1. 简 介
本部署手册详细描述了证书的安装与设置,以及IIS的证书设置等,阐述在IIS上如何配置一个可以使用HTTPS协议访问的WEBSERVICE。
1.1 目 的
1、 为开发人员配置HTTPS协议方式访问WEBSERVICE提供帮助。
2、 保障WEBSERVICE接口访问安全。
1.2 意 义
Xml Web Service传输的数据是Xml格式的,Xml是一种明文,而传输层通过tcp/ip来传输,而tcp/ip的传输可能被非法监听,黑客可以轻易的将Xml数据解析出来,截获信息甚至篡改数据,这样就造成了Xml Web Service在数据传输中是很不安全的。利用SSL可以将原本的Xml经过高强度的加密,从而有效的防止数据在传输过程中被非法截获和篡改。
1.3 SSL介绍
SSL 的英文全称是 "Secure Sockets Layer" ,中文名为 "安全套接层协议层 ",它是网景( Netscape )公司提出的基于 WEB 应用的安全协议。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL是Security Socket Layer的缩写,技术上称为安全套接字,可以简单为加密通讯协议,使用SSL可以对通讯(包括电子邮件)内容进行高强度的加密,以防止黑客监听您的通讯内容甚至是用户密码。
1.4 部署要求
A、 Windows2000/2003系统。
B、 域服务器。
C、 IIS6.0以上服务器。
D、 可用的WEBSERVICE。
下面以新区部署环境讲述HTTPS协议WEBSERVICE的部署
2. 安装证书颁发机构
WINDOWS 2003 标准版和服务器版都是自带证书颁发机构的组件的,但是默认不安装,要申请证书,必须安装证书颁发机构组件,安装方法:
打开控制面板-添加/删除程序,选择添加/删除WINDOWS组件,插入WINDOWS的安装光盘,选择“证书服务”,然后一路下一步即可。安装成功之后,便可以进入下一步的申请SSL证书。
3. 配置IIS网站的WEBSERVICE
使用HTTPS协议访问WEBSERVICE,有两个要求:
A、 必须使WEBSERVICE为一个独立的网站访问方式,不能使用默认站点下的虚拟目录方式。注意:HTTPS协议使用443端口地址,因此防火墙必须开通此地址。
B、 服务器必须加入到域里面,由域控来解析访问地址。
此时,配置好的WEBSERVICE访问方式还是普通的http.
4. 配置站点DNS
在域服务器上配置WERBSERIVCE访问的DNS地址,配置步骤:
选择DNS管理器-》机器名—》正向查找..-》域名—》新建别名。如图所示:
打开窗口,填写别名,如图:
此时需要选择目标主机,点击“浏览”,找到发布WEBSERVICE的目标主机,如图:
连续“确定”即可。
此时我们可以看到已经添加好的DNS解析,如图:
5. 为WEBSERVICE申请SSL证书
5.1 申请SSL证书
安装好证书服务,配置好DNS解析后,开始为webservice的站点设置证书访问,步骤如下:
右键站点—》属性—》目录安全性—》安全通信,点击“服务器证书”,然后下一步,选择“新建证书”,如图:
“下一步”:
下一步:
在名称中输入DNS名称,如:DEPRecevice.xq.cn,其他默认,下一步,再下一步:
在公用名称里面输入DNS,如:DEPRecevice.xq.cn,联系下一步,在SSL端口中默认443端口,在证书发布机构中选择域服务器,如图:
下一步,完成。
此时我们可以查看到已经订阅的证书,如图:
5.2 强制https访问
默认两种方式都可以访问,但是如果webservice必须使用https访问,则需要配置安全通信,在目录安全面板中,在安全通信栏中点击编辑,选择要求安全通道SSL,如图:
此时访问webservice时就必须使用https访问访问。
5.3 测试访问
此时我们可以测试使用https协议来访问webservice,如图:
6. 其他服务器访问此WEBSERVICE
Webservice的证书访问配置好后,并不是说现在所有的服务器都可以https协议访问了,需要满足如下要求:
A、 服务器必须加入域,或者服务器的DNS是域服务器地址。
B、 在服务器上按照证书链。
否则将出现安全提示窗口,
A条件很好满足,在IP地址中把DNS配置成域服务器地址即可。
B条件操作稍微麻烦一些,需要从域服务器上导出,然后在访问webservice的服务器上安装此证书。
6.1 导出证书链
操作步骤如下:
第一步:在域服务器上访问如下地址:http://localhost/certsrv/打开证书服务页面,如图:
第二步:选择“下载一个CA证书,证书链或CRL”,如图:
选择“下载CA证书链”,将certnew.p7b文件保存到本地目录上。
6.2 安装证书链
将证书链拷贝到访问服务器,右键证书链文件,选择安装证书,全部默认选项,连续下一步即可。如图:
最有提示导入证书成功。
证书安装成功后,即可以https访问远端webservice服务了。