《WEB服務(wù)安全配置與SSL協(xié)議》由會員分享，可在線閱讀，更多相關(guān)《WEB服務(wù)安全配置與SSL協(xié)議（51頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、,,,單擊此處編輯母版標(biāo)題,,,,,,,,單擊此處編輯母版標(biāo)題,,,,,*,WEB,服務(wù)安全配置與,SSL,協(xié)議,1),IIS,的安全配置,,2),利用,SSL,實(shí)現(xiàn)安全的,WEB,傳輸服務(wù),實(shí)驗?zāi)康?1,、掌握,IIS,的安全配置,,2,、了解,windows CA,證書服務(wù)器的配置與功能,,3,、掌握,SSL,的原理和安裝配置,SSL,站點(diǎn)的操作,實(shí)驗內(nèi)容,一、,IIS-web,服務(wù)的安全配置,:,1),安裝,IIS,，默認(rèn)目錄改為,e:/myweb,，并創(chuàng)建主頁文檔,index.htm;2),設(shè)置本,web,站點(diǎn)只能由的主機(jī)訪問,;3),設(shè)置本,web,站點(diǎn)或站點(diǎn)子目錄只能由用戶,

2、student,訪問,;4),設(shè)置,web,日志為,w3c,格式，擴(kuò)充屬性增加主機(jī)、發(fā)送和接收字節(jié)等； 另設(shè)置,web,日志為,ncsa,格式，比較與,w3c,格式有何不同。,,二、配置,ssl,站點(diǎn),,,實(shí)現(xiàn)安全的,web,傳輸,:,1),安裝配置好,Windows2000,證書服務(wù),A (ip,地址,: ipa);2),在,IIS-web,服務(wù)器,B,上,(ip,為,ipb),,準(zhǔn)備一個證書請求信息,(certreq.txt):,Internet,服務(wù)管理器→,web,站點(diǎn)屬性→目錄安全性→ 服務(wù)器證書,…,3),訪問,http://ipa/certsrv/,， 提交證書申請,

3、(,申請證書,→,高級申請,…);4),由證書服務(wù)器,A,審查證書申請和頒發(fā)證書；,5),訪問,http://ipa/certsrv/,，下載已頒發(fā)的證書,(certnew.cer) 6),在,IIS-web,服務(wù)器,B,上安裝證書,,,使該站點(diǎn)變?yōu)?SSL,站點(diǎn),7),用,https,協(xié)議實(shí)現(xiàn),web,數(shù)據(jù)的安全瀏覽,(,https://ipb)8),嘗試使用網(wǎng)絡(luò)監(jiān)視器、,sniffer,等抓包工具捕獲,www,通訊的數(shù)據(jù)包，注意觀察,ssl web,站點(diǎn)與普通,web,站點(diǎn)的不同,思考問題,1)IIS,的日志文件一般存在什么地方，有什么作用？,,2),簡述,ssl,的原理，,ssl,

4、的端口號一般為多少？,,3),比較,ssl,的,web,站點(diǎn)與普通,web,站點(diǎn)的區(qū)別，可從服務(wù)器設(shè)置、客戶端訪問、數(shù)據(jù)傳輸安全等方面敘述。,,4),想一想,windows 2000,證書服務(wù)器的主要功能。,,5)IIS6.0,與,IIS5.0,比較在安全方面有那些增強(qiáng),?,參考資料,用,SSL,加密增強(qiáng),FTP,服務(wù)器的安全性,,在,IIS,上面布置,SSL,實(shí)現(xiàn),web,安全,通信,,用,SSL,增強(qiáng),IIS,安全性的原理和實(shí)現(xiàn)過程,,資料在網(wǎng)上查找,用,IIS,建立高安全性,Web,服務(wù)器,,應(yīng)用,NTFS,文件系統(tǒng),,,合理配置權(quán)限,,修改默認(rèn)目錄,C:/Inetpub,,共享權(quán)限的修

5、改,,為系統(tǒng)管理員賬號更名,,廢止,TCP/IP,上的,NetBIOS,,善用安全策略和,web,日志審計,,定期打補(bǔ)丁升級,,,設(shè)置,IIS,的安全機(jī)制,設(shè)置,IIS,的安全機(jī)制：,,安裝時應(yīng)注意的安全問題,,避免安裝在主域控制器上,,避免安裝在系統(tǒng)分區(qū)上,,用戶控制的安全性,,匿名用戶,,一般用戶,,登錄認(rèn)證的安全性,,匿名訪問,,基本驗證,,Windows,集成驗證,設(shè)置,IIS,的安全機(jī)制,設(shè)置,IIS,的安全機(jī)制：,,訪問權(quán)限控制,,文件夾和文件的訪問權(quán)限,,WWW,目錄的訪問權(quán)限,,IP,地址的控制,,端口安全性的實(shí)現(xiàn),,IP,轉(zhuǎn)發(fā)的安全性,,SSL,安全機(jī)制,,設(shè)置,IIS,的安

6、全機(jī)制,IIS-Web,服務(wù)器的日志,Web,服務(wù)器的通用日志格式,(CommonLogFormat),日志所在目錄：,,,C:\WINNT\system32\LogFiles\W3SVC1,,,,通用日志格式針對每一個,Web,請求生成一行紀(jì)錄，記錄以空格作為分隔，包括如下內(nèi)容：,remotehos,rfc931,authuser,,[date],,"request",,status,,bytes,,SSL,作為,Web,安全性解決方案,1995,年由,Netscape,公司提出,,SSL,已經(jīng)作為事實(shí)上的標(biāo)準(zhǔn)被眾多網(wǎng)絡(luò)產(chǎn)品提供商采納,,,SSL,（,Security Socket Laye

7、r,）全稱是加密套接字協(xié)議層，它位于,HTTP,協(xié)議層和,TCP,協(xié)議層之間，用于建立用戶與服務(wù)器之間的加密通信，確保所傳遞信息的安全性，同時,SSL,安全機(jī)制是依靠數(shù)字證書來實(shí)現(xiàn)的。,SSL,基于公用密鑰和私人密鑰，用戶使用公用密鑰來加密數(shù)據(jù)，但解密數(shù)據(jù)必須使用相應(yīng)的私人密鑰。使用,SSL,安全機(jī)制的通信過程如下：用戶與,IIS,服務(wù)器建立連接后，服務(wù)器會把數(shù)字證書與公用密鑰發(fā)送給用戶，用戶端生成會話密鑰，并用公共密鑰對會話密鑰進(jìn)行加密，然后傳遞給服務(wù)器，服務(wù)器端用私人密鑰進(jìn)行解密，這樣，用戶端和服務(wù)器端就建立了一條安全通道，只有,SSL,允許的用戶才能與,IIS,服務(wù)器進(jìn)行通信。,SSL,

8、網(wǎng)站不同于一般的,Web,站點(diǎn)，它使用的是“,HTTPS”,協(xié)議，而不是普通的“,HTTP”,協(xié)議。因此它的,URL,（統(tǒng)一資源定位器）格式為“,https://,網(wǎng)站域名”。,SSL,原理,SSL,原理,①,瀏覽器請求與,WWW,服務(wù)器建立安全會話,,②,WWW,服務(wù)器將自己的公鑰發(fā)給瀏覽器,,③,WWW,服務(wù)器與瀏覽器協(xié)商密鑰位數(shù)（,40,位或,128,位）,,④瀏覽器產(chǎn)生會話使用的秘密密鑰，并用,WWW,服務(wù)器的公鑰加密傳給,WWW,服務(wù)器,,⑤,WWW,服務(wù)器用自己的私鑰解密,,⑥,WWW,服務(wù)器和瀏覽器用會話密鑰加密和解密，實(shí)現(xiàn)加密傳輸,利用,SSL,實(shí)現(xiàn)安全的,WEB,傳輸服務(wù),1

9、),安裝證書服務(wù)器,2),申請證書,(,準(zhǔn)備請求信息→提交申請,)3),審查頒發(fā)證書,4),下載頒發(fā)的證書,5),在,IIS-WEB,服務(wù)器上安裝證書,,,使該站點(diǎn)變?yōu)?SSL,站點(diǎn),6),用,https,協(xié)議實(shí)現(xiàn),web,數(shù)據(jù)的安全瀏覽,安裝證書管理軟件和服務(wù)（,1,）,,windows2000,公鑰基礎(chǔ)設(shè)施,PKI,和認(rèn)證機(jī)構(gòu),CA,,,圖中給出了組成,Windows 2000 PKI,的基本邏輯組件，其中最核心的為微軟證書服務(wù)系統(tǒng)（,Microsoft Certificate Services,），它允許用戶配置一個或多個企業(yè),CA,，這些,CA,支持證書的發(fā)放和廢除，并與活動目錄和策

10、略配合，共同完成證書和廢除信息的發(fā)布。,windows2000,公鑰基礎(chǔ)設(shè)施,PKI,和認(rèn)證機(jī)構(gòu),CA,Windows 2000 PKI,其基本組件包括如下幾種：,,,1),證書服務(wù),(Certificate Services,）,:,證書服務(wù)作為一項核心的操作系統(tǒng)級服務(wù)，允許組織和企業(yè)建立自己的,CA,系統(tǒng)，并發(fā)布和管理數(shù)字證書。,,2),活動目錄,:,活動目錄服務(wù)作為一項核心的操作系統(tǒng)級服務(wù)，提供了查找網(wǎng)絡(luò)資源的唯一位置，在,PKI,中為證書和,CRL,等信息提供發(fā)布服務(wù)。,,3),基于,PKI,的應(yīng)用,:,Windows,本身提供了許多基于,PKI,的應(yīng)用，如,Internet Expl

11、orer,、,Microsoft Money,、,Internet Information Server,、,Outlook,和,Outlook Express,等。另外，一些其它第三方,PKI,應(yīng)用也同樣可以建立在,Windows 2000 PKI,基礎(chǔ)之上。,4) Exchange,密鑰管理服務(wù),KMS,（,Exchange Key Management Service,）,KMS,是,Microsoft Exchange,提供的一項服務(wù)，允許應(yīng)用存儲和獲取用于加密,e-mail,的密鑰。在將來版本的,Windows,系統(tǒng)中，,KMS,將作為,Windows,操作系統(tǒng)的一部分來提供企業(yè)級的

12、,KMS,服務(wù)。,Windows 2000,中的集成,PKI,系統(tǒng)提供了證書服務(wù)功能，可以讓用戶通過,Internet/ extranets/ intranets,安全地交互敏感信息。證書服務(wù)驗證一個電子商務(wù)交易中參與各方的有效性和真實(shí)性，并使用智能卡等提供的額外安全措施來使域用戶登錄到某個域。,Windows 2000,通過創(chuàng)建一個證書機(jī)構(gòu),CA,來管理其公鑰基礎(chǔ)設(shè)施,PKI,，以提供證書服務(wù)。一個,CA,通過發(fā)布證書來確認(rèn)用戶公鑰和其他屬性的綁定關(guān)系，以提供對用戶身份的證明。,Windows 2000,證書服務(wù)創(chuàng)建的,CA,可以接收證書請求、驗證請求信息和請求者身份、發(fā)行和撤銷證書，以及發(fā)

13、布證書廢除列表,CRL,（,Certificate Revocation List,）。證書服務(wù)是通過內(nèi)置的證書管理單元來實(shí)現(xiàn)的。,安裝證書管理軟件和服務(wù)（,2,）,安裝證書管理軟件和服務(wù)（,3,）,安裝證書管理軟件和服務(wù)（,4,）,安裝證書管理軟件和服務(wù)（,5,）,準(zhǔn)備一個證書請求信息（,1,）,,準(zhǔn)備一個證書請求信息（,2,）,準(zhǔn)備一個證書請求信息（,3,）,準(zhǔn)備一個證書請求信息（,4,）,準(zhǔn)備一個證書請求信息（,5,）,準(zhǔn)備一個證書請求信息（,6,）,準(zhǔn)備一個證書請求信息（,7,）,提交證書申請（,1,）,,,,提交證書申請（,2,）,,,,提交證書申請（,3,）,提交證書申請（,4,）

14、,提交證書申請（,5,）,為證書申請者頒布證書（,1,）,,為證書申請者頒布證書（,2,）,為證書申請者頒布證書（,3,）,為證書申請者頒布證書（,4,）,下載證書（,1,）,,,,下載證書（,2,）,,,,下載證書（,3,）,下載證書（,4,）,安裝證書并配置,WWW,服務(wù)器（,1,）,,安裝證書并配置,WWW,服務(wù)器（,2,）,安裝證書并配置,WWW,服務(wù)器（,3,）,安裝證書并配置,WWW,服務(wù)器（,4,）,安裝證書并配置,WWW,服務(wù)器（,5,）,安裝證書并配置,WWW,服務(wù)器（,6,）,安裝證書并配置,WWW,服務(wù)器（,7,）,驗證并訪問安全的,Web,站點(diǎn)（,1,）,,,,驗證并訪問安全的,Web,站點(diǎn)（,2,）,驗證并訪問安全的,Web,站點(diǎn)（,2,）,