構(gòu)建安全的 ASP.NET 應(yīng)用程序身份驗(yàn)證、授權(quán)和安全通信有關(guān)構(gòu)建安全的 ASP.NET 應(yīng)用程序 的起點(diǎn)和完整概述，請參見登陸頁面。 總結(jié)Web 服務(wù)器必須配置為使用 SSL ，以便支持來自客戶端

構(gòu)建安全的 ASP.NET 應(yīng)用程序

身份驗(yàn)證、授權(quán)和安全通信

有關(guān)構(gòu)建安全的 ASP.NET 應(yīng)用程序 的起點(diǎn)和完整概述，請參見登陸頁面。 總結(jié)

Web 服務(wù)器必須配置為使用 SSL ，以便支持來自客戶端應(yīng)用程序的 https 連接。本“如何做”說明如何在 Web 服務(wù)器上配置 SSL 。

如何做：在 Web 服務(wù)器上設(shè)置 SSL

安全套接字層 (SSL) 是一套提供身份驗(yàn)證、保密性和數(shù)據(jù)完整性的加密技術(shù)。SSL 最常用來在 Web 瀏覽器和 Web 服務(wù)器之間建立安全通信通道。它也可以在客戶端應(yīng)用程序和 Web 服務(wù)之間使用。

要求

以下各項(xiàng)介紹了推薦的硬件、軟件、網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)、技巧和知識(shí)以及您需要的服務(wù)包。 ● Microsoft? Windows? 2000 Server操作系統(tǒng) (Service Pack 2) ● Microsoft 證書服務(wù)（如果您需要生成自己的證書，這是必需的）。 本“如何做”中的過程也要求您具有一些 IIS 配置知識(shí)。

總結(jié)

“如何做”包括如下過程：

1. 生成證書申請

2. 提交證書申請

3. 頒發(fā)證書

4. 在 Web 服務(wù)器上安裝證書

5. 將資源配置為要求 SSL 訪問

1. 生成證書申請

此過程創(chuàng)建一個(gè)新的證書申請，此申請可發(fā)送到證書頒發(fā)機(jī)構(gòu) (CA) 進(jìn)行處理。如果成功，CA 將給您發(fā)回一個(gè)包含生效證書的文件。

u 生成證書申請

1. 啟動(dòng) IIS Microsoft 管理控制臺(tái) (MMC) 管理單元。

2. 展開 Web 服務(wù)器名，選擇要安裝證書的 Web 站點(diǎn)。

1

3. 右擊該 Web 站點(diǎn)，然后單擊“屬性”。

4. 單擊“目錄安全性”選項(xiàng)卡。

5. 單擊“安全通信”中的“服務(wù)器證書”按鈕，啟動(dòng) Web 服務(wù)器證書向?qū)А?/p>

注意：如果“服務(wù)器證書”不可用，可能是因?yàn)槟x擇了虛擬目錄、目錄或文件。返回第 2 步，選擇 Web 站點(diǎn)。 5. 單擊“下一步”跳過歡迎對話框。

6. 單擊“創(chuàng)建一個(gè)新證書”，然后單擊“下一步”。

7. 該對話框有以下兩個(gè)選項(xiàng)：

● “現(xiàn)在準(zhǔn)備申請，但稍后發(fā)送”

該選項(xiàng)總是可用的。

● “立即將申請發(fā)送到在線證書頒發(fā)機(jī)構(gòu)”

僅當(dāng) Web 服務(wù)器可以在配置為頒發(fā) Web 服務(wù)器證書的 Windows 2000 域中訪問一個(gè)或多個(gè) Microsoft 證書服務(wù)器時(shí)，該選項(xiàng)才可用。在后面的申請過程中，您有機(jī)會(huì)從列表中選擇將申請發(fā)送到的頒發(fā)機(jī)構(gòu)。

單擊“現(xiàn)在準(zhǔn)備申請，但稍后發(fā)送”，然后單擊“下一步”。

8. 在“名稱”字段中鍵入證書的描述性名稱，在“位長”字段中鍵入密鑰的位長，然后

單擊“下一步”。

向?qū)褂卯?dāng)前 Web 站點(diǎn)名稱作為默認(rèn)名稱。它不在證書中使用，但作為友好名稱以幫助管理員。

9. 在“組織”字段中鍵入組織名稱（例如 Contoso ），在“組織單位”字段中鍵入組織

單位（例如“銷售部”），然后單擊“下一步”。

注意：這些信息將放在證書申請中，因此應(yīng)確保它的正確性。CA 將驗(yàn)證這些信息并將其放在證書中。瀏覽您的 Web 站點(diǎn)的用戶需要查看這些信息，以便決定他們是否接受證書。 10. 在“公用名”字段中，鍵入您的站點(diǎn)的公用名，然后單擊“下一步”。

重要說明：公用名是證書最后的最重要信息之一。它是 Web 站點(diǎn)的 DNS 名稱（即用戶在瀏覽您的站點(diǎn)時(shí)鍵入的名稱）。如果證書名稱與站點(diǎn)名稱不匹配，當(dāng)用戶瀏覽到您的站點(diǎn)時(shí)，將報(bào)告證書問題。

如果您的站點(diǎn)在 Web 上并且被命名為 www.contoso.com ，這就是您應(yīng)當(dāng)指定的公用名。

如果您的站點(diǎn)是內(nèi)部站點(diǎn)，并且用戶是通過計(jì)算機(jī)名稱瀏覽的，請輸入計(jì)算機(jī)的 NetBIOS 或 DNS 名稱。 11. 在“國家/地區(qū)、州/省和城市/縣市”字段中輸入適當(dāng)?shù)男畔?，然后單擊“下一步”?/p>

12. 輸入證書申請的文件名。

該文件包含類似下面這樣的信息。

-----開始新的證書申請-----

MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy…

2

-----結(jié)束新的證書申請-----

這是您的證書申請的 Base 64 編碼表示形式。申請中包含輸入到向?qū)е械男畔?，還包括您的公鑰和用您的私鑰簽名的信息。

將此申請文件發(fā)送到 CA 。然后 CA 會(huì)使用證書申請中的公鑰信息驗(yàn)證用您的私鑰簽名的信息。CA 也驗(yàn)證申請中提供的信息。

當(dāng)您將申請?zhí)峤坏?CA 后，CA 將在一個(gè)文件中發(fā)回證書。然后您應(yīng)當(dāng)重新啟動(dòng) Web 服務(wù)器證書向?qū)А?/p>

13. 單擊“下一步”。該向?qū)э@示證書申請中包含的信息概要。

14. 單擊“下一步”，然后單擊“完成”完成申請過程。

證書申請現(xiàn)在可以發(fā)送到 CA 進(jìn)行驗(yàn)證和處理。當(dāng)您從 CA 收到證書響應(yīng)以后，可以再次使用 IIS 證書向?qū)?，?Web 服務(wù)器上繼續(xù)安裝證書。

2. 提交證書申請

此過程使用 Microsoft 證書服務(wù)提交在前面的過程中生成的證書申請。

u 提交證書申請

1. 使用“記事本”打開在前面的過程中生成的證書文件，將它的整個(gè)內(nèi)容復(fù)制到剪貼板。

2. 啟動(dòng) Internet Explorer，導(dǎo)航到 http://hostname /CertSrv，其中 hostname 是運(yùn)行

Microsoft 證書服務(wù)的計(jì)算機(jī)的名稱。

3. 單擊“申請證書”，然后單擊“下一步”。

4. 在“選擇申請類型”頁中，單擊“高級申請”，然后單擊“下一步”。

5. 在“高級證書申請”頁中，單擊“使用 base64 編碼的 PKCS#10 文件提交證書申

請”，然后單擊“下一步”。

6. 在“提交一個(gè)保存的申請”頁中，單擊“Base64 編碼的證書申請（PKCS #10 或 #7）”

文本框，按住 CTRL V，粘貼先前復(fù)制到剪貼板上的證書申請。

7. 在“證書模板”組合框中，單擊“Web 服務(wù)器”。

8. 單擊“提交”。

9. 關(guān)閉 Internet Explorer。

3. 頒發(fā)證書

u 頒發(fā)證書

1. 從“管理工具”程序組中啟動(dòng)“證書頒發(fā)機(jī)構(gòu)”工具。

2. 展開您的證書頒發(fā)機(jī)構(gòu)，然后選擇“待定申請”文件夾。

3. 選擇剛才提交的證書申請。

4. 在“操作”菜單中，指向“所有任務(wù)”，然后單擊“頒發(fā)”。

5. 確認(rèn)證書顯示在“頒發(fā)的證書”文件夾中，然后雙擊查看它。

6. 在“詳細(xì)信息”選項(xiàng)卡中，單擊“復(fù)制到文件”，將證書保存為 Base-64 編碼的 X.509

證書。

7. 關(guān)閉證書的屬性窗口。

8. 關(guān)閉“證書頒發(fā)機(jī)構(gòu)”工具。 3

4. 在 Web 服務(wù)器上安裝證書

此過程在 Web 服務(wù)器上安裝在前面的過程中頒發(fā)的證書。

u 在 Web 服務(wù)器上安裝證書

1. 如果 Internet 信息服務(wù)尚未運(yùn)行，則啟動(dòng)它。

2. 展開您的服務(wù)器名稱，選擇要安裝證書的 Web 站點(diǎn)。

3. 右擊該 Web 站點(diǎn)，然后單擊“屬性”。

4. 單擊“目錄安全性”選項(xiàng)卡。

5. 單擊“服務(wù)器證書”啟動(dòng) Web 服務(wù)器證書向?qū)А?/p>

6. 單擊“處理待定申請和安裝證書”，然后單擊“下一步”。

7. 輸入包含 CA 響應(yīng)的文件的路徑和文件名，然后單擊“下一步”。

8. 檢查證書概述，單擊“下一步”，然后單擊“完成”。

證書現(xiàn)在安裝在 Web 服務(wù)器上。

5. 將資源配置為要求 SSL 訪問

此過程使用 Internet 服務(wù)管理器，將虛擬目錄配置為要求 SSL 訪問。您可以為特定的文件、目錄或虛擬目錄要求使用 SSL ?？蛻舳吮仨毷褂?HTTPS 協(xié)議訪問所有這類資源。 u 將資源配置為要求 SSL 訪問

1. 如果 Internet 信息服務(wù)尚未運(yùn)行，則啟動(dòng)它。

2. 展開您的服務(wù)器名稱和 Web 站點(diǎn)。（這必須是具有已安裝證書的 Web 站點(diǎn)）。

3. 右擊某個(gè)虛擬目錄，然后單擊“屬性”。

4. 單擊“目錄安全性”選項(xiàng)卡。

5. 單擊“安全通信”下的“編輯”。

6. 單擊“需要安全通道 (SSL)”。

現(xiàn)在客戶端必須使用 HTTPS 瀏覽到此虛擬目錄。

7. 單擊“確定”，然后再次單擊“確定”關(guān)閉“屬性”對話框。

8. 關(guān)閉 Internet 信息服務(wù)。

4