如何在IIS 7.0上使用自簽證書來啟用SSL-宇眾網(wǎng)絡(luò)國內(nèi)高防服務(wù)器

      很多朋友使用服務(wù)器進行官網(wǎng)、甚至是網(wǎng)絡(luò)商城的搭建，但網(wǎng)站的安全性是一個很重要的問題。這時可以采用SSL來進行加密，SSL加密技術(shù)是為保護敏感數(shù)據(jù)在傳送過程中的安全，而設(shè)置的加密技術(shù)。

　　SSL允許瀏覽器與web服務(wù)器在一個安全的通道上交換信息，以防范竊聽，篡改和消息偽造。你應(yīng)該總是在登錄頁面(用戶在上面輸入用戶名和密碼)，以及網(wǎng)站上其他所有安全敏感的網(wǎng)頁上使用SSL,譬如，那些顯示財務(wù)或個人信息的帳號網(wǎng)頁。

　　在Windows早期的IIS版本上配置SSL很痛苦，搞清楚如何安裝和管理證書，然后如何將證書與一個網(wǎng)站相關(guān)聯(lián)，我敢說是大多數(shù)web開發(fā)人員并不知道怎么做的事情。

　　好消息是，IIS 7.0使配置和啟用SSL成為小菜一碟。IIS 7.0現(xiàn)在對創(chuàng)建“自簽證書(Self Signed Certificates)”也有內(nèi)置的支持，自簽證書允許你輕松地創(chuàng)建測試或個人證書，然后你可以用之來為開發(fā)或測試目的對一個網(wǎng)站快速啟用SSL。

　　使用IIS 7.0的話，你可以在30秒內(nèi)對一個現(xiàn)有的網(wǎng)站完成啟用SSL。下面的教程示范該怎么來做。

　　第一步：創(chuàng)建一個新網(wǎng)站

　　我們先使用新的IIS 7.0管理工具創(chuàng)建一個新的網(wǎng)站。這個管理工具是對以前IIS管理工具的完全重寫的結(jié)果(是使用Windows Forms全部用托管代碼寫成的)，提供了對web特性更邏輯的組織。它對所有的ASP.NET和IIS設(shè)置提供了一個GUI管理體驗：

　　要在機器上創(chuàng)建一個新的網(wǎng)站，在左手的樹形視圖窗口里右擊“網(wǎng)站(Web Sites)”節(jié)點，選擇“添加網(wǎng)站(Add Web Site)”上下文菜單選項。輸入適當(dāng)?shù)募?xì)節(jié)創(chuàng)建一個新的網(wǎng)站：

　　Windows Vista上IIS7的一個很棒的特性是，你現(xiàn)在可以在本機上擁有的網(wǎng)站數(shù)目不再受限制(早期Windows客戶機上IIS版本只允許一個網(wǎng)站)。早期Windows客戶機IIS版本的10個并發(fā)請求的限制在IIS 7.0上也不再存在。

　　我們完成上面的步驟后，在我們的IIS web服務(wù)器上就有一個嶄新的網(wǎng)站在運行了。

　　第二步：創(chuàng)建一個新的自簽證書

　　在把SSL規(guī)則綁定到我們的新網(wǎng)站之前，我們首先需要引入和建立一個安全證書來用于SSL綁定。

　　在IIS 7.0中，可以這么來管理證書，點擊左手樹形視圖管理器里的根機器節(jié)點(root machine node)，然后在右邊的特性視窗里選擇“服務(wù)器證書(Server Certificates)”圖案：

　　這會列出在機器上注冊了的所有證書，并允許你引入或者創(chuàng)建新的證書。

　　我也可以去象Verisign這樣的證書機構(gòu)購買一個證書，然后用這個管理界面來引入。或者，我也可以創(chuàng)建一個“自簽證書”，這是個測試證書，我可以在開發(fā)期間用來測試我的網(wǎng)站?？梢赃@么做，在管理工具的右手邊點擊“創(chuàng)建自簽證書(Create Self-Signed Certificate)”鏈接：

　　給證書輸入一個名字 (譬如：“test”)，點擊OK. 然后IIS7就會自動為你創(chuàng)建一個自簽加密證書(self-signed crypto certificate)，同時與機器注冊該證書：

　　第三步： 為我們的網(wǎng)站啟用HTTPS綁定

　　要給我們在前面創(chuàng)建的網(wǎng)站啟用SSL，在左手邊的樹形視圖窗口里選擇網(wǎng)站節(jié)點，然后在屏幕右手邊的“操作(actions)”視窗里點擊“綁定(Bindings)”鏈接：

　　這會調(diào)出一個對話框，上面列出了將訪問者(traffic)導(dǎo)向該網(wǎng)站的所有的綁定規(guī)則 (即，該網(wǎng)站的主機頭(host-header)/IP地址/端口組合)：

　　要給網(wǎng)站啟用SSL，我們要點擊“添加(Add)”按鈕。這會調(diào)出一個“添加綁定(add binding)”對話框，我們可以用來添加HTTPS協(xié)議支持。我們可以從對話框上的SSL證書下拉框里選擇我們先前創(chuàng)建的自簽證書， 這么做表明在SSL上給內(nèi)容加密時，我們要使用那個證書：

　　Click ok, and we now have SSL enabled for our site:點擊OK，我們就給我們的網(wǎng)站啟用了SSL：

　　第四步：對我們的網(wǎng)站做測試

　　給網(wǎng)站添加一個“default.aspx”網(wǎng)頁，然后在瀏覽器里輸入 https://localhost/default.aspx 來試著訪問該頁，注意這里“https”(而不是“http”)的用法，表示你要通過SSL來連接。

　　如果你使用IE7，你會看到這個謹(jǐn)防欺詐(anti-phishing)的錯誤信息：

　　如果這發(fā)生的話，別怕，這只不過是IE想幫你，向你表明你本地機器的自簽證書看上去有點可疑。點擊“繼續(xù)連接這個網(wǎng)站(Continue to this website)”鏈接跳過這個安全警告，繼續(xù)連接到該網(wǎng)站上。你會發(fā)現(xiàn)你的default.aspx網(wǎng)頁現(xiàn)在是在SSL保護下運行的：

　　至此，全部完成!

　　附錄：幾個關(guān)于SSL的注意事項

　　最后，幾個涉及SSL的注意事項：

　　IIS 7.0管理工具有個“SSL設(shè)置(SSL Settings)”節(jié)點，你可以針對每個網(wǎng)站，目錄或者文件來做選擇，這允許你控制特定的資源執(zhí)行時是否需要SSL請求。這對login.aspx這樣的網(wǎng)頁來說很有用，因為你要保證只有在加過密的通道上提交信息時，用戶才能輸入他們的身份信息。假如你配置login.asp需要SSL的話，IIS 7.0就會堵截瀏覽器的訪問，除非是通過SSL來訪問的。

　　在ASP.NET網(wǎng)頁或處理器(handler)里，你可以通過檢查Request.IsSecure屬性，用編程的手法檢查當(dāng)前請求是否使用了SSL(假如進來的瀏覽器請求是通過SSL的，該屬性會返回true)。

　　你可以設(shè)置web.config文件中的 配置部分的“requireSSL”屬性，要求ASP.NET的表單認(rèn)證系統(tǒng)確保表單認(rèn)證cookie只有在啟用了SSL的網(wǎng)頁和URLs上才可以設(shè)置和使用。這避免了黑客在不受SSL保護的網(wǎng)頁上試著攔截認(rèn)證cookie，然后試著從另外的機器上使用“重放攻擊(Replay Attack)”來冒充用戶的危險。

ps：租用國內(nèi)高防服務(wù)器bjsuncity.com宇眾網(wǎng)絡(luò)