HTTPS(Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即在HTTP下加入SSL层,HTTPS的安全基础是SSL。它是一个URI scheme(抽象标识符体系),句法类同“http:体系”。用于安全的HTTP数据传输。“https:URL”表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。简单的HTTPS通信过程如图所示。
HTTPS基本通信流程
但是对于Web服务器而言,想要支持HTTPS通信,必须要从证书服务器下载并安装证书。服务器可以从证书提供商或者自己搭建的证书服务器获取证书。下面以IIS为例,为Web通信添加HTTPS支持。
步骤1 进入网站属性选择目录安全性,单击服务器证书,然后单击下一步,如图8-7所示。
图8-7打开服务器证书向导
步骤2 选择指派证书的方法。
这里选择新建证书,然后单击下一步。如图8-8所示。
图8-8 择指派证书方法
步骤3 延迟请求证书,如图8-9所示。
图8-9 延迟请求证书
步骤4 输入证书名称和密钥长度。
如果勾选“选择证书的加密提供程序”会出现当前系统提供的加密提供程序供我们选择,如果不选择是默认。如图8-10所示。
图8-10 输入证书名称和密钥长度
步骤5 设置站点的公用名称,如图8-11所示。
图8-11 设置站点公用名称
步骤6 设置证书颁发机构的基本信息。如图8-12所示。
图8-12 设置证书颁发机构信息
步骤7 这是关键的一步,把前几步设置的基本信息合并成证书请求文件,用于从证书服务器请求证书。如图8-13、图8-14所示。
图8-13 填写证书请求文件名
图8-14 生成证书请求文件
步骤8 完成向导,如图8-15所示。
图8-15 完成证书向导
步骤9 从证书提供商的服务器申请证书。
图8-16为某提供商要求输入的基本信息。这一步会要求我们输入第7步中生成的证书请求文件的内容。
图8-16 申请证书
步骤10 根据提示下载证书。
步骤11 继续配置IIS下的证书,进入网站属性的目录安全性,单击服务器证书。选择“处理挂起的请求并安装证书”。如图8-17所示。
图8-17 处理挂起的请求
步骤12 载入我们下载的证书,如图8-18所示。
图8-18 载入证书
步骤13 指定网站的SSL端口。
默认的SSL端口为443,不需要更改。如图8-19所示。
图8-19 指定SSL端口
步骤14 安装证书。如图8-21所示。
图8-20 安装证书
步骤15 对需要启用HTTPS访问的站点启用SSL安全通道。依次进入网站属性→目录安全性→编辑,然后在图8-21所示的对话框中启用SSL。
图8-21 对网站启用SSL
注意勾选“要求128位加密”时,如果浏览器不支持该加密方式将无法访问。
至此,IIS已经完全支持HTTPS的加密连接的访问。
IIS7中的配置过程和IIS5/IIS6略有不同,但是更为简洁。
步骤1 获取服务器证书。过程和IIS6基本相同,不再赘述。
步骤2 打开IIS服务管理器,单击计算机名称,双击打开右侧的服务器证书图标,如图8-22所示。
图8-22 打开服务器证书管理项
步骤3 双击打开服务器证书后,单击右侧的完成证书申请,如图8-23所示。
图8-23 打开完成证书申请
步骤4 导入我们申请的证书,并指定一个好记的名称(可选),单击确定。如图8-24所示。
图8-24 导入证书
步骤5 单击网站下的站点名称,单击右则的绑定,如图8-25。弹出网站绑定对话框,单击添加按钮,如图8-26。
图8-25 选择网站
图8-26 添加绑定
步骤6 添加网站绑定内容:选择类型为https,端口443和指定对应的SSL证书,单击确定。如图8-27。添加完成后如图8-28所示。
图8-27 添加绑定内容
图8-28 网站绑定信息
按照以上步骤配置完成后,站点就支持https://*的方式访问了。
1) 下面我们配置网站“要求SSL”。
2) 在网站的功能视图,双击“SSL”设置。
3) 在“SSL 设置”页上,选择“要求SSL”。
4) 在“操作”窗格中,单击“应用”。如图8-29所示。
图8-29 要求使用SSL
在图8-29中,我们可以看到这里有关于客户证书的选项,通过这个选项我们可以忽略、接受或者必须要求提供客户证书。
若要禁用客户端证书,只需在图8-29的界面上去掉“要求SSL”的选项即可。
---------------------注:本文部分内容改编自《.NET 安全揭秘》