信息安全技術(shù)實(shí)驗(yàn)指導(dǎo)：實(shí)驗(yàn)5 IIS安全和SSL實(shí)驗(yàn)5 IIS安全和SSL【實(shí)驗(yàn)?zāi)康摹?. 熟悉IIS 的搭建；2. 熟練處理IIS 和NTFS 的權(quán)限問題；3. 掌握CA 服務(wù)器的搭建；4. 掌握

信息安全技術(shù)實(shí)驗(yàn)指導(dǎo)：實(shí)驗(yàn)5 IIS安全和SSL

實(shí)驗(yàn)5 IIS安全和SSL

【實(shí)驗(yàn)?zāi)康摹?/p>

1. 熟悉IIS 的搭建；

2. 熟練處理IIS 和NTFS 的權(quán)限問題；

3. 掌握CA 服務(wù)器的搭建；

4. 掌握在IIS 上啟用SSL 的方法；

5. 了解SSL 的構(gòu)架；

6. 了解SSL 的簡(jiǎn)單策略和交互策略的區(qū)別；

【實(shí)驗(yàn)環(huán)境】

Client （宿主機(jī)）：windows XP、VWare7.0、網(wǎng)絡(luò)連接VMnet1（Host-only ）

CAserver ：Windows Server2003、IIS6.0、CA 服務(wù)、網(wǎng)絡(luò)連接VMnet1（Host-only ） WEBserver ：Windows Server2003、IIS6.0、網(wǎng)絡(luò)連接VMnet1（Host-only ）

【網(wǎng)絡(luò)示意圖】

圖5-1

【實(shí)驗(yàn)內(nèi)容】

步驟一：創(chuàng)建實(shí)驗(yàn)環(huán)境。

1. 在實(shí)驗(yàn)二提及的個(gè)人文件夾下創(chuàng)建實(shí)驗(yàn)?zāi)夸洠麨椤簩?shí)驗(yàn)五』；

2. 將學(xué)生機(jī)上已有的Windows Server2003鏡像拷貝到『實(shí)驗(yàn)五』（如本機(jī)無Windows Server

2003鏡像，則創(chuàng)建和安裝一臺(tái)操作系統(tǒng)為Windows Server 2003的虛擬機(jī)）；

3. 本實(shí)驗(yàn)需要兩臺(tái)windows server2003虛擬機(jī)，克隆該鏡像，克隆文件也存放在『實(shí)驗(yàn)五』； y e t i w /t w t p :/t h c . o i b n /m o y h p m y

- 1 -

信息安全技術(shù)實(shí)驗(yàn)指導(dǎo)：實(shí)驗(yàn)5 IIS安全和SSL

步驟二：構(gòu)造有一臺(tái)工作站和兩臺(tái)服務(wù)器的虛擬子網(wǎng)，如圖5-1所示網(wǎng)絡(luò)環(huán)境。

4. 打開兩臺(tái)虛擬機(jī)的鏡像文件，在啟動(dòng)前確保網(wǎng)卡設(shè)置的網(wǎng)絡(luò)連接為VMnet1（host-only ）；

5. 打開Virtual Network Editor，停止VMnet1的DHCP ；

6. 啟動(dòng)兩臺(tái)虛擬機(jī)，由于一臺(tái)為另外一臺(tái)的克隆機(jī)，計(jì)算機(jī)名和IP 地址會(huì)產(chǎn)生沖突，請(qǐng)

修改兩臺(tái)虛擬機(jī)的計(jì)算機(jī)名分別為：CAserver 和WEBserver ，并修改IP 地址為：192.168.X.2和192.168.X.3，如上圖，VMnet1的網(wǎng)段是192.168.64.0，則相應(yīng)IP 地址為192.168.64.2和192.168.64.3；

7. 將宿主機(jī)的VMnet1虛擬網(wǎng)卡對(duì)應(yīng)的IP 地址設(shè)為192.168.X.1，注意：不要改動(dòng)物理網(wǎng)

卡的IP 地址，改動(dòng)物理網(wǎng)卡地址將影響本機(jī)連接到機(jī)房?jī)?nèi)網(wǎng)。例如，VMnet1的網(wǎng)段是192.168.64.0，則把宿主機(jī)相應(yīng)虛擬網(wǎng)卡的IP 地址設(shè)置為192.168.64.1；

8. 測(cè)試網(wǎng)絡(luò)的連通性；

步驟三：在承擔(dān)CA 服務(wù)的CAserver 上構(gòu)建CA 機(jī)構(gòu)服務(wù)。

9. 在CAserver 上安裝IIS ：控制面板——添加或刪除程序——添加/刪除windows 組件，在

彈出的“windows 組件向?qū)А睂?duì)話框，選擇“應(yīng)用程序服務(wù)器”，展開“詳細(xì)信息”，對(duì)需要的組件進(jìn)行選擇，如圖5-2；

y e t i w /t w t p :/t h c . o i b 圖5-2 n /m o y h p m y

10. 由于本CA 服務(wù)器提供的網(wǎng)頁服務(wù)含ASP 網(wǎng)頁，必須確保ASP 組件被選上：在“應(yīng)用

程序服務(wù)器”展開的“詳細(xì)信息”里，選擇“Internet 信息服務(wù)”并展開下一級(jí)的“詳細(xì)信息”，選擇里面的“萬維網(wǎng)服務(wù)”的“詳細(xì)信息”，確保勾選子組件ASP ，如圖5-3；

- 2 -

信息安全技術(shù)實(shí)驗(yàn)指導(dǎo)：實(shí)驗(yàn)5 IIS安全和

SSL

圖5-3

11. 在CAserver 上安裝證書服務(wù)：

（1） 控制面板——添加或刪除程序——添加/刪除windows 組件，在彈出的

“windows 組件向?qū)А睂?duì)話框，選擇“證書服務(wù)”并安裝，如圖5-4。注意，安裝證書服務(wù)后，計(jì)算機(jī)名和域成員身份不能改變；

y e t i w /t w t p :/t h

c . o i b n /m o y h p m y 圖5-4

- 3 -

信息安全技術(shù)實(shí)驗(yàn)指導(dǎo)：實(shí)驗(yàn)5 IIS安全和SSL

（2） 在安裝向?qū)У腃A 類型對(duì)話框中，選中 ◎獨(dú)立根CA （S ），如圖5-5；

圖5-5

（3） 在CA 識(shí)別信息對(duì)話框中，填寫CA 的公用名稱和有效期限，如圖5-6； y e t i w /t w t p :/t h

c . o i b 圖5-6 n /m o y h p m y

- 4 -

信息安全技術(shù)實(shí)驗(yàn)指導(dǎo)：實(shí)驗(yàn)5 IIS安全和SSL

（4） 在證書數(shù)據(jù)庫設(shè)置對(duì)話框，設(shè)置證書數(shù)據(jù)庫、日志和配置信息的存儲(chǔ)位置，

一般使用默認(rèn)值設(shè)置，如圖5-7；

圖5-7

（5） 開始安裝證書服務(wù)。注意，安裝證書服務(wù)前，應(yīng)先暫停IIS 服務(wù)，請(qǐng)按系

統(tǒng)提示操作；

（6） 完成安裝后，確保IIS 服務(wù)和證書服務(wù)正常啟用，IIS 服務(wù)對(duì)應(yīng)“控制面板

——管理工具——Internet 信息服務(wù)管理器”，證書服務(wù)為“證書頒發(fā)機(jī)構(gòu)”，此時(shí)，IIS 下網(wǎng)站內(nèi)容如圖5-8；

y e t i w /t w t p :/t h c . o i b n /m o y h p m y

圖5-8

- 5 -

信息安全技術(shù)實(shí)驗(yàn)指導(dǎo)：實(shí)驗(yàn)5 IIS安全和SSL

步驟四：在承擔(dān)WEB 服務(wù)的WEBserver 上構(gòu)建IIS 服務(wù)。

12. 參考步驟三的第9、10步，在WEBserver 上安裝IIS6.0；

13. 把范例網(wǎng)站復(fù)制到WEBserver 上，在IIS 服務(wù)界面配置網(wǎng)站屬性，如圖5-9；

14. 在目錄安全性選項(xiàng)卡，編輯身份驗(yàn)證和訪問控制，啟用匿名訪問和取消身份驗(yàn)證，如圖

5-10；

15. 配置網(wǎng)站存儲(chǔ)位置相應(yīng)的NTFS 屬性，以使互聯(lián)網(wǎng)上用戶能有相應(yīng)的權(quán)限瀏覽和使用網(wǎng)

站；

16. 在WEBserver 及宿主機(jī)通過IE 訪問WEBserver 上發(fā)布的網(wǎng)站，測(cè)試網(wǎng)站是否能夠通過

【注意】本范例網(wǎng)站為ASP 網(wǎng)頁，大部分網(wǎng)頁只需要讀取權(quán)限，個(gè)別網(wǎng)頁還需要寫入權(quán)限，請(qǐng)根據(jù)頁面內(nèi)容自行設(shè)置。若設(shè)置后瀏覽不正常，請(qǐng)參考本實(shí)驗(yàn)指導(dǎo)末尾的“【注意】本實(shí)驗(yàn)過程容易出現(xiàn)的問題和解決辦法”。

y e t i w /t w t p :/t h

c . o i b 圖5-9n /m o y h p m y

- 6 -

信息安全技術(shù)實(shí)驗(yàn)指導(dǎo)：實(shí)驗(yàn)5 IIS安全和

SSL

圖5-10

y e t i w /t w t p :/t h 步驟五：為WEBserver 申請(qǐng)服務(wù)器證書。 17. 在WEBserver 上生成服務(wù)器證書 （1） 在網(wǎng)站屬性選擇“目錄安全性”選項(xiàng)卡，單擊“安全通信”的“服務(wù)器證書”按鈕，如圖5-11，使用WEB 服務(wù)器證書向?qū)勺C書； （2） 選擇網(wǎng)站分配證書的方法是：新建證書，如圖5-12； （3） 為網(wǎng)站證書輸入一個(gè)便于識(shí)別和記憶的名稱，并指定密鑰長(zhǎng)度，建議用缺省值，如圖5-13； （4） 輸入網(wǎng)站所有單位（維護(hù)單位）的企業(yè)信息，如圖5-14； （5） 輸入網(wǎng)站公用名稱，如圖5-15，注意，如果該WEB 服務(wù)器擁有一個(gè)合法域名，

則公用名稱設(shè)置為該域名，在本實(shí)驗(yàn)，公用名稱設(shè)置為本虛擬機(jī)的NetBIOS 名（主機(jī)名），即缺省值所示，若計(jì)算機(jī)的公用名稱發(fā)生變化，則須重新生成證書；

（6） 填寫網(wǎng)站服務(wù)器的地理信息，如圖5-16；

（7） 如圖5-17，指定生成證書的存放路徑和文件名；

（8） 最后審核填寫的證書信息，完成證書生成。

c . o i b n /m o y h p m y

- 7 -

信息安全技術(shù)實(shí)驗(yàn)指導(dǎo)：實(shí)驗(yàn)5 IIS安全和

SSL

圖5-11

y e t i w /t w t p :/t h c . o i b n /m o y h p m y

圖5-12

- 8 -

信息安全技術(shù)實(shí)驗(yàn)指導(dǎo)：實(shí)驗(yàn)5 IIS安全和

SSL

y e t i w /t w t p :/t h

圖5-13 c . o i b n /m o y h p m y 圖5-14

- 9 -

信息安全技術(shù)實(shí)驗(yàn)指導(dǎo)：實(shí)驗(yàn)5 IIS安全和

SSL

圖5-15

y e t i w /t w t p :/t h c . o i b

圖5-16

- 10 - n /m o y h p m y