7.9.2 采用SSL实现加密传输（5）

7.9.2  采用SSL实现加密传输（5）

5）配置网站启用SSL通道

在网站属性"目录安全性"标签页中单击安全通信栏的"编辑"按钮，然后，勾选"要求安全通道（SSL）"选项，如图7-37所示。

 

（点击查看大图）图7-37  启用网站SSL通道

忽略客户端证书：选择该选项可以允许用户不必提供客户端证书就可访问该站点。

接受客户端证书：选择该选项可以允许具有客户端证书的用户进行访问，证书不是必需的。具有客户端证书的用户可以被映射；没有客户端证书的用户可以使用其他身份验证方法。

要求客户端证书：选择该选项则仅允许具有有效客户端证书的用户进行连接。没有有效客户端证书的用户被拒绝访问该站点。选择该选项从而在要求客户端证书前，必须选择"要求安全通道（SSL）"选项。

最后单击"确定"按钮，即完成启用SSL了。在完成了对SSL网站的配置后，用户只要在IE浏览器中输入"https://网站域名"就能访问该网站。

注  意 

勾选上SSL后，必须用HTTPS来访问，而访问网站的端口也会使用SSL端口，默认为443。

如果在你访问站点的过程中出现无法正常访问的情况，那么请检查服务器防火墙是否禁止对SSl端口443的访问，这点比较容易被忽视，当然你也可以自己修改端口。

如果还是不能访问，出现提示"你试图从目录中执行 CGI、ISAPI 或其他可执行程序，但该目录不允许执行程序。HTTP错误403.1-禁止访问：执行访问被拒绝。"那么请检查网站主目录的执行权限，将执行权限设置为纯脚本即可，如图7-38所示。

 

图7-38  设置执行权限

6）客户端安装证书

如果IIS服务器设置了"要求客户端证书"，则其他机器或用户想通过HTTPS访问和调用该Web服务，就需要将CA的根证书导入到客户端证书的可信任机构中，客户端才可以正常访问Web服务。

（1）选择"开始"→"运行"命令，在弹出的对话框中输入"mmc"，出现如图7-39所示的界面。

 

图7-39  启动控制台

（2）选择"文件"→"添加/删除管理单元"命令，出现如图7-40所示的界面。

 

图7-40  添加/删除管理单元

（3）单击"添加"按钮，在可用独立管理单元列表中选择"证书"选项，出现如图7-41所示的界面。

（4）选择"计算机账户"选项，单击"下一步"按钮，选择"本地计算机"选项，然后依次单击"完成"→"关闭"→"确定"按钮。

 

图7-41  添加证书管理单元

进入当前用户的证书管理单元，界面如图7-42所示。

 

（点击查看大图）图7-42  选择证书导入位置

选中"个人"下的"证书节点"选项，单击鼠标右键，在弹出的快捷菜单中选择"所有任务"→"导入"命令，如图7-43所示。

 

（点击查看大图）图7-43  导入证书

选择我们刚才颁发的服务器证书cert.cer，将其导入到个人的存储位置，导入后如图7-44所示。

 

（点击查看大图）图7-44  导入到证书

7）SSL的优点与缺点

优点：它对Web服务提供的数据完整性没有任何影响，当值返回给客户时，值还是保持原样，并没有因在传输过程中使用了加密技术而发生变化。

缺点：它对站点的整体性能有影响，因为它需要进行很多加解密的数据处理。