在IIS上如何发布HTTPS网站，SSL安全服务配置

https是什么？

HTTPS（Secure Hypertext Transfer Protocol）安全超文本传输协议。

它是由 Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层（SSL）作为HTTP应用层的子层。（HTTPS使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。）SSL使用40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。

https是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，https的安全基础是SSL，因此加密的详细内容请看SSL。

它是一个URI scheme(抽象标识符体系)，句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。

限制

它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持.

一种常见的误解是“银行用户在线使用https:就能充分彻底保障他们的银行卡号不被偷窃。”实际上，与服务器的加密连接中能保护银行卡号的部分，只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的，这点甚至已被攻击者利用，常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在网站传输客户数据时发生，攻击者尝试窃听数据于传输中。

商业网站被人们期望迅速尽早引入新的特殊处理程序到金融网关，仅保留传输码(transaction number)。不过他们常常存储银行卡号在同一个数据库里。那些数据库和服务器少数情况有可能被未授权用户攻击和损害。

TLS 1.1之前

这段仅针对TLS 1.1之前的状况。因为SSL位于http的下一层，并不能理解更高层协议，通常SSL服务器仅能颁证给特定的IP/端口组合。这是指它经常不能在虚拟主机(基于域名)上与HTTP正常组合成HTTPS。

这一点已被更新在即将来临的TLS 1.1中—会完全支持基于域名的虚拟主机。

第一步：在IIS启动SSL

1. 下载 IIS 6.0 Resource Kit Tools: http://www.microsoft.com/downloads/details.aspx?FamilyID=56fc92ee-a71a-4c73-b628-ade629c89499&DisplayLang=en
2. 安装.

3. “All Programs->IIS Resources->SelfSSL->SelfSSL”, 在命令行中键入
“selfssl /S:1883082381 /P:446 /T /Q ”, 回答 “y”, and you are done.

其中，“1883082381”是网站的唯一ID，查看方式“All Programs->IIS Resources->Metabase Explorer->LM->W3SVC->1883082381”,查看右侧信息。

selfssl.exe工具参数：

/T 将自签名验书加入到可信证书列表中，如果指定此项则本地访问时信任自签名证书。

/N:CN 指定证书名称，如果不指定则使用本机名。

/K:key size 指定key大小，默认为1024。

/V:validity days指定有效期，默认为7天。

/S:site id 指定站点id，默认为1 <Default Site>。

/P:port 指定SSL端口，默认为443。

/Q 安静模式。当覆盖证书时不会进行提示。

举例：

selfssl.exe /N:CN=localhost /K:1024 /V:7 /S:1 /P:443 /Q

selfssl.exe /T /N:CN=localhost /K:1024 /V:7 /S:1 /P:443 /Q

selfssl.exe /T /N:CN=192.168.0.1 /K:1024 /V:7 /S:1 /P:443 /Q

现在你试试在browser里访问：https://localhost:446，你会发现会出现一个窗口询问是否接受一个untrusted certificate，选Yes, and you are in a safe channel now.

第二步：

1：通过“管理工具”中的IIS管理器启动IIS编辑器。

2：在默认网站上点鼠标右键选择“属性”。

3：在默认网站属性窗口中点“目录安全性”标签，然后在安全通信处点“服务器证书”按钮。

4：系统将自动打开WEB服务器证书向导。

5：服务器证书处选择“新建证书”，然后下一步继续。

6：延迟或立即请求处选择“现在准备证书请求，但稍后发送”。

7：设置证书的名称和特定位长，名称保持默认网站即可，在位长处我们通过下拉菜单选择512。

小提示：位长主要用于安全加密，位长越来则越安全(默认1024)，不过传输效率会受到一定的影响，网站性能也受影响。一般来说选择512已经足够了。

8：输入单位信息，包括单位和部门。

9：在站点公用名称窗口输入localhost。

10：地理信息随便填写即可。

11：设置证书请求的文件名，我们可以将其保存到桌面以便下面步骤调用方便，保存的文件名为certreq.txt。

12：完成了IIS证书向导配置工作，并按照要求将相应的证书文件保存到桌面。

第三步：

为 Web 服务器配置 SSL

要在 IIS 中启用 SSL，首先必须获得用于加密和解密通过网络传输的信息的证书。IIS 具有自己的证书请求工具，您可以使用此工具向证书颁发机构发送证书请求。此工具简化了获取证书的过程。如果您使用的是 Apache，则必须手动获取证书。

在 IIS 和 Apache 中，您都会收到来自证书颁发机构的证书文件，此文件必须配置在计算机上。Apache 使用 SSLCACertificateFile 指令读取其源文件中的证书。而在 IIS 中，您可以使用网站或文件夹属性的目录安全性选项卡来配置和管理证书。

您可以将证书从 Apache 迁移到 IIS；但是 Microsoft 建议您重新创建或获取一个新的 IIS 证书。

此过程假定您的站点已经具备了证书。

1. 以管理员身份登录到 Web 服务器计算机。

2. 单击开始，指向设置，然后单击控制面板。

3. 双击管理工具，然后双击 Internet 服务管理器。

4. 从左窗格中的不同服务站点的列表中选择网站。

5. 右键单击希望为其配置 SSL 通信的网站、文件夹或文件，然后单击属性。

6. 单击目录安全性选项卡。

7. 单击编辑。

8. 如果希望网站、文件夹或文件要求 SSL 通信，请单击需要安全通道 (SSL)。

9. 单击需要 128 位加密以配置 128 位（而不是 40 位）加密支持。

10. 要允许用户不必提供证书就可以连接，请单击忽略客户证书。

或者，如果要让用户提供证书，请使用接受客户证书。

11. 要配置客户端映射，请单击启用客户证书映射，然后单击编辑将客户证书映射到用户。

如果配置了此功能，可以将客户证书分别映射到 Active Directory 中的每个用户。可以使用此功能以根据用户访问网站时提供的证书自动识别用户。可以将用户一对一映射到证书（一个证书标识一个用户），或者将许多证书映射到一个用户（根据特定的规则，对照证书列表来匹配特定的用户。第一个有效的匹配项成为映射。）

12. 单击确定。

疑难解答：

1，访问不了站点

确认第一步中的“selfssl /S:1883082381 /P:446 /T /Q” 站点标识无误。

确认第一步中的“446”或其他端口设置无误，访问时需加入端口号，例如“https://localhost:端口”。

2，提示“安全证书的名称无效或与网站的名称不匹配”

原因：当您生成该 Web 站点的证书申请指定的公用名与用于访问该网站的 URL 不匹配。例如对于如果您访问该网站通过键入 IP 地址或服务器的名称，但在证书请求中指定的公用名称是
www.adatum.com，您将收到安全消息。

解决方案：若要不必此警告确保生成证书请求时指定的公用名匹配将用来访问该网站的 URL。

如果不能将用来访问该网站的 URL 更改为与证书上的公共名称相匹配，请按照下列步骤操作：

创建另一个证书请求。请确保公用名与用于访问该网站的 URL 匹配。
具有您生成一个新的证书的证书颁发机构。
为 Web 站点使用新的证书。

参考：有关生成新的证书申请的详细信息单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

290625
(http://support.microsoft.com/kb/ 290625/ ) 如何： 配置 Windows 2000 IIS 5.0 测试环境中的 SSL 使用证书服务器 2.0

例如：第二步的第“9”点，公用名称“localhost”，用户输入“https://localhost:446”访问无问题，但输入“https://192.168.1.1:446”访问会提示“安全证书的名称无效或与网站的名称不匹配”。