Diligent achievement genius ...

业精于勤荒于嬉 行成于思毁于随 voiow博客
  博客园  :: 首页  :: 新随笔  :: 联系 :: 订阅 订阅  :: 管理

Webservice以HTTPS协议方式的访问部署

Posted on 2007-11-26 15:05  voiow  阅读(10435)  评论(1编辑  收藏  举报

1.     

本部署手册详细描述了证书的安装与设置,以及IIS的证书设置等,阐述在IIS上如何配置一个可以使用HTTPS协议访问的WEBSERVICE

1.1     

1、  为开发人员配置HTTPS协议方式访问WEBSERVICE提供帮助。

2、  保障WEBSERVICE接口访问安全。

1.2     

Xml Web Service传输的数据是Xml格式的,Xml是一种明文,而传输层通过tcp/ip来传输,而tcp/ip的传输可能被非法监听,黑客可以轻易的将Xml数据解析出来,截获信息甚至篡改数据,这样就造成了Xml Web Service在数据传输中是很不安全的。利用SSL可以将原本的Xml经过高强度的加密,从而有效的防止数据在传输过程中被非法截获和篡改。

1.3  SSL介绍

SSL 的英文全称是 "Secure Sockets Layer" ,中文名为 "安全套接层协议层 ",它是网景( Netscape )公司提出的基于 WEB 应用的安全协议。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSLSecurity Socket Layer的缩写,技术上称为安全套接字,可以简单为加密通讯协议,使用SSL可以对通讯(包括电子邮件)内容进行高强度的加密,以防止黑客监听您的通讯内容甚至是用户密码。

1.4  部署要求

A、  Windows2000/2003系统。

B、  域服务器。

C、  IIS6.0以上服务器。

D、  可用的WEBSERVICE

 

 

下面以新区部署环境讲述HTTPS协议WEBSERVICE的部署

2.   安装证书颁发机构

       WINDOWS 2003 标准版和服务器版都是自带证书颁发机构的组件的,但是默认不安装,要申请证书,必须安装证书颁发机构组件,安装方法:

     打开控制面板-添加/删除程序,选择添加/删除WINDOWS组件,插入WINDOWS的安装光盘,选择“证书服务”,然后一路下一步即可。安装成功之后,便可以进入下一步的申请SSL证书。

 

3.   配置IIS网站的WEBSERVICE

使用HTTPS协议访问WEBSERVICE,有两个要求:

A、  必须使WEBSERVICE为一个独立的网站访问方式,不能使用默认站点下的虚拟目录方式。注意:HTTPS协议使用443端口地址,因此防火墙必须开通此地址。

B、  服务器必须加入到域里面,由域控来解析访问地址。

此时,配置好的WEBSERVICE访问方式还是普通的http.

 

4.   配置站点DNS

在域服务器上配置WERBSERIVCE访问的DNS地址,配置步骤:

选择DNS管理器-》机器名—》正向查找..-》域名—》新建别名。如图所示:

打开窗口,填写别名,如图:

此时需要选择目标主机,点击“浏览”,找到发布WEBSERVICE的目标主机,如图:

连续“确定”即可。

此时我们可以看到已经添加好的DNS解析,如图:

5.   WEBSERVICE申请SSL证书

5.1  申请SSL证书

安装好证书服务,配置好DNS解析后,开始为webservice的站点设置证书访问,步骤如下:

右键站点—》属性—》目录安全性—》安全通信,点击“服务器证书”,然后下一步,选择“新建证书”,如图:

“下一步”:

下一步:

在名称中输入DNS名称,如:DEPRecevice.xq.cn,其他默认,下一步,再下一步:

在公用名称里面输入DNS,如:DEPRecevice.xq.cn,联系下一步,在SSL端口中默认443端口,在证书发布机构中选择域服务器,如图:

下一步,完成。

 

此时我们可以查看到已经订阅的证书,如图:

5.2  强制https访问

默认两种方式都可以访问,但是如果webservice必须使用https访问,则需要配置安全通信,在目录安全面板中,在安全通信栏中点击编辑,选择要求安全通道SSL,如图:

此时访问webservice时就必须使用https访问访问。

5.3  测试访问

此时我们可以测试使用https协议来访问webservice,如图:

 

 

6.   其他服务器访问此WEBSERVICE

Webservice的证书访问配置好后,并不是说现在所有的服务器都可以https协议访问了,需要满足如下要求:

A、  服务器必须加入域,或者服务器的DNS是域服务器地址。

B、  在服务器上按照证书链。

否则将出现安全提示窗口,

A条件很好满足,在IP地址中把DNS配置成域服务器地址即可。

B条件操作稍微麻烦一些,需要从域服务器上导出,然后在访问webservice的服务器上安装此证书。

 

6.1  导出证书链

操作步骤如下:

第一步:在域服务器上访问如下地址:http://localhost/certsrv/打开证书服务页面,如图:

第二步:选择“下载一个CA证书,证书链或CRL”,如图:

选择“下载CA证书链”,将certnew.p7b文件保存到本地目录上。

6.2  安装证书链

将证书链拷贝到访问服务器,右键证书链文件,选择安装证书,全部默认选项,连续下一步即可。如图:

 

最有提示导入证书成功。

证书安装成功后,即可以https访问远端webservice服务了。