如何在IIS 7.0上使用自簽證書來啟用SSL-宇眾網(wǎng)絡(luò)國內(nèi)高防服務(wù)器

      很多朋友使用服務(wù)器進(jìn)行官網(wǎng)、甚至是網(wǎng)絡(luò)商城的搭建，但網(wǎng)站的安全性是一個(gè)很重要的問題。這時(shí)可以采用SSL來進(jìn)行加密，SSL加密技術(shù)是為保護(hù)敏感數(shù)據(jù)在傳送過程中的安全，而設(shè)置的加密技術(shù)。

　　SSL允許瀏覽器與web服務(wù)器在一個(gè)安全的通道上交換信息，以防范竊聽，篡改和消息偽造。你應(yīng)該總是在登錄頁面(用戶在上面輸入用戶名和密碼)，以及網(wǎng)站上其他所有安全敏感的網(wǎng)頁上使用SSL,譬如，那些顯示財(cái)務(wù)或個(gè)人信息的帳號(hào)網(wǎng)頁。

　　在Windows早期的IIS版本上配置SSL很痛苦，搞清楚如何安裝和管理證書，然后如何將證書與一個(gè)網(wǎng)站相關(guān)聯(lián)，我敢說是大多數(shù)web開發(fā)人員并不知道怎么做的事情。

　　好消息是，IIS 7.0使配置和啟用SSL成為小菜一碟。IIS 7.0現(xiàn)在對(duì)創(chuàng)建“自簽證書(Self Signed Certificates)”也有內(nèi)置的支持，自簽證書允許你輕松地創(chuàng)建測(cè)試或個(gè)人證書，然后你可以用之來為開發(fā)或測(cè)試目的對(duì)一個(gè)網(wǎng)站快速啟用SSL。

　　使用IIS 7.0的話，你可以在30秒內(nèi)對(duì)一個(gè)現(xiàn)有的網(wǎng)站完成啟用SSL。下面的教程示范該怎么來做。

　　第一步：創(chuàng)建一個(gè)新網(wǎng)站

　　我們先使用新的IIS 7.0管理工具創(chuàng)建一個(gè)新的網(wǎng)站。這個(gè)管理工具是對(duì)以前IIS管理工具的完全重寫的結(jié)果(是使用Windows Forms全部用托管代碼寫成的)，提供了對(duì)web特性更邏輯的組織。它對(duì)所有的ASP.NET和IIS設(shè)置提供了一個(gè)GUI管理體驗(yàn)：

　　要在機(jī)器上創(chuàng)建一個(gè)新的網(wǎng)站，在左手的樹形視圖窗口里右擊“網(wǎng)站(Web Sites)”節(jié)點(diǎn)，選擇“添加網(wǎng)站(Add Web Site)”上下文菜單選項(xiàng)。輸入適當(dāng)?shù)募?xì)節(jié)創(chuàng)建一個(gè)新的網(wǎng)站：

　　Windows Vista上IIS7的一個(gè)很棒的特性是，你現(xiàn)在可以在本機(jī)上擁有的網(wǎng)站數(shù)目不再受限制(早期Windows客戶機(jī)上IIS版本只允許一個(gè)網(wǎng)站)。早期Windows客戶機(jī)IIS版本的10個(gè)并發(fā)請(qǐng)求的限制在IIS 7.0上也不再存在。

　　我們完成上面的步驟后，在我們的IIS web服務(wù)器上就有一個(gè)嶄新的網(wǎng)站在運(yùn)行了。

　　第二步：創(chuàng)建一個(gè)新的自簽證書

　　在把SSL規(guī)則綁定到我們的新網(wǎng)站之前，我們首先需要引入和建立一個(gè)安全證書來用于SSL綁定。

　　在IIS 7.0中，可以這么來管理證書，點(diǎn)擊左手樹形視圖管理器里的根機(jī)器節(jié)點(diǎn)(root machine node)，然后在右邊的特性視窗里選擇“服務(wù)器證書(Server Certificates)”圖案：

　　這會(huì)列出在機(jī)器上注冊(cè)了的所有證書，并允許你引入或者創(chuàng)建新的證書。

　　我也可以去象Verisign這樣的證書機(jī)構(gòu)購買一個(gè)證書，然后用這個(gè)管理界面來引入?；蛘?，我也可以創(chuàng)建一個(gè)“自簽證書”，這是個(gè)測(cè)試證書，我可以在開發(fā)期間用來測(cè)試我的網(wǎng)站?？梢赃@么做，在管理工具的右手邊點(diǎn)擊“創(chuàng)建自簽證書(Create Self-Signed Certificate)”鏈接：

　　給證書輸入一個(gè)名字 (譬如：“test”)，點(diǎn)擊OK. 然后IIS7就會(huì)自動(dòng)為你創(chuàng)建一個(gè)自簽加密證書(self-signed crypto certificate)，同時(shí)與機(jī)器注冊(cè)該證書：

　　第三步： 為我們的網(wǎng)站啟用HTTPS綁定

　　要給我們?cè)谇懊鎰?chuàng)建的網(wǎng)站啟用SSL，在左手邊的樹形視圖窗口里選擇網(wǎng)站節(jié)點(diǎn)，然后在屏幕右手邊的“操作(actions)”視窗里點(diǎn)擊“綁定(Bindings)”鏈接：

　　這會(huì)調(diào)出一個(gè)對(duì)話框，上面列出了將訪問者(traffic)導(dǎo)向該網(wǎng)站的所有的綁定規(guī)則 (即，該網(wǎng)站的主機(jī)頭(host-header)/IP地址/端口組合)：

　　要給網(wǎng)站啟用SSL，我們要點(diǎn)擊“添加(Add)”按鈕。這會(huì)調(diào)出一個(gè)“添加綁定(add binding)”對(duì)話框，我們可以用來添加HTTPS協(xié)議支持。我們可以從對(duì)話框上的SSL證書下拉框里選擇我們先前創(chuàng)建的自簽證書， 這么做表明在SSL上給內(nèi)容加密時(shí)，我們要使用那個(gè)證書：

　　Click ok, and we now have SSL enabled for our site:點(diǎn)擊OK，我們就給我們的網(wǎng)站啟用了SSL：

　　第四步：對(duì)我們的網(wǎng)站做測(cè)試

　　給網(wǎng)站添加一個(gè)“default.aspx”網(wǎng)頁，然后在瀏覽器里輸入 https://localhost/default.aspx 來試著訪問該頁，注意這里“https”(而不是“http”)的用法，表示你要通過SSL來連接。

　　如果你使用IE7，你會(huì)看到這個(gè)謹(jǐn)防欺詐(anti-phishing)的錯(cuò)誤信息：

　　如果這發(fā)生的話，別怕，這只不過是IE想幫你，向你表明你本地機(jī)器的自簽證書看上去有點(diǎn)可疑。點(diǎn)擊“繼續(xù)連接這個(gè)網(wǎng)站(Continue to this website)”鏈接跳過這個(gè)安全警告，繼續(xù)連接到該網(wǎng)站上。你會(huì)發(fā)現(xiàn)你的default.aspx網(wǎng)頁現(xiàn)在是在SSL保護(hù)下運(yùn)行的：

　　至此，全部完成!

　　附錄：幾個(gè)關(guān)于SSL的注意事項(xiàng)

　　最后，幾個(gè)涉及SSL的注意事項(xiàng)：

　　IIS 7.0管理工具有個(gè)“SSL設(shè)置(SSL Settings)”節(jié)點(diǎn)，你可以針對(duì)每個(gè)網(wǎng)站，目錄或者文件來做選擇，這允許你控制特定的資源執(zhí)行時(shí)是否需要SSL請(qǐng)求。這對(duì)login.aspx這樣的網(wǎng)頁來說很有用，因?yàn)槟阋ＷC只有在加過密的通道上提交信息時(shí)，用戶才能輸入他們的身份信息。假如你配置login.asp需要SSL的話，IIS 7.0就會(huì)堵截瀏覽器的訪問，除非是通過SSL來訪問的。

　　在ASP.NET網(wǎng)頁或處理器(handler)里，你可以通過檢查Request.IsSecure屬性，用編程的手法檢查當(dāng)前請(qǐng)求是否使用了SSL(假如進(jìn)來的瀏覽器請(qǐng)求是通過SSL的，該屬性會(huì)返回true)。

　　你可以設(shè)置web.config文件中的 配置部分的“requireSSL”屬性，要求ASP.NET的表單認(rèn)證系統(tǒng)確保表單認(rèn)證cookie只有在啟用了SSL的網(wǎng)頁和URLs上才可以設(shè)置和使用。這避免了黑客在不受SSL保護(hù)的網(wǎng)頁上試著攔截認(rèn)證cookie，然后試著從另外的機(jī)器上使用“重放攻擊(Replay Attack)”來冒充用戶的危險(xiǎn)。

ps：租用國內(nèi)高防服務(wù)器bjsuncity.com宇眾網(wǎng)絡(luò)