,在客戶端如果使用http的方式訪問**,便會出現錯誤提示。

改用https的方式可以成功訪問**,而且在ie的狀態列上會看到乙個小鎖圖示,表示瀏覽器與**之間已建立起經過ssl保護的安全連線。將滑鼠指標移動到該圖示上,可以看到現在的加密強度。 

網路安全系列之四十六 在IIS6中配置目錄安全性

web站點預設是允許匿名訪問的,某些特殊 或者虛擬目錄 如果要求使用者提供賬號和密碼才能訪問,或者限定某些ip位址能 或不能 訪問,那可以通過在web站點屬性的 目錄安全性 選項卡中進行相關設定以完成上述要求。1 在 身份驗證方法 介面中可以看到web伺服器預設啟用了匿名訪問功能,即客戶端在訪問we...

網路安全系列之四十 在Linux中設定SET位許可權

雖然通過acl增加了許可權設定的靈活性,但是linux系統中可供設定的許可權只有讀 寫 執行三種,在某些特殊的場合,這可能將無法滿足要求。因而,在linux系統中還提供了幾種特殊的附加許可權,用於為檔案或目錄提供額外的控制方式,可用的附加許可權包括 set位許可權 suid sgid 和粘滯位許可權...

網路安全系列之培訓筆記整理

邏輯漏洞 多個執行緒競爭同乙個共享 變數 檔案等稱之為條件競爭。那麼什麼情況存在競爭條件?例項 上傳檔案,下面是乙個上傳檔案的例子,上傳檔案之前先校驗許可權 include include include define delay 10000 int main fp fopen fn,a fwrit...