WINDOWS-SERVER-2003从入门到精通之使用证书在WEB服务器上设置SSL(上)

Windows2003WEB服务器安装及设置教程本安装及设置教程适用于使用Windows2003为操作系统的服务器，目的是让服务器支持常见网络编程语言包括ASP、PHP、.Net1.1、.Net2.0，支持常见数据库包括Access、MySQL、MSSQL，支持FTP，支持常见组件包括Aspjpeg、Jmail、LyfUpload、动易、ISAPI_ReWrite。

本教程共分八篇：系统安装与设置篇、软件安装与设置篇、文件及文件夹权限篇、系统服务篇、安全策略篇、系统组件篇、注册表篇、软件安全篇。

本篇讨论的是第一篇：系统安装与设置一、系统准备需要的软件：Windows2003原版安装文件、Windows2003补丁集、，MySQL 服务器硬件驱动、SQLSERVER2000安装文件、SQLSERVER2000SP4安装文件，PHP安装文件，ZendOptimizer安装文件，Serv_U（可选），Aspjpeg，Jmail，LyfUpload，动易组件，ISAPI_ReWrite，GHOST。

安装文件可以购买正版光盘或其Windows2003和SQLSERVER2000他途径获得。

Windows2003最好是原版，SQLSERVER2000可以选择企业版或者标准版。

Windows2003补丁集包括Windows2003SP2和SP2后的补丁。

先从微软网站或其他下载站下载Windows2003SP2，再从下载站下载Windows2003SP2补丁集，现在（2008年2月）已经可以找到包含至2008年2月份之前所有补丁的补丁集。

SQLSERVER2000SP4可以直接从微软网站下载获得，或者从下载站下载获得。

服务器硬件驱动应该在购买服务器的同时附带了。

MySQL安装文件，PHP安装文件，ZendOptimizer安装文件可以到其官方网站免费下载，或到其他下载网站获得。

Serv_U，Aspjpeg，Jmail，LyfUpload，动易组件，ISAPI_ReWrite 和GHOST等均可以通过购买或者其他途径来获得。

内蒙古师大计算机与信息工程学院
《计算机网络》课程实验报告
一．实验目的
了解Internet信息服务及安装方法，掌握虚拟目录的概念及添加方法。

掌握Web站点的创建及属性设置。

二．实验说明
1．安装Internet信息服务。

2．建立和配置Web服务器。

三．实验注意
1．按照要求完成各实验项目。

2．详细记录操作过程中的每一个步骤，包括命令、菜单的选项以及各种设置。

四．实验记录
1. IIS组件的安装。

2. 进入虚拟机。

因为机器已安装了IIS，所以，我们不用对其进行安装设置，可通过控制面板直接使用IIS，如图1。

图1 以下图2是IIS的操作界面：
图2 在网站下新建一个网站设置过程如图3~图6：图3是设置网站的站点名：
图4是设置网站IP异界TCP端口值：
图4
图5是设置主目录路径：
图5 图6是设置访问权限：
图6
设置成功过后可在网站下生成如图7所示的新站点：
图7
可以通过网站的属性面板对其根目录、网站IP等进行修改：
图8
在网站属性中的文档可以选中单一的或多个默认内容页：
图9
以上就是一个静态网站的设置过程，我们可以通过浏览器访问该网站，检测网站是否成功建立：
图10
因为设置的TCP端口设置为了8000，但是默认端口是80，所以在没选择端口的情况下访问的是默认网站的站点。

在添加完选择端口之后就能进入你自己所建立的网站了：
图11。

windows2003服务---证书服务在访问Web站点时，如果没有较强的安全措施，用户访问的数据是可以使用网络工具捕获并分析出来的。

在Web站点的身份验证中，有一种基本身份验证，要求用户访问输入用户名和密码时，是以明文形式发送密码的，蓄意破坏安全性的人可以使用协议分析程序破译出用户名和密码。

那我们该如果避免呢？可利用SSL通信协议，在Web服务器上启用安全通道以实现高安全性。

试验拓扑在安装证书服务之前，我已经在服务器上建了WEB站点，并配置了DNS服务器。

一：安装证书服务·打开“控制面板”---“添加/删除windows组件”。

勾选“证书服务”复选框·企业根CA：需要AD服务，即计算机在活动目录中才可以。

企业从属CA：域中的另一台证书服务器上独立根CA：服务器可以在AD中，也可以不在AD中。

·在此CA的公用名称中输入CA的名称，一般是域名称。

·设置证书数据库以及日志的路径。

（如果要卸载证书服务，必须删除证书数据库，否则无法再次安装证书服务）·安装完成后，会在IIS管理器“默认站点”中添加一虚拟目录。

并在浏览器中输入http:// /certsrv时出现microsoft证书服务页面二：生成证书申请·打开“IIS管理器”右击“默认网站”选择“属性”，在“目录安全性”选项卡下单击“服务器证书”按钮，开始证书的申请。

注：如果可以直接联系到网络中的CA（一般是企业CA），则可以选择“立即将证书请求发送到联机证书颁发机构”，此后就不需要生成证书申请这步了·输入单位信息、部门，单击下一步·公用名称中输入Web站点的域名·填写国家、地区等详细资料·输入“证书请求的文件名”三：申请、下载证书·上一步已经生成了证书的申请，此时我们需要申请证书（如果在生成证书申请中选择“立即将证书请求发送到联机证书颁发机构”，不需要这一步。

计算机网络上机实验学院经济管理学院班级0311001姓名姬玮源丁敏学号2010211504 2010211500实验名称：Windows 2003 server IIS 的配置及加密与数字证书服务的实现 实验目的：1. 了解Windows 2003 server 的特性，功能，熟悉基本应用。

2. 熟悉Windows 2003 server 的配置过程，掌握Windows 2003server 服务器的一般配置与使用方法。

3. 熟悉 Microsoft FrontPage 的环境。

能够使用FrontPage 作出简单网页。

4． 了解数字证书的安装过程。

5． 熟悉CA 证书的创建，管理和应用。

6． 了解并练习TCP/IP 协议的诊断程序。

准备工作每位同学首先要通过运行 ipconfig 命令记下各自所在机子的ip 地址。

并互相告诉对方。

实验环境：1. 做网页的有关资料（压缩资料）在机房网站软件下载上，可用IE 访问并下载。

（ip ：172.22.43.2）实验名称 Windows 2003 server IIS 的配置及加密与数字证书服务的实现实验日期2011~2012第一学期第十一周 星期一7-8节 实验地点 电子商务与网络开发实验室 设备机号 A35 A36 学生姓名姬玮源 学号 2010211504 指导 教师黄蜀江 同学姓名丁敏 学号 20102115002. 每组中，一位同学在D:\下新建两个文件夹：“基本资料”、“webpage”。

另一位同学在D:\下新建两个文件夹：“基本资料”、“webpage”。

3. 开机后每位同学首先要分别创建一个word文档，用来记录自己的基本情况。

包括自己的学号，姓名，机号，机子的ip地址——学号：2010211504姓名：姬玮源机号：A35机子的ip地址：172.22.5.35。

并将各自制作的文档存入D:\基本资料。

实验步骤准备工作单击“开始”，“运行”，输入“ipconfig”命令，然后用纸记下本机的ip地址。

Windows server 2003 SSL 配置SSL(Security Socket Layer,安全套接层)是一种在两台主机之间提供安全通道的协议,其目的是通过加密保护传输的数据并对通信双方进行身份验证,保证两台主机之间的通信安全.SSL最早由网景公司开发的,在目前应用中,广泛采用标准SSLv3.下面先来部署HTTPS有关具体的部署可看之前的文章IIS.这里是针对部署的411网站,点其属性.点服务器证书,开始为网站申请证书.点新建证书.输入证书名称.设置网站的公用名称设置网站所在的地理位置信息点下一步然后按照之前CA部署的文章进行使用生成证书请求文件向CA提供证书申请,然后在CA上颁发证书.下面来看获取和安装网站证书获取的步骤也参看CA部署文章这个是获得的网站证书.然后打开网站属性对话框"目录安全性"选项卡,单击服务器证书.现在来处理挂起的请求并安装证书在此对话框中指定从CA获得的网站证书的文件名称.在此对话框中指定HTTPS的端口,标准端口为443显示了即将安装的网站证书的基本信息.点完成这样早请的网站证书安装就完成了.点查看证书这里有关证书的详细信息下面来看通过HTTPS访问网站登录WEB客户端,并从CA获取CA证书并点击安装下一步这里默认便可以点完成然后单击开始--运行确定在证书管理控制台能够看到安装的CA证书.单击开始--控制面板--INTERNET选项,打开INTERNET属性对话框,单击内容标签.单击证书也能够看到安装的CA证书下面来配置网站只接受HTTPS访问在WEB服务器上点安全通信中的编辑,选中"要求安全通道"并忽略客户端证书.然后在客户端打开浏览器访问WEB服务器.可以看到要用HTTPS为通信协议的URL才能成功访问. 配置HTTPS的加密强度并勾选要求128位加密访问成功配置HTTPS执行双向认证默认情况下,HTTPS单向认证的模式工作,即客户端通过网站证书来验证网站的身份,但网站并不验证客户端的身份,如果需要通过证书验证客户端身份,则可以要求试图访问网站的客户端必须提供证书才能进行访问,执行双向认证时,网站将只接受HTTPS访问选择要求客户端证书然后要向CA申请WEB浏览器证书.点WEB浏览器证书中间的过程就省略了,之前文章已介绍过然后点安装此证书点是在HTTPS执行双向认证的过程中,默认情况下,网站收到客户端提供的证书后会检查CRL以验证该证书是否被吊销,如果未能联系到CA或未能检查到CRL,因而无法确认客户端证书的吊销状态,则将拒绝该证书,可以配置指定网站在收到客户端证书后不检查CRL.certchechmode的默认值为0,即网站需检查CRL,将其值设置为1,则网站不再检查CRL.通过证书对访问网站的用户进行身份验证通过将客户端证书映射到WEB服务器上的WINDOWS用户帐户,可以建立证书与用户账户关联,基于这种关系,网站通过验证证书即可验证该证书使用者的用户身份,当用户使用客户端证书登录时,WEB服务器就会自动将用户与相应的WINDOWS用户账户关联起来启用客户端证书映射单击编辑点添加确定配置HTTPS启用证书信任列表点新建下一步选择要添加的CA证书下一步输入名称点完成完成.配置和管理CA这里可以启动和停止服务.方法二可以在"服务"里面关掉相应的服务,方法三可以使用NET START和NET STOP命令.点击备份下一步两个都打上勾,选择备份的位置下一步便可设置访问私钥和CA证书的密码,下一步便开始备份. 下面看下吊销证书如果需要使作为信任安全凭据的证书在自然过期之前便作废,就需要吊销证书. 点吊销证书可选择吊销的理由.有多种点击吊销证书的属性.这里是设置CRL发布间隔和是否发布增量CRL和其发布间隔.下面看下手工发布CRL和增量CRL点发布点新的CRL点确定下面来看吊销列表常规选项可以看到一些基本的信息下面来看获得CA所发布的最新CRL这是在客户端,点击下一个CA证书,证书或CRL.如图,下载最新的基CRL可看到选中的就是刚才下载的.然后点右键进行安装便是了.下面来看指定证书的分发点CRL分发点作为证书扩展项存于CA颁发的证书之中,心指定实体检索CRL的位置,CRL分发点采用URL的形式,实体通过该URL即可连接到CRL分发点来检索CRL,可以用于CRL分发点URL 包括HTTP,FTP,LDAP或文件地址.点ROOT-CA的属性.点添加.这里输入位置.由CA所颁发的每一个证书都具有有效期限.CA自身也有证书,根CA的证书由其自身颁发.CA 的有效期会影响其所颁发证书的有效期,通常,CA会强行实施一条规则,即CA永远不会颁发超过自己证书的到期时间后仍有效证书因此,当CA的证书达到它的有效期时,它颁发的所有证书也将到期.这样,如果CA因为某种目的没有续订并且CA的有效期时已过,则PKI可以保证当前到期的CA发出的所有证书不于用作有效的安全凭据,即不会存在仍处于有效期内但是其CA已不再有效的"被遗弃"证书.点续订CA证书点否这样便可以看到续订CA颁发的新的CA证书. 点查看证书下面来看ROOT-CA的各项属性选择审核的事情设置权限。

windowsserver2003 WEB服务器系统的安全配置摘要：随着Internet 的广泛使用，如何设置Web 服务器使服务器承载的网站在网络中较为安全的运行，值得我们关注研究。

本文以Windows server 2003 Web 服务器为环境，就本人对Web 服务器的应用经验对WEB服务器系统的安全设置加以阐述和研究。

关键字：WEB 服务器系统安全配置一、开启防火墙，关闭不需要的端口首先开启防火墙，具体做法：本地连接--属性--Internet协议(TCP/IP)--高级，在高级选项卡中使用”Internet连接防火墙”，这是windows 2003 自带的防火墙，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

之后关闭不需要的端口或者增加需要的端口。

笔者一般只开3389，21 ，80 ，1433 端口。

修改远程桌面连接端口，默认的连接端口3389为其他端口，修改注册表.，开始--运行--regedit ，依次展HKEY_LOCAL_MACHINE/SYSTEM /CURRENTCONTROLSET/CONTROL/TERMINALSERVER/WDS/RDPWD/TDS/TCP ，右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/，右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 ) ，需要注意的是：在WINDOWS2003 防火墙里需要添加端口10000 ，修改完毕.重新启动服务器.设置生效。

二、禁用不必要的服务禁用不必要的服务，提高系统的安全性和效率。

开始-运行中输入命令services.msc，会有一系列服务显示出来，其中TCP/IPNetBIOS Helper；Server；Computer Browser ；Task scheduler；Messenger；Distributed File System；Distributed linktracking client；Error reporting service ；Microsoft Serch；NTLMSecuritysupportprovide；PrintSpooler；Remote Registry；Remote Desktop Help Session Manager；Workstation等这些服务可根据自身需求禁用，默认禁用的服务如没特别需要的话不要启动。

Windows2003WEB服务器安装及设置教程本安装及设置教程适用于使用Windows2003为操作系统的服务器，目的是让服务器支持常见网络编程语言包括ASP、PHP、.Net1.1、.Net2.0，支持常见数据库包括Access、MySQL、MSSQL，支持FTP，支持常见组件包括Aspjpeg、Jmail、LyfUpload、动易、ISAPI_ReWrite。

本教程共分八篇：系统安装与设置篇、软件安装与设置篇、文件及文件夹权限篇、系统服务篇、安全策略篇、系统组件篇、注册表篇、软件安全篇。

本篇讨论的是第一篇：系统安装与设置一、系统准备需要的软件：Windows2003原版安装文件、Windows2003补丁集、服务器硬件驱动、SQLSERVER2000安装文件、SQLSERVER2000SP4，MySQL 安装文件，PHP安装文件，ZendOptimizer安装文件，Serv_U（可选），Aspjpeg，Jmail，LyfUpload，动易组件，ISAPI_ReWrite，GHOST。

Windows2003和SQLSERVER2000安装文件可以购买正版光盘或其他途径获得。

Windows2003最好是原版，SQLSERVER2000可以选择企业版或者标准版。

Windows2003补丁集包括Windows2003SP2和SP2后的补丁。

先从微软网站或其他下载站下载Windows2003SP2，再从下载站下载Windows2003SP2补丁集，现在（2008年2月）已经可以找到包含至2008年2月份之前所有补丁的补丁集。

SQLSERVER2000SP4可以直接从微软网站下载获得，或者从下载站下载获得。

服务器硬件驱动应该在购买服务器的同时附带了。

MySQL安装文件，PHP安装文件，ZendOptimizer安装文件可以到其官方网站免费下载，或到其他下载网站获得。

Serv_U，Aspjpeg，Jmail，LyfUpload，动易组件，ISAPI_ReWrite 和GHOST等均可以通过购买或者其他途径来获得。