在IIS 7.0 和IIS 6.0中配置SSL的高级别步骤基本相同:
·获取合适的证书
·在网站创建HTTPS连接
·通过向该网站发送请求来进行测试
·选择性地配置SSL选项,例如将SSL作为必要条件
本文提供了一些有用的信息,以及如何利用不同的方式启用SSL:
·使用IIS管理器用户界面(GUI)
·使用appcmd命令行工具
·通过Microsoft.Web.Administration进行编程
·利用WMI脚本
SSL配置
从IIS 6.0到IIS 7.0,SSL的安装部署也有所改变,在Windows Server 2003中,所有的SSL配置都存储在IIS元数据库中,并且加密/解密过程都发生在用户模式(需要大量的内核模式/用户模式间的转换),在 Windows Vista 和Windows Server® 2008中,HTTP.sys处理内核模式的SSL加密/解密过程,为安全连接提供了更好的性能。
将SSL转移到内核模式需要将SSL连接存储在两个地方,首先,该连接需要被存储在网站的如下位置: %windir%\system32\inetsrv\applicationHost.config ,当网站启动时,IIS 7.0会将连接发送到HTTP.sys,然后HTTP.sys开始接收制定IP:Port的请求(对所有连接有效)。其次,与该连接相关的SSL配置被存储在HTTP.sys配置中,使用netsh来查看存储在HTTP.sys中的SSL配置:
netsh http show sslcert
当客户端连接并启动一个SSL调动时,HTTP.sys会查看其SSL配置中该客户端连接到的IP:Port对的信息,HTTP.sys的SSL配置必须保护一个证书和证书存储位置的名称,以完成SSL调动。
疑难解答:如果SSL连接遇到困难,应当确认该连接是在applicationHost.config中配置的,并确保HTTP.sys 存储中包含有效的证书以及存储名称。
选择证书
你希望最终用户能够通过证书来验证服务器的身份吗?如果是的话,可以创建一个证书请求,然后将证书请求发送至已知的CA(如VeriSign或者GeoTrust),或者在企业内部网域的CA处获取证书,浏览器通常会检查服务器证书的三个问题:
1. 证书日期是有效的
2. 证书的“公用名称(CN)”与请求中的主机名称相匹配,例如,如果某客户端向如下网址发送请求: http://www.contoso.com/,,那么CN也必须是http://www.contoso.com/
3. 证书发布方是知名的可信赖的CA
如果这三项检查失败时,浏览器会向用户发出警告。如果互联网网站或者内部局域网中存在不熟悉的最终用户,最好始终确保执行以上三个参数的检查。
自签名证书是指计算机自己发布的证书,这种证书适用于最终用户不需要信任服务器的环境中,例如测试环境等。
AppCmd
你不能使用appcmd发送请求或者创建证书,同样也不能创建SSL连接。
配置SSL设置
你可以使用appcmd配置网站只能进行服务器https连接,只需通过修改访问设置中的sslFlags属性即可。例如,在 applicationHost.config(即:–commitPath:APPHOST)中为“Default Web Site”配置设置:
D:\Windows\system32\inetsrv>appcmd set config "Default Web Site"-commitPath:APPHOST -section:access -sslFlags:Ssl
Applied configuration changes to section "system.webServer/security/access" for
"MACHINE/WEBROOT/APPHOST/Default Web Site" at configuration commit path "MACHINE
/WEBROOT/APPHOST"
如果需要128位的SSL,将sslFlags值改为Ssl128
下面的示例展示的是查看Default Web Site 的区域设置,sslFlags属性已经设置成功:
D:\Windows\system32\inetsrv>appcmd list config "Default Web Site"-section:access
其结果是:
<system.webServer> <security> <access flags="Script, Read" sslFlags="Ssl" /> </security> </system.webServer>
WMI
你不能使用WebAdministration WMI命名控件发送请求或者创建证书
创建SSL连接
该脚本显示了如何创建新HTTPS连接以及为HTTP.sys和IIS 7.0添加合适的配置:
Set oIIS = GetObject("winmgmts:root\WebAdministration") ''''''''''''''''''''''''''''''''''''''''''''' ' CREATE SSL BINDING ''''''''''''''''''''''''''''''''''''''''''''' oIIS.Get("SSLBinding").Create _ "*", 443, "4dc67e0ca1d9ac7dd4efb3daaeb15d708c9184f8", "MY" ''''''''''''''''''''''''''''''''''''''''''''' ' ADD SSL BINDING TO SITE ''''''''''''''''''''''''''''''''''''''''''''' Set oBinding = oIIS.Get("BindingElement").SpawnInstance_ oBinding.BindingInformation = "*:443:" oBinding.Protocol = "https" Set oSite = oIIS.Get("Site.Name='Default Web Site'") arrBindings = oSite.Bindings ReDim Preserve arrBindings(UBound(arrBindings) + 1) Set arrBindings(UBound(arrBindings)) = oBinding oSite.Bindings = arrBindings Set oPath = oSite.Put_
注意:证书信号和存储位置必须涉及服务器上一个真正的有效的证书,如果证书信号和/或存储名称是假的,脚本将会出现错误。
配置SSL 设置
以下脚本显示了如何通过IIS 7.0 WMI提供程序设置SSL:IIS管理器
获取证书
在树型结构中选择服务器节点,双击服务器列表中的证书(Server Certificates)功能:
在操作窗口单击创建自签名证书(Create Self-Signed Certificate... )
输入新证书的友好名称,然后单击确定
现在有一个自签名证书了,并且证书被标示为“服务器验证”使用,即使用服务器端证书进行HTTP SSL加密以及验证服务器的身份。
创建SSL连接
在树型结构中选择一个站点并点击操作窗口的Bindings... ,随后将弹出编辑器,可以创建、编辑和删除网站的连接,点击添加(Add...)按钮来为网站添加新的SSL连接。
新连接默认到端口80的http,在类型的下拉框中选择https,从SSL Certificate的下拉框中选择早前创建的自签名证书,然后点击确定。
现在网站有一个新的SSL连接,接下来就需要验证其可行性了。
验证SSL连接
查找网站的操作窗口中的链接,该链接能够利用新的HTTPS连接浏览网站,点击此链接能够测试你的新连接。
IE7将会向你展示一个错误页面,因为自签名证书是由你自己的计算机签发的证书,不是可信赖的第三方证书颁发机构(CA),如果你将该证书添加到本地计算机的证书存储位置或者组策略的Trusted Root Certification Authorities 中,则IE7将会信任该证书,然后点击Continue to this website (not recommended)。
配置 SSL设置
如果你想要网站能够请求SSL或者与客户端证书以特定方式交互通信,则可以配置SSL设置,点击树型结构中的网站节点以回到网站主页,双击中间窗格中的SSL Settings功能。
总结
本文中我们探讨了如何使用命令行工具AppCmd.exe、Scripting provider WMI以及IIS管理器来在 IIS 7.0上安装SSL。