在iis7中,http.sys在核心模式下操作ssl加密解密,相對於iis6,這種方式能提高近20%的效能。
當ssl執行於核心模式時,會將ssl繫結資訊儲存在兩個地方。第乙個地方,繫結配置儲存在%windir%\system32\inetsrv\config\applicationhost.config中,當站點啟動時,iis7傳送繫結資訊給http.sys,同時http.sys會在特定的ip和埠監聽請求。第二個地方,與繫結相關聯的ssl配置儲存在http.sys配置中。使用netsh命令可以檢視儲存在http.sys的ssl繫結配置:
當乙個客戶開始連線並初始化ssl協商時,http.sys在它的配置中查詢這個ip:port對應的ssl配置。這個ssl配置必須包括證書hash值和名稱:
l 在applicationhost.config中確認這個繫結是否存在
l http.sys中是否包含有效證書的hash值以及命名是否存在
選擇證書時,需要考慮以下問題:
是否想讓終端使用者能夠通過你提供的證書確認你伺服器的唯一性?
如果是的,則
要麼建立乙個證書請求,並且傳送證書請求到證書權威機構(ca)lkgpg,比如verisign或者geotrust;
要麼從intranet的**ca那裡獲取乙個證書
瀏覽器一般用三樣東西來確認伺服器證書的有效性:
1. 當前日期在證書的有效期範圍內
2. 證書的「common name」(cn)與請求中的主機名相匹配。比如,如果客戶發起了乙個到的請求,則cn必須是這樣的:/
3. 證書的發行者是已知的和受到信任的ca
如果其中有1項失敗,瀏覽器就會警告使用者。如果你有個internlkgpget站點或者你不怎麼熟的intranet使用者,那你就需要確保這3項是都通過的。
自簽名的證書可以用你自己的計算機建立。如果終端使用者不重要,或者他們信任你的伺服器,又或者用於測試環境,則這種自簽名證書將會非常有用。
ø 使用wmi來繫結ssl證書
使用wmi命名空間,是不能夠請求或者建立證書。
建立ssl繫結
以下指令碼展示了如何建立ssl繫結,以及新增相應資訊到http.sys中:
複製** **如下:
注意:證書的hash值和名稱必須引用了你服務其上真實且有用的證書。如果其中有一項虛假,就會出現錯誤。
注意:證書的hash值和名稱必須引用了你服務其上真實且有用的證書。如果其中有一項虛假,就會出現錯誤。
配置ssl設定
以下指令碼展示了如何通過iis7的wmi提供程式來設定ssl。
複製** **如下:
const ssl = 8
set oiis = getobject("winmgmts:root\webadministration")
set osection = oiis.get( _
"accesssection.path='machine/webroot/apphost',location='default web site'")
osection.sslflags = osection.sslflags or ssl
osection.put_
使用iis管理器來繫結ssl證書獲取乙個證書
在樹目錄中選擇伺服器節點,在右面雙擊server certificates圖示:
單擊create self-signed certificate…按鈕:
輸入新證書的名字後單擊ok。
現在你有了乙個自簽名證書。這個證書被標記為」伺服器端驗證」
建立ssl繫結
選擇乙個站點,在actions面板中單擊bindings…。會顯示出新增、修改、刪除繫結對話方塊。單擊add…按鈕新增新的ssl繫結。
預設設定是80埠,在型別下拉框中選擇https,在ssl certificate下拉框中選擇你剛才建立的自簽名證書名字,單擊ok。
現在你已經完成ssl繫結的建立工作了,剩下的就是要確認是否工作正常了。
ø ssl繫結的確認
在actions面板中,在browse web site下,單擊剛才增加的繫結
由於這個證書是個自簽名的證書,ie7會顯示乙個錯誤頁面。
單擊continue to this website(not recommended).繼續
ø 配置ssl設定
當你要求使用者必須使用證書,又或者必須ssl方式連線時,你需要配置ssl設定。雙擊ssl settings如下圖:
本文標題: iis7下配置ssl的方法分析
本文位址:
IIS 7或IIS 7 5中配置SSL加密
使用ssl加密是web部署中常用的技術,敏感新在傳遞過程中的安全全靠它來保障。現在多數 都採用了此技術,例如各類郵箱的登入基本上都採用https協議來進行傳輸。今天我們看一下在iis 7.x中如何對自己的站點進行ssl加密。在iis 7.x中要比在6.0及之前的版本中容易不止一倍兩倍,太簡單了。我們...
win7系統下IIS7的配置
如果你的機器沒有安裝iis7,那麼請先安裝一下iis7,iis7已包含在系統中,但是一般預設的選擇時沒有安裝的,需要手動安裝一下。安裝完成之後就是最重要的配置步驟,首先開啟iis配置介面,可以通過控制面板 管理工具,也可以右擊我的電腦 管理開啟,如下 1 許可權驗證 需要設定登入的使用者名稱及密碼,...
win7系統下IIS7的配置
如果你的機器沒有安裝iis7,那麼請先安裝一下iis7,iis7已包含在系統中,但是一般預設的選擇時沒有安裝的,需要手動安裝一下。安裝完成之後就是最重要的配置步驟,首先開啟iis配置介面,可以通過控制面板 管理工具,也可以右擊我的電腦 管理開啟,如下 1 許可權驗證 需要設定登入的使用者名稱及密碼,...