《WEB服務(wù)安全配置與SSL協(xié)議》由會員分享，可在線閱讀，更多相關(guān)《WEB服務(wù)安全配置與SSL協(xié)議（51頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、WEB服務(wù)安全配置與服務(wù)安全配置與SSL協(xié)議協(xié)議1)IIS的安全配置的安全配置2)利用利用SSL實現(xiàn)安全的實現(xiàn)安全的WEB傳輸服務(wù)傳輸服務(wù)實驗?zāi)康膶嶒災(zāi)康?、掌握、掌握IIS的安全配置的安全配置2、了解、了解windowsCA證書服務(wù)器的配置與功能證書服務(wù)器的配置與功能3、掌握、掌握SSL的原理和安裝配置的原理和安裝配置SSL站點的操作站點的操作實驗內(nèi)容實驗內(nèi)容思考問題思考問題1)IIS的日志文件一般存在什么地方，有什么作用？的日志文件一般存在什么地方，有什么作用？2)簡述簡述ssl的原理，的原理，ssl的端口號一般為多少？的端口號一般為多少？3)比較比較ssl的的web站點與普通站點與普通w

2、eb站點的區(qū)別，可從服站點的區(qū)別，可從服務(wù)器設(shè)置、客戶端訪問、數(shù)據(jù)傳輸安全等方面敘述。務(wù)器設(shè)置、客戶端訪問、數(shù)據(jù)傳輸安全等方面敘述。4)想一想想一想windows2000證書服務(wù)器的主要功能。證書服務(wù)器的主要功能。5)IIS6.0與與IIS5.0比較在安全方面有那些增強(qiáng)比較在安全方面有那些增強(qiáng)?參考資料用用SSL加密增強(qiáng)加密增強(qiáng)FTP服務(wù)器的安全性服務(wù)器的安全性在IIS上面布置SSL實現(xiàn)web安全通信用用SSL增強(qiáng)增強(qiáng)IIS安全性的原理和實現(xiàn)過程安全性的原理和實現(xiàn)過程 資料在網(wǎng)上查找用用IIS建立高安全性建立高安全性Web服務(wù)器服務(wù)器l應(yīng)用應(yīng)用NTFS文件系統(tǒng)文件系統(tǒng),合理配置權(quán)限合理配置權(quán)限

3、l修改默認(rèn)目錄修改默認(rèn)目錄C:/Inetpubl共享權(quán)限的修改共享權(quán)限的修改l為系統(tǒng)管理員賬號更名為系統(tǒng)管理員賬號更名l廢止廢止TCP/IP上的上的NetBIOSl善用安全策略和善用安全策略和web日志審計日志審計l定期打補(bǔ)丁升級定期打補(bǔ)丁升級設(shè)置IIS的安全機(jī)制設(shè)置設(shè)置IIS的安全機(jī)制：的安全機(jī)制：安裝時應(yīng)注意的安全問題安裝時應(yīng)注意的安全問題避免安裝在主域控制器上避免安裝在主域控制器上避免安裝在系統(tǒng)分區(qū)上避免安裝在系統(tǒng)分區(qū)上用戶控制的安全性用戶控制的安全性匿名用戶匿名用戶一般用戶一般用戶登錄認(rèn)證的安全性登錄認(rèn)證的安全性匿名訪問匿名訪問基本驗證基本驗證Windows集成驗證集成驗證設(shè)置IIS的

4、安全機(jī)制設(shè)置IIS的安全機(jī)制IIS-Web服務(wù)器的日志服務(wù)器的日志W(wǎng)eb服務(wù)器的通用日志格式服務(wù)器的通用日志格式(CommonLogFormat)日志所在目錄：日志所在目錄：C:WINNTsystem32LogFilesW3SVC1通用日志格式針對每一個通用日志格式針對每一個Web請求生成一行紀(jì)錄，記請求生成一行紀(jì)錄，記錄以空格作為分隔，包括如下內(nèi)容：錄以空格作為分隔，包括如下內(nèi)容：remotehosrfc931authuserdate requeststatusbytesvSSL作為作為Web安全性解決方案安全性解決方案1995年由年由Netscape公司提出公司提出vSSL已經(jīng)作為事實上的

5、標(biāo)準(zhǔn)被眾多網(wǎng)絡(luò)產(chǎn)品提供商采納已經(jīng)作為事實上的標(biāo)準(zhǔn)被眾多網(wǎng)絡(luò)產(chǎn)品提供商采納SSL（SecuritySocketLayer）全稱是加密套接字協(xié)議層，它位于）全稱是加密套接字協(xié)議層，它位于HTTP協(xié)議層和協(xié)議層和TCP協(xié)議層之間，用于建立用戶與服務(wù)器之間的加密通信，協(xié)議層之間，用于建立用戶與服務(wù)器之間的加密通信，確保所傳遞信息的安全性，同時確保所傳遞信息的安全性，同時SSL安全機(jī)制是依靠數(shù)字證書來實現(xiàn)的。安全機(jī)制是依靠數(shù)字證書來實現(xiàn)的。SSL基于公用密鑰和私人密鑰，用戶使用公用密鑰來加密數(shù)據(jù)，但解基于公用密鑰和私人密鑰，用戶使用公用密鑰來加密數(shù)據(jù)，但解密數(shù)據(jù)必須使用相應(yīng)的私人密鑰。使用密數(shù)據(jù)必須使用

6、相應(yīng)的私人密鑰。使用SSL安全機(jī)制的通信過程如下：用安全機(jī)制的通信過程如下：用戶與戶與IIS服務(wù)器建立連接后，服務(wù)器會把數(shù)字證書與公用密鑰發(fā)送給用戶，服務(wù)器建立連接后，服務(wù)器會把數(shù)字證書與公用密鑰發(fā)送給用戶，用戶端生成會話密鑰，并用公共密鑰對會話密鑰進(jìn)行加密，然后傳遞給服用戶端生成會話密鑰，并用公共密鑰對會話密鑰進(jìn)行加密，然后傳遞給服務(wù)器，服務(wù)器端用私人密鑰進(jìn)行解密，這樣，用戶端和服務(wù)器端就建立了務(wù)器，服務(wù)器端用私人密鑰進(jìn)行解密，這樣，用戶端和服務(wù)器端就建立了一條安全通道，只有一條安全通道，只有SSL允許的用戶才能與允許的用戶才能與IIS服務(wù)器進(jìn)行通信。服務(wù)器進(jìn)行通信。SSL網(wǎng)站不同于一般的網(wǎng)

7、站不同于一般的Web站點，它使用的是站點，它使用的是“HTTPS”協(xié)議，而不是協(xié)議，而不是普通的普通的“HTTP”協(xié)議。因此它的協(xié)議。因此它的URL（統(tǒng)一資源定位器）格式為（統(tǒng)一資源定位器）格式為“https:/網(wǎng)站域名網(wǎng)站域名”。SSL原理原理SSL原理原理利用利用SSL實現(xiàn)安全的實現(xiàn)安全的WEB傳輸服務(wù)傳輸服務(wù)1)安裝證書服務(wù)器安裝證書服務(wù)器2)申請證書申請證書(準(zhǔn)備請求信息準(zhǔn)備請求信息提交申請?zhí)峤簧暾?3)審查頒發(fā)證書審查頒發(fā)證書4)下載頒發(fā)的證書下載頒發(fā)的證書5)在在IIS-WEB服務(wù)器上安裝證書服務(wù)器上安裝證書,使該站點變?yōu)槭乖撜军c變?yōu)镾SL站點站點6)用用https協(xié)議實現(xiàn)協(xié)議實現(xiàn)

8、web數(shù)據(jù)的安全瀏覽數(shù)據(jù)的安全瀏覽安裝證書管理軟件和服務(wù)（安裝證書管理軟件和服務(wù)（1）windows2000公鑰基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施PKI和認(rèn)證機(jī)構(gòu)和認(rèn)證機(jī)構(gòu)CA 圖中給出了組成圖中給出了組成Windows2000PKI的基本邏輯組件，其中最的基本邏輯組件，其中最核心的為微軟證書服務(wù)系統(tǒng)（核心的為微軟證書服務(wù)系統(tǒng)（MicrosoftCertificateServices），），它允許用戶配置一個或多個企業(yè)它允許用戶配置一個或多個企業(yè)CA，這些，這些CA支持證書的發(fā)放和廢支持證書的發(fā)放和廢除，并與活動目錄和策略配合，共同完成證書和廢除信息的發(fā)布。除，并與活動目錄和策略配合，共同完成證書和廢除信息

9、的發(fā)布。windows2000公鑰基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施PKI和認(rèn)證機(jī)構(gòu)和認(rèn)證機(jī)構(gòu)CAWindows2000PKI其基本組件包括如下幾種：其基本組件包括如下幾種：1)證書服務(wù)證書服務(wù)(CertificateServices）:證書服務(wù)作為一項核心的操作系統(tǒng)級服務(wù)，允證書服務(wù)作為一項核心的操作系統(tǒng)級服務(wù)，允許組織和企業(yè)建立自己的許組織和企業(yè)建立自己的CA系統(tǒng)，并發(fā)布和管理數(shù)字證書。系統(tǒng)，并發(fā)布和管理數(shù)字證書。2)活動目錄活動目錄:活動目錄服務(wù)作為一項核心的操作系統(tǒng)級服務(wù)，提供了查找網(wǎng)絡(luò)資源活動目錄服務(wù)作為一項核心的操作系統(tǒng)級服務(wù)，提供了查找網(wǎng)絡(luò)資源的唯一位置，在的唯一位置，在PKI中為證書和中為證

10、書和CRL等信息提供發(fā)布服務(wù)。等信息提供發(fā)布服務(wù)。3)基于基于PKI的應(yīng)用的應(yīng)用:Windows本身提供了許多基于本身提供了許多基于PKI的應(yīng)用，如的應(yīng)用，如InternetExplorer、MicrosoftMoney、InternetInformationServer、Outlook和和OutlookExpress等。另外，一些其它第三方等。另外，一些其它第三方PKI應(yīng)用也同樣可以建立在應(yīng)用也同樣可以建立在Windows2000PKI基礎(chǔ)之上?；A(chǔ)之上。4)Exchange密鑰管理服務(wù)密鑰管理服務(wù)KMS（ExchangeKeyManagementService）KMS是是Microsoft

11、Exchange提供的一項服務(wù)，允許應(yīng)用存儲和獲取用于加密提供的一項服務(wù)，允許應(yīng)用存儲和獲取用于加密e-mail的的密鑰。在將來版本的密鑰。在將來版本的Windows系統(tǒng)中，系統(tǒng)中，KMS將作為將作為Windows操作系統(tǒng)的一部分來操作系統(tǒng)的一部分來提供企業(yè)級的提供企業(yè)級的KMS服務(wù)。服務(wù)。Windows2000中的集成中的集成PKI系統(tǒng)提供了證書服務(wù)功能，可以讓用戶通過系統(tǒng)提供了證書服務(wù)功能，可以讓用戶通過Internet/extranets/intranets安全地交互敏感信息。證書服務(wù)驗證一個電子商務(wù)安全地交互敏感信息。證書服務(wù)驗證一個電子商務(wù)交易中參與各方的有效性和真實性，并使用智能卡

12、等提供的額外安全措施來使域用交易中參與各方的有效性和真實性，并使用智能卡等提供的額外安全措施來使域用戶登錄到某個域。戶登錄到某個域。Windows2000通過創(chuàng)建一個證書機(jī)構(gòu)通過創(chuàng)建一個證書機(jī)構(gòu)CA來管理其公鑰基礎(chǔ)設(shè)施來管理其公鑰基礎(chǔ)設(shè)施PKI，以提，以提供證書服務(wù)。一個供證書服務(wù)。一個CA通過發(fā)布證書來確認(rèn)用戶公鑰和其他屬性的綁定關(guān)系，以提通過發(fā)布證書來確認(rèn)用戶公鑰和其他屬性的綁定關(guān)系，以提供對用戶身份的證明。供對用戶身份的證明。Windows2000證書服務(wù)創(chuàng)建的證書服務(wù)創(chuàng)建的CA可以接收證書請求、驗可以接收證書請求、驗證請求信息和請求者身份、發(fā)行和撤銷證書，以及發(fā)布證書廢除列表證請求信息

13、和請求者身份、發(fā)行和撤銷證書，以及發(fā)布證書廢除列表CRL（CertificateRevocationList）。證書服務(wù)是通過內(nèi)置的證書管理單元來實）。證書服務(wù)是通過內(nèi)置的證書管理單元來實現(xiàn)的?，F(xiàn)的。安裝證書管理軟件和服務(wù)（安裝證書管理軟件和服務(wù)（2）安裝證書管理軟件和服務(wù)（安裝證書管理軟件和服務(wù)（3）安裝證書管理軟件和服務(wù)（安裝證書管理軟件和服務(wù)（4）安裝證書管理軟件和服務(wù)（安裝證書管理軟件和服務(wù)（5）準(zhǔn)備一個證書請求信息（準(zhǔn)備一個證書請求信息（1）準(zhǔn)備一個證書請求信息（準(zhǔn)備一個證書請求信息（2）準(zhǔn)備一個證書請求信息（準(zhǔn)備一個證書請求信息（3）準(zhǔn)備一個證書請求信息（準(zhǔn)備一個證書請求信息（4）

14、準(zhǔn)備一個證書請求信息（準(zhǔn)備一個證書請求信息（5）準(zhǔn)備一個證書請求信息（準(zhǔn)備一個證書請求信息（6）準(zhǔn)備一個證書請求信息（準(zhǔn)備一個證書請求信息（7）提交證書申請（提交證書申請（1）提交證書申請（提交證書申請（2）提交證書申請（提交證書申請（3）提交證書申請（提交證書申請（4）提交證書申請（提交證書申請（5）為證書申請者頒布證書（為證書申請者頒布證書（1）為證書申請者頒布證書（為證書申請者頒布證書（2）為證書申請者頒布證書（為證書申請者頒布證書（3）為證書申請者頒布證書（為證書申請者頒布證書（4）下載證書（下載證書（1）下載證書（下載證書（2）下載證書（下載證書（3）下載證書（下載證書（4）驗證并訪問安全的驗證并訪問安全的Web站點（站點（1）驗證并訪問安全的驗證并訪問安全的Web站點（站點（2）驗證并訪問安全的驗證并訪問安全的Web站點（站點（2）