IIS7下配置SSL的方法分析
2024-08-29 03:12:41
供稿:網(wǎng)友
在IIS7中�,HTTP.sys在內(nèi)核模式下操作SSL加密解密����,相對(duì)于IIS6,這種方式能提高近20%的性能�。
當(dāng)SSL運(yùn)行于內(nèi)核模式時(shí)��,會(huì)將SSL綁定信息保存在兩個(gè)地方。第一個(gè)地方���,綁定配置保存在%windir%/System32/inetsrv/config/applicationHost.config中���,當(dāng)站點(diǎn)啟動(dòng)時(shí)����,IIS7發(fā)送綁定信息給HTTP.sys����,同時(shí)HTTP.sys會(huì)在特定的IP和端口監(jiān)聽請(qǐng)求。第二個(gè)地方���,與綁定相關(guān)聯(lián)的SSL配置保存在HTTP.sys配置中。使用netsh命令可以查看保存在HTTP.sys的SSL綁定配置:
netsh http show sslcert
當(dāng)一個(gè)客戶開始連接并初始化SSL協(xié)商時(shí)����,HTTP.sys在它的配置中查找這個(gè)IP:Port對(duì)應(yīng)的SSL配置��。這個(gè)SSL配置必須包括證書hash值和名稱:
l 在ApplicationHost.config中確認(rèn)這個(gè)綁定是否存在
l HTTP.sys中是否包含有效證書的hash值以及命名是否存在
選擇證書時(shí),需要考慮以下問題:
是否想讓最終用戶能夠通過你提供的證書確認(rèn)你服務(wù)器的唯一性����?
如果是的,則
要么建立一個(gè)證書請(qǐng)求�,并且發(fā)送證書請(qǐng)求到證書權(quán)威機(jī)構(gòu)(CA)����,比如VeriSign或者GeoTrust��;
要么從Intranet的在線CA那里獲取一個(gè)證書
瀏覽器一般用三樣?xùn)|西來確認(rèn)服務(wù)器證書的有效性:
1. 當(dāng)前日期在證書的有效期范圍內(nèi)
2. 證書的“Common Name”(CN)與請(qǐng)求中的主機(jī)名相匹配�����。比如,如果客戶發(fā)起了一個(gè)到http://www.contoso.com的請(qǐng)求�����,則CN必須是這樣的:http://www.contoso.com/
3. 證書的發(fā)行者是已知的和受到信任的CA
如果其中有1項(xiàng)失敗����,瀏覽器就會(huì)警告用戶。如果你有個(gè)Internet站點(diǎn)或者你不怎么熟的Intranet用戶�,那你就需要確保這3項(xiàng)是都通過的����。
自簽名的證書可以用你自己的計(jì)算機(jī)創(chuàng)建����。如果最終用戶不重要,或者他們信任你的服務(wù)器,又或者用于測試環(huán)境,則這種自簽名證書將會(huì)非常有用�����。
Ø 使用WMI來綁定SSL證書
使用WMI命名空間����,是不能夠請(qǐng)求或者創(chuàng)建證書���。
建立SSL綁定
以下腳本展示了如何建立SSL綁定���,以及添加相應(yīng)信息到HTTP.sys中:
代碼如下:
Set oIIS = GetObject("winmgmts:root/WebAdministration")
'''''''''''''''''''''''''''''''''''''''''''''
' CREATE SSL BINDING
'''''''''''''''''''''''''''''''''''''''''''''
oIIS.Get("SSLBinding").Create _
"*", 443, "4dc67e0ca1d9ac7dd4efb3daaeb15d708c9184f8", "MY"'''''''''''''''''''''''''''''''''''''''''''''
' ADD SSL BINDING TO SITE
'''''''''''''''''''''''''''''''''''''''''''''
Set oBinding = oIIS.Get("BindingElement").SpawnInstance_
oBinding.BindingInformation = "*:443:"
oBinding.Protocol = "https"
Set oSite = oIIS.Get("Site.Name='Default Web Site'")
arrBindings = oSite.Bindings
ReDim Preserve arrBindings(UBound(arrBindings) + 1)
Set arrBindings(UBound(arrBindings)) = oBinding
oSite.Bindings = arrBindings
Set oPath = oSite.Put_
注意:證書的hash值和名稱必須引用了你服務(wù)其上真實(shí)且有用的證書�����。如果其中有一項(xiàng)虛假�,就會(huì)出現(xiàn)錯(cuò)誤����。
