https是什麼?
HTTPS(Secure Hypertext Transfer Protocol)安全超文本傳輸協議。
它是由 Netscape開發並內置於其瀏覽器中,用於對數據進行壓縮和解壓操作,並返回網絡上傳送回的結果。HTTPS實際上應用了Netscape的完全套接字層(SSL)作爲HTTP應用層的子層。(HTTPS使用端口443,而不是象HTTP那樣使用端口80來和TCP/IP進行通信。)SSL使用40 位關鍵字作爲RC4流加密算法,這對於商業信息的加密是合適的。HTTPS和SSL支持使用X.509數字認證,如果需要的話用戶可以確認發送者是誰。
https是以安全爲目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,https的安全基礎是SSL,因此加密的詳細內容請看SSL。
它是一個URI scheme(抽象標識符體系),句法類同http:體系。用於安全的HTTP數據傳輸。https:URL表明它使用了HTTP,但HTTPS存在不同於HTTP的默認端口及一個加密/身份驗證層(在HTTP與TCP之間)。這個系統的最初研發由網景公司進行,提供了身份驗證與加密通訊方法,現在它被廣泛用於萬維網上安全敏感的通訊,例如交易支付方面。
限制
它的安全保護依賴瀏覽器的正確實現以及服務器軟件、實際加密算法的支持.
一種常見的誤解是“銀行用戶在線使用https:就能充分徹底保障他們的銀行卡號不被偷竊。”實際上,與服務器的加密連接中能保護銀行卡號的部分,只有用戶到服務器之間的連接及服務器自身。並不能絕對確保服務器自己是安全的,這點甚至已被攻擊者利用,常見例子是模仿銀行域名的釣魚攻擊。少數罕見攻擊在網站傳輸客戶數據時發生,攻擊者嘗試竊聽數據於傳輸中。
商業網站被人們期望迅速儘早引入新的特殊處理程序到金融網關,僅保留傳輸碼(transaction number)。不過他們常常存儲銀行卡號在同一個數據庫裏。那些數據庫和服務器少數情況有可能被未授權用戶攻擊和損害。
TLS 1.1之前
這段僅針對TLS 1.1之前的狀況。因爲SSL位於http的下一層,並不能理解更高層協議,通常SSL服務器僅能頒證給特定的IP/端口組合。這是指它經常不能在虛擬主機(基於域名)上與HTTP正常組合成HTTPS。
這一點已被更新在即將來臨的TLS 1.1中—會完全支持基於域名的虛擬主機。
第一步:在IIS啓動SSL
1. 下載 IIS 6.0 Resource Kit Tools:
http://www.microsoft.com/downloads/details.aspx?FamilyID=56fc92ee-a71a-4c73-b628-ade629c89499&DisplayLang=en
2. 安裝.
3. “All Programs->IIS Resources->SelfSSL->SelfSSL”, 在命令行中鍵入
“selfssl /S:1883082381 /P:446 /T /Q ”, 回答 “y”, and you are done.
其中,“1883082381”是網站的唯一ID,查看方式“All Programs->IIS Resources->Metabase Explorer->LM->W3SVC->1883082381”,查看右側信息。
selfssl.exe工具參數:
/T 將自簽名驗書加入到可信證書列表中,如果指定此項則本地訪問時信任自簽名證書。
/N:CN 指定證書名稱,如果不指定則使用本機名。
/K:key size 指定key大小,默認爲1024。
/V:validity days指定有效期,默認爲7天。
/S:site id 指定站點id,默認爲1 <Default Site>。
/P:port 指定SSL端口,默認爲443。
/Q 安靜模式。當覆蓋證書時不會進行提示。舉例:
selfssl.exe /N:CN=localhost /K:1024 /V:7 /S:1 /P:443 /Q
selfssl.exe /T /N:CN=localhost /K:1024 /V:7 /S:1 /P:443 /Q
selfssl.exe /T /N:CN=192.168.0.1 /K:1024 /V:7 /S:1 /P:443 /Q
現在你試試在browser裏訪問:https://localhost:446,你會發現會出現一個窗口詢問是否接受一個untrusted certificate,選Yes, and you are in a safe channel now.
第二步:
1:通過“管理工具”中的IIS管理器啓動IIS編輯器。
2:在默認網站上點鼠標右鍵選擇“屬性”。
3:在默認網站屬性窗口中點“目錄安全性”標籤,然後在安全通信處點“服務器證書”按鈕。
4:系統將自動打開WEB服務器證書嚮導。
5:服務器證書處選擇“新建證書”,然後下一步繼續。
6:延遲或立即請求處選擇“現在準備證書請求,但稍後發送”。
7:設置證書的名稱和特定位長,名稱保持默認網站即可,在位長處我們通過下拉菜單選擇512。
小提示:位長主要用於安全加密,位長越來則越安全(默認1024),不過傳輸效率會受到一定的影響,網站性能也受影響。一般來說選擇512已經足夠了。
8:輸入單位信息,包括單位和部門。
9:在站點公用名稱窗口輸入localhost。
10:地理信息隨便填寫即可。
11:設置證書請求的文件名,我們可以將其保存到桌面以便下面步驟調用方便,保存的文件名爲certreq.txt。
12:完成了IIS證書嚮導配置工作,並按照要求將相應的證書文件保存到桌面。
第三步:
爲 Web 服務器配置 SSL
要在 IIS 中啓用 SSL,首先必須獲得用於加密和解密通過網絡傳輸的信息的證書。IIS 具有自己的證書請求工具,您可以使用此工具向證書頒發機構發送證書請求。此工具簡化了獲取證書的過程。如果您使用的是 Apache,則必須手動獲取證書。
在 IIS 和 Apache 中,您都會收到來自證書頒發機構的證書文件,此文件必須配置在計算機上。Apache 使用 SSLCACertificateFile 指令讀取其源文件中的證書。而在 IIS 中,您可以使用網站或文件夾屬性的目錄安全性選項卡來配置和管理證書。
您可以將證書從 Apache 遷移到 IIS;但是 Microsoft 建議您重新創建或獲取一個新的 IIS 證書。
此過程假定您的站點已經具備了證書。
1. 以管理員身份登錄到 Web 服務器計算機。
2. 單擊開始,指向設置,然後單擊控制面板。
3. 雙擊管理工具,然後雙擊 Internet 服務管理器。
4. 從左窗格中的不同服務站點的列表中選擇網站。
5. 右鍵單擊希望爲其配置 SSL 通信的網站、文件夾或文件,然後單擊屬性。
6. 單擊目錄安全性選項卡。
7. 單擊編輯。
8. 如果希望網站、文件夾或文件要求 SSL 通信,請單擊需要安全通道 (SSL)。
9. 單擊需要 128 位加密以配置 128 位(而不是 40 位)加密支持。
10. 要允許用戶不必提供證書就可以連接,請單擊忽略客戶證書。
或者,如果要讓用戶提供證書,請使用接受客戶證書。
11. 要配置客戶端映射,請單擊啓用客戶證書映射,然後單擊編輯將客戶證書映射到用戶。
如果配置了此功能,可以將客戶證書分別映射到 Active Directory 中的每個用戶。可以使用此功能以根據用戶訪問網站時提供的證書自動識別用戶。可以將用戶一對一映射到證書(一個證書標識一個用戶),或者將許多證書映射到一個用戶(根據特定的規則,對照證書列表來匹配特定的用戶。第一個有效的匹配項成爲映射。)
12. 單擊確定。
疑難解答:
1,訪問不了站點
確認第一步中的“selfssl /S:1883082381 /P:446 /T /Q” 站點標識無誤。
確認第一步中的“446”或其他端口設置無誤,訪問時需加入端口號,例如“https://localhost:端口”。
2,提示“安全證書的名稱無效或與網站的名稱不匹配”
原因:當您生成該 Web 站點的證書申請指定的公用名與用於訪問該網站的 URL 不匹配。例如對於如果您訪問該網站通過鍵入 IP 地址或服務器的名稱,但在證書請求中指定的公用名稱是 www.adatum.com,您將收到安全消息。
解決方案:若要不必此警告確保生成證書請求時指定的公用名匹配將用來訪問該網站的 URL。
如果不能將用來訪問該網站的 URL 更改爲與證書上的公共名稱相匹配,請按照下列步驟操作:
- 創建另一個證書請求。請確保公用名與用於訪問該網站的 URL 匹配。
- 具有您生成一個新的證書的證書頒發機構。
- 爲 Web 站點使用新的證書。
參考:有關生成新的證書申請的詳細信息單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章: