基于windows2008平台配置实现利用SSL协议的安全IISWeb服务器

-23- 目录TOC\o"1-3"\h\u一、问题背景概述 -3-二、协议分析说明分析 -3-2.1协议规范概述 -3-2.1.1SSL协议 -3-2.1.2HTTPS协议 -4-2.1.3IIS -4-2.2需解决的问题 -6-2.3重点和难点 -6-2.3.1windowsserver2008平台搭建 -6-2.3.2IIS服务的安装 -6-2.3.3web服务器的安装 -6-2.3.4web服务的配置 -7-2.3.5SSL协议实现 -7-三、实现条件及系统解决方案 -8-3.1系统实现条件/环境配置说明 -8-3.1.1虚拟机配置 -8-3.1.2系统网络配置 -8-3.2系统解决方案 -8-四、实验方案设计及实现 -9-4.1实验方案设计说明 -9-4.2实验步骤/实现过程说明 -10-4.2.1虚拟机的安装与使用 -10-4.2.2windowsserver2008平台搭建 -10-4.2.3web服务器安装 -12-4.2.5web服务器配置 -14-4.2.6SSL申请与设置 -16-五、课题/实践任务结论 -22-5.1和其他备选方案的分析比较 -22-5.2方案评估分析 -22-六、总结与体会 -23-6.1本课题的不足之处和可改进之处 -23-6.2技术前景展望/下一步的工作 -23-附录：参考文献 -23-[键入文字]一、问题背景概述基于windows2008平台配置实现利用SSL协议的安全IISWeb服务器，现今SSL安全协议广泛地用在Internet和Intranet的服务器产品和客户端产品中，用于安全地传送数据，集中到每个WEB服务器和浏览器中，从而来保证来用户都可以与Web站点安全交流。本次课程设计将介绍SSL安全协议在WEB服务器安全的应用。这个课程设计问题所涉及的技术有：windowsserver2008平台搭建、web服务器的配置、SSL协议相关、客户机的选择、InternetInformationServer服务的安装。二、协议分析说明分析2.1协议规范概述2.1.1SSL协议SSL(SecureSocketsLayer安全套接层),及其继任者传输层安全（TransportLayerSecurity，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。SecureSocketLayer，为Netscape所研发，用以保障在Internet上数据传输之安全，利用数据加密(Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。一般通用之规格为40bit之安全标准，美国则已推出128bit之更高安全标准，但限制出境。只要3.0版本以上之I.E.或Netscape浏览器即可支持SSL。当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：SSL记录协议（SSLRecordProtocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议（SSLHandshakeProtocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。提供服务1）认证用户和服务器，确保数据发送到正确的客户机和服务器；2）加密数据以防止数据中途被窃取；3）维护数据的完整性，确保数据在传输过程中不被改变。支持服务器类型1.Tomcat5.x2.Nginx3.IIS4.Apache2.x5.IBMHTTPSERVER6.0[1]工作流程服务器认证阶段：客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接；服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；服务器回复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。用户认证阶段：在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。从SSL协议所提供的服务及其工作流程可以看出，SSL协议运行的基础是商家对消费者信息保密的承诺，这就有利于商家而不利于消费者。在电子商务初级阶段，由于运作电子商务的企业大多是信誉较高的大公司，因此这问题还没有充分暴露出来。但随着电子商务的发展，各中小型公司也参与进来，这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但是SSL协议仍存在一些问题，比如，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下，Visa和MasterCard两大信用卡公组织制定了SET协议，为网上信用卡支付提供了全球性的标准。2.1.2HTTPS协议（HypertextTransferProtocolSecure）安全超文本传输协议，它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层（SSL）作为HTTP应用层的子层。（HTTPS使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。）SSL使用40位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。https是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，https的安全基础是SSL，因此加密的详细内容见上述SSL。它是一个URIscheme(抽象标识符体系)，句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。限制它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持.一种常见的误解是“银行用户在线使用https:就能充分彻底保障他们的银行卡号不被偷窃。”实际上，与服务器的加密连接中能保护银行卡号的部分，只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的，这点甚至已被攻击者利用，常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在网站传输客户数据时发生，攻击者尝试窃听数据于传输中。商业网站被人们期望迅速尽早引入新的特殊处理程序到金融网关，仅保留传输码(transactionnumber)。不过他们常常存储银行卡号在同一个数据库里。那些数据库和服务器少数情况有可能被未授权用户攻击和损害。SSL介于应用层和TCP层之间。应用层数据不再直接传递给传输层，而是传递给SSL层，SSL层对从应用层收到的数据进行加密，并增加自己的SSL头。SSL协议的三个特性①保密：在握手协议中定义了会话密钥后，所有的消息都被加密。②鉴别：可选的客户端认证，和强制的服务器端认证。③完整性：传送的消息包括消息完整性检查(使用MAC)。2.1.3IIS1、InternetInformationServices（IIS，互联网信息服务），是由微软公司提供的基于运行MicrosoftWindows的互联网基本服务。最初是WindowsNT版本的可选包，随后内置在Windows2000、WindowsXPProfessional和WindowsServer2003一起发行，但在WindowsXPHome版本上并没有IIS。Gopherserver和FTPserver全部包容在里面。IIS意味着你能发布网页，并且有ASP（ActiveServerPages）、JAVA、VBscript产生页面，有着一些扩展功能。IIS支持一些有趣的东西，像有编辑环境的界面（FRONTPAGE）、有全文检索功能的（INDEXSERVER）、有多媒体功能的（NETSHOW）其次,IIS是随WindowsNTServer4.0一起提供的文件和应用程序服务器，是在WindowsNTServer上建立Internet服务器的基本组件。它与WindowsNTServer完全集成，允许使用WindowsNTServer内置的安全性以及NTFS文件系统建立强大灵活的Internet/Intranet站点。IIS（InternetInformationServer，互联网信息服务）是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。2、功能作用在同一时间内允许打开的网站页面数，打开一个页面占一个IIS，打开一个站内框架页面占2到3个IIS；若图片等被盗链，在其它网站打开本站图片同样占一个IIS。假若设置参数为50个IIS，则这个站允许同时有50个页面被打开。但要在同一时间（极短的时间）有50个页面被打开，需要50个人同时操作，这个概率还是比较低的。所以，100个iis支持日ip1000（同时访问网站人数必定远低于1000人）以上都不是很大问题，除非网站被盗链或框架引发其它消耗。3、各种版本IIS版本Windows版本备注IIS1.0WindowsNT3.51ServicePack3s@bkIIS2.0WindowsNT4.0s@bkIIS3.0WindowsNT4.0ServicePack3开始支持ASP的运行环境IIS4.0WindowsNT4.0OptionPack支持ASP3.0IIS5.0Windows2000在安装相关版本的。NetFrameWork的RunTime之后，可支持ASP.NET1.0/1.1/2.0的运行环境IIS6.0WindowsServer2003WindowsVistaHomePremiumWindowsXPProfessionalx64Editions@bkIIS7.0WindowsVistaWindowsServer2008s@bkIISWindows7在系统中已经集成了.NET3.5。可以支持.NET3.5及以下的版本。图2-1关于WEB服务器IIS版本配置2.2需解决的问题虚拟机的安装与使用windowsserver2008平台搭建客户端PC机的安装（选择用windows7系统）IIS服务之web服务器的安装web服务的配置SSL协议实现2.3重点和难点2.3.1windowsserver2008平台搭建在此环节中，需要注意安装WindowsServer2008时会出现“升级”“自定义高级”安装选项，我们用后者，原因是可方便实现对它的分区操作及分配磁盘操作；安装过程中，虚拟机中的Windowsserver2008会反复重启，这时要保证虚拟机电源稳定开启；安装结束首次启动它时会要求用户为其设定用户名及密码，按照操作执行即可。2.3.2IIS服务的安装IIS不会默认安装，但是可以通过打开“控制面板”->“添加或删除Windows组件”->双击“Internet信息服务IIs”安装。2.3.3web服务器的安装在“服务器管理器”窗口中单击“添加角色向导”进行安装单击“下一步”在角色列表框中勾选“web服务器（IIS）以及ActiveDirectory证书服务”“添加角色向导”，单击“添加必须的功能”。单击“添加必须的功能”，返回“选择服务器角色”“wed服务器（IIS）”复选框被勾选。单击“下一步”单击“下一步”此处安装可以选择wed组件，如ASP，单击“下一步”单击“安装”开始安装web服务器，最后进行测试，当出现如下网页说明安装成功图2-2WEB服务器站点主页2.3.4web服务的配置IP地址绑定设置主目录设置主目录访问权限网站限制默认文档设置HTTP重定向MIME设置错误页设置2.3.5SSL协议实现在IIS管理器中设置站点要求客户证书，然后访问站点，浏览器会弹出一个对话框，让选择要使用的客户证书，然进入，其后利用SSL实现身份认证，首先可以在IIS管理器中启用客户证书映射，将客户证书影射到NT帐号，可以映射某张证书，也可以映射所有根证书所签发的客户证书，如果在签发者列表中找不到根证书，需要申请CA证书并颁发证书。如果不想用NT的安全机制，就需要获取对方客户证书的信息，然后进行判断。通常客户证书的信息由HTTPS_开头的服务器变量提供。三、实现条件及系统解决方案3.1系统实现条件/环境配置说明3.1.1虚拟机配置设备名称规格、型号、参数数量备注说明内存1G1CPUIntelPentium1G以上1硬盘Seagate20G以上1网卡3Com10/100M自适应网卡1网络适配器Nat连接1CD/DVD（IDE）自动检测USB控制器自动检测图3-1虚拟机设置3.1.2系统网络配置项目名称配置说明数量机器名/地址标识备注说明Web服务器IIS7.0版本1Server1：客户端PC1Windows71Station1：67图3-2系统网络配置3.2系统解决方案在Windowsserver2008平台下，配置实现利用SSL协议的安全IISWeb服务器，具体实现框图如图所示：图3-3实验流程图四、实验方案设计及实现4.1实验方案设计说明在配置web服务器时需要完成以下事项： 网络链接：虚拟机设置为NAT网络链接IP地址绑定：指定固定的IP地址，以方便配置和访问设置主目录：主目录是网站的根目录，当用户访问网站时，服务器会先从根目录调取相应的文件，由于在将数据文件与操作系统放在同一磁盘分区中会失去安全保障，因此将web主目录保存在其他磁盘。设置主目录访问权限：对于一些比较重要的网站来说，主目录是不允许一般用户访问的，因此需要对网站主目录的访问权限进行设置。网站限制：无论web服务器的性能多么强劲，都有可能会因为并发连接的数量过多致使服务器瘫痪，为保证用户正常访问，应对网站进行一定的限制。默认文档设置：为保证用户在访问网站时只需要使用域名和目录即可打开目录。MIME设置：保证非ASCII码文件在Internet上传播的标准，默认情况下系统已经集成了很多MIME类型，但有时用户可能会有特殊的要求，需要手动添加MIME类型。错误页设置：是可以自己定义的也可以是包含拔出故障信息的详细错误信息。在IIS安装、Web服务器配置中，让其实现SSL加密连接需要以下步骤：（1）申请服务器证书（2）设置SSL4.2实验步骤/实现过程说明4.2.1虚拟机的安装与使用1、VMware-Workstation安装过程（1）运行VMware安装程序前，先检查其数字签名是否正常，这样可以降低安全风险。a.右键→属性→数字签名→详细信息；b.如果程序没有被篡改，则会显示"此数字签名正常"。（2）双击运行VMware安装程序。（3）安装程序，自动解压所需的文件，这个过程所需时间基本由计算机硬件配置决定。（4）安装向导出现"Welcome"（欢迎）后，单击Next（下一步），以继续程序的安装。（5）这时，安装向导，询问用户，选择"Typical"（典型）或者"Custom"（定制）的安装方式。a.如果选择"Typical"（典型），最常用的功能，将会被安装。b.选择"Custom"（定制），你将可以选择想要安装的程序功能，他们将被安装。建议高级用户使用。（6）选择"typical"（典型）安装方式后，安装向导询问用户，希望将VMware安装到什么地方。（7）这时，出现了"UserExperienceImprovementProgram"（程序用户体验改进）页面。安装向导询问用户，是否"HelpimproveVMwareWorkstation"（帮助改进VMwareWorkstation）。这里，去掉默认的√，即不参与用户体验改进。然后，单击Next（下一步）。（8）这时，出现了执行请求的操作页面，这个过程所需时间基本由计算机硬件配置决定。在这个过程中，a.用于虚拟系统（虚拟机）与实际计算机（宿主计算机）间通信的虚拟网卡将被安装。b.添加了四个系统服务、一个启动项。（9）等待一段时间后，出现了"EnterLicenseKey"（输入许可密匙）页面。在页面文字的第二行，可以看到"Youcanenterthisinformationlater"（你可以在以后输入这些信息）的提示。如果你要这样做，则单击安装向导右下角的Skip（跳过）。单击安装向导右下角的Enter（输入）（10）这时，出现了"SetupWizardComplete"（安装向导结束）页面。（11）重启系统后，运行VMwareWorkstation，将会弹出"LicenseAgreement"（许可协议）窗口。选择"Yes,Iacceptthetermsinthelicenseagreement"（我接受许可协议中的条款），再单击"OK"，即可使用VMwareWorkstation。4.2.2windowsserver2008平台搭建1、启动计算机后，放入WindowsServer2008系统安装光盘，出现下图后点击“下一步”；2、点击"现在安装"；3、进入安装程序启动画面；图4-1Windowsserver2008安装画面4、选择"WindowsServer2008R2Enterprise（完全安装）"后点击"下一步"；5、选择"我接受许可条款"后点击下一步；6、选择"自定义（高级）"；7、选择"驱动器选项（高级）"；8、点击"新建"以便创建分区；9、输入分区大小的值后，点击"确定"后点击"下一步"；10、点击“立即重新启动计算机”；11、重新启动计算机后进入后续的安装过程，如下图；图4-2Windowsserver2008安装成功12、重新启动计算机后，为用户首次登陆设置密码；13、重新启动计算机后，为用户首次登陆设置密码后登陆计算机；4.2.3web服务器安装图4-3WEB服务器角色安装图4-4角色功能安装图4-5添加必需的角色服务图4-6 WEB服务器正在安装图4-7 服务器配置IP图4-8 测试是否链接链接4.2.5web服务器配置图4-9 IP地址编辑绑定图4-10 设置物理地址图4-11 测试站点设置主目录访问权限网站限制默认文档设置MIME设置4.2.6SSL申请与设置图4-12 申请CA证书图4-13 申请高级证书图4-14 向CA提交申请图4-15 Internet选项设置图4-16 CA申请页面图4-17 在certsrv中颁发申请图4-18 在网站受理申请图4-19 导出证书图4-20 导入证书图4-21 设置站点链接方式图4-22 设置SSL图4-23 SSL下网站访问五、课题/实践任务结论5.1和其他备选方案的分析比较在此次实验中，服务器可以直接将计算机做成Windowsserver2008模式，客户端也可以用本机，但是我选择用虚拟机，原因如下：用主机与虚拟机上的服务器进行连接，需要配置主机与虚拟机的网络设置，不利于主机上网搜寻资料，并且主机常用DHCP分配的动态地址，不方便捕捉。虚拟机模拟了整个一个实际计算机的功能，也就是一台计算机的所有硬件，软件来虚拟化实现了，所以安装了虚拟机，也就相当于有了多台电脑，每台PC可以运行单独的操作系统而互不干扰，可以实现一台电脑“同时”运行几个操作系统，还可以将这几个操作系统连成一个网络，方便配置与实现功能。当然虚拟机通过桥接方式连接时，还可以与本机进行连接，也是一种很好的交互方式。5.2方案评估分析应用SSL实现加密连接有助于实现：从客户机到安全Web服务器的数据安全性；由于卸载工具执行所有SSL处理过程并完成TCP/IP协商，因此大大提高了吞吐量；简化了密钥的管理和维护。当具有SSL功能的浏览器（Navigator、IE)与Web服务器(Apache、IIS)通信时，它们利用数字证书确认对方的身份。数字证书是由可信赖的第三方发放的，并被用于生成公共密钥。当最初的认证完成后，浏览器向服务器发送48字节利用服务器公共密钥加密的主密钥，然后Web服务器利用自己的私有密钥解密这个主密钥。最后，浏览器和服务器在会话过程中用来加解密的对称密钥集合就生成了。加密算法可以为每次会话显式地配置或协商，最广泛使用的加密标准为"数据加密标准"（DES）和RC4。安全通道就建立，保密的数据传输就可以开始了。尽管初始认证和密钥生成对于用户是透明的，但对于Web服务器来说，它们远非透明。由于必须为每次用户会话执行启动过程，因而给服务器CPU造成了沉重负担并产生了严重