关于IIS的SSL服务配置

深信服SSL VPN快速配置文档
一、用户环境与需求
A公司在阿里云上部署了若干业务服务器，公司内部的业务人员需要访问其中的销售系统，公司内部的运维人员需要访问数据库服务器。

二、设备配置步骤
配置步骤如下：
第一步：进入『SSL VPN设置』→『用户管理』，点击新建，新建两个SSL接入用户，配置完以后点保存，本案例配置界面如下：
第二步：进入『SSL VPN设置』→『资源管理』，新建一个TCP应用。

点击新建，选择TCP应用，设置资源名称，选择资源类型，配置界面如下：
配置资源地址，点击后面的添加按钮，配置完后点击确定，配置界面如下：
第三步：角色关联，即将资源和用户关联，进入『SSL VPN设置』→『角色授权』，点击新建，选择新建角色，配置角色名称，选择关联用户，界面如下：
关联用户，点击后面的选择授权用户按钮，配置完后点击确定，配置界面如下：
进入『编辑授权资源』页面，选择关联资源，界面如下：
配置完以后点保存。

第四步：配置完成后点击【立即生效】，使配置生效。

第五步：用户在浏览器上输入SSL的登录地址，登录界面如下：
第六步：输入用户名密码登录SSL，便可以看到资源列表，界面如下：
这时，用户就可以访问被关联的资源了。

SSL Certificates in VMware View 5.1Windows主域控制器必需安装下列角色：1. IIS2. Certification Authority(证书颁发机构单位)3. Certification Authority Web Enrollment(证书颁发机构单位Web 注册)第2、3就是指Active Directory凭证服务方法A步骤：一、于Windows Server 2008 AD服务器内安装下列角色1. IIS，需「含IIS客户端凭证对应验证」与「客户端凭证对应验证」。

2. Active Directory 凭证服务。

需勾选「证书颁发机构单位」与「证书颁发机构单位网页注册」，重开机如下图。

假如AD DS并非使用FQDN为域名，而以Domain.local为域名时，在AD CS设定过程中「CA名称」一定要改成FQDN格式以便凭证可以被正确解析，尤其是Common Name字段，如下图。

注意的外部必需能正确解析这个FQDN才行。

同上，以Domain.local为域名且Command Name以FQDN为名时，在安装好AD CS后必需进「系统管理工具」->「证书颁发机构单位」，打开域名内容修改「延伸」项下"CRL发布点"与"授权信息存取AIA"的http与file如下图。

以http为例，默认值是http://<ServerDNSName>/CertEnroll/<CaName>< CRLNameSuffix><DeltaCRLAllowed>.crl，其结果变成http://myad/CertEnroll/.tw.crl，如此一来网外就无法解析这个地址。

必需改成http://正确的FQDN/CertEnroll/<CaName>< CRLNameSuffix><DeltaCRLAllowed>.crl 才行，如下图即是改后的结果。

WINDOWS SERVER 2003证书配置目录WINDOWS SERVER 2003证书配置 (1)一、证书组件安装 (1)1.首先在服务器上安装IIS组件,并配置WEB站点: (2)2.使用IE浏览器输入IP地址访问本地站点: (7)3.在服务器上安装CA组件: (8)4.使用IIS查看默认站点多出关于CA证书的列表: (18)5.证书颁发机构 (18)二、客户端安装证书 (20)1．申请数字证书 (20)2. CA证书颁发 (30)3.打开证书颁发机构查看: (32)三、在WEB服务器上设置SSL (32)1.生成证书申请: (32)2.提交证书申请: (43)3.颁发证书: (50)4.在使用WEB形式访问证书申请页面,并选择下载证书: (54)5.在WEB服务器上安装证书: (55)四、练习 (60)1.启用安全通道(SSL): (60)2.使用HTTPS方式访问站点 (62)一、证书组件安装1.首先在服务器上安装IIS组件,并配置WEB站点:并配置WEB服务器:2.使用IE浏览器输入IP地址访问本地站点:3.在服务器上安装CA组件:因为没有AD(活动目录),所以只能创建独立CA,又因为是第一个CA,所以选择独立根CA,并选择自定义安装:配置"公钥/私钥对",保持默认即可:设置CA名字和使用年限:选择证书数据库及其日志信息的位置:安装证书时需要停止INTERNET信息服务:起用ASP支持:完成CA的安装:4.使用IIS查看默认站点多出关于CA证书的列表:5.证书颁发机构开始》》》管理工具》》》证书颁发机构，打开如下窗口：我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。

此时该服务器（CA）的IIS下多出以下几项：我们可以通过在浏览器中输入以下网址进行数字证书的申请：http://hostname/certsrv或http://hostip/certsrv申请界面如下：二、客户端安装证书1．申请数字证书在IE地址栏中输入证书服务系统的地址，进入服务主页：点击‘申请一个证书’进入申请页面：如果证书用作客户端身份认证，则可点击‘Web浏览器证书’或‘高级证书申请’，一般用户申请‘Web浏览器证书’即可，‘高级证书申请’里有更多选项，也就有很多专业术语，高级用户也可点击进入进行申请。

在Windows 2008R2配置WEB服务器本文档主要介绍如何在Windows 2008R2配置WEB服务器的详细步骤和操作。

以下是各个章节的具体内容：一、服务器准备工作1.确认操作系统为Windows 2008R2版本。

2.安装所需的硬件设备，如网卡、硬盘等。

3.进行操作系统的基本配置，如设置IP地质、网络连接等。

二、安装IIS服务1.打开服务器管理器。

2.在“角色”中选择“添加角色”。

3.选择“Web服务器（IIS）”角色并进行安装。

4.按照向导完成IIS的安装过程。

三、配置网站1.打开IIS管理器。

2.创建一个新的网站。

3.配置网站的基本信息，如网站名称、物理路径等。

4.配置网站的访问权限和认证方式。

5.配置网站的绑定信息，如IP地质、端口号等。

四、设置虚拟目录1.打开IIS管理器。

2.在相应的网站节点上创建虚拟目录。

3.配置虚拟目录的基本信息，如虚拟路径、物理路径等。

4.配置虚拟目录的访问权限和认证方式。

五、配置应用程序池1.打开IIS管理器。

2.在相应的网站节点上创建应用程序池。

3.配置应用程序池的基本信息，如名称、.NET版本等。

4.配置应用程序池的高级设置，如内存限制、进程模型等。

六、配置安全性1.打开IIS管理器。

2.配置网站和应用程序池的身份验证方式。

3.配置网站和应用程序池的权限。

4.配置SSL证书以实现安全传输。

七、配置日志记录1.打开IIS管理器。

2.配置网站和应用程序池的日志记录方式。

3.配置日志记录的格式和位置。

八、测试和优化1.使用浏览器访问配置好的网站。

2.进行性能测试并优化性能参数。

3.定期维护和监控服务器，确保WEB服务器的稳定运行。

附件：1.示例代码和配置文件。

2.相关参考文档。

法律名词及注释：1.操作系统：计算机系统的核心软件，负责管理计算机硬件和软件资源。

2.IIS（Internet Information Services）：Windows操作系统中的一种网络服务器软件。

一、IHS单向认证1、设置IBM HTTP Server加入SSL的HTTPS功能编辑HTTPServer配置文件：C:\Program Files\IBM\HTTPServer\conf\httpd.conf 在此文件最后加入以下几行：#####################Begin the SSL Config ########################## LoadModule ibm_ssl_module modules/mod_ibm_ssl.so<IfModule mod_ibm_ssl.c>Listen 443<VirtualHost 0.0.0.0:443>SSLEnableErrorLog logs/error_logSSLClientAuth none</VirtualHost></IfModule>SSLDisableKeyfile "C:/Program Files/IBM/HTTPServer/ssl/key.kdb"SSLV2Timeout 100SSLV3Timeout 1000###################### End of SSL Config ########################### 2、设置IBM HTTP Server加入SSL的HTTPS功能(1) 在C:\Program Files\IBM\HTTPServer\bin路径下执行ikeyman.bat文件。

(2) 新建Web Server的SSL密钥数据库文件(3)(4) 输入密钥文件保护密码，一定要选择“将口令保存到文件中”(5)(6) 创建新的自签证书(7) 填入必要信息(8)3、启动IBM HTTP Server验证HTTPS功能至此，HIS与WAS间的单向信任建立完毕。

二、IHS双向认证1、设置IBM HTTP Server加入SSL的HTTPS功能编辑HTTPServer配置文件：C:\Program Files\IBM\HTTPServer\conf\httpd.conf 在此文件最后加入以下几行：#####################Begin the SSL Config ########################## LoadModule ibm_ssl_module modules/mod_ibm_ssl.so<IfModule mod_ibm_ssl.c>Listen 9443<VirtualHost 0.0.0.0:9443>SSLEnableErrorLog logs/error_logSSLClientAuth required</VirtualHost></IfModule>SSLDisableKeyfile "C:/Program Files/IBM/HTTPServer/ssl/key.kdb"SSLV2Timeout 100SSLV3Timeout 1000###################### End of SSL Config ###########################2、设置IBM HTTP Server加入SSL的HTTPS功能这里前面的步骤同单向认证中(1)～(8)里的步骤，只是后面需要再在证书库里导入测试证书信息。

1、1 安装IIS服务Ucp是通过WEB 界面来提供服务的，所以要启用UCP 服务，就要利用WINDOWS IIS 服务安装成功后，在IIS 的管理控制台上会有一个默认网站，(本例中就利用这个默认网站)其主目录是c:\inetpub\wwwroot在主目录下创建两个新目录c:\inetpub\wwwroot\SECUREc:\inetpub\wwwroot\SECURECGI-BIN正对默认网站建立两个虚拟目录，目录别名是SECURE 和SECURECGI-BIN（别名的用途是便于记忆，方便登陆UCP 的时候使用）,对应的真实目录分别是先前建立的目录c:\inetpub\wwwroot\SECUREc:\inetpub\wwwroot\SECURECGI-BIN 权限分别是只读|只读/执行在后面的UCP 的安装中要用到这些目录在IIS 的管理台的WEB 服务扩展上允许ACTIVE SERVER PAGES 和位置的CGI扩展（IIS 的默认安装是禁止）2、在WINDOWS2003 上安装CA 服务安装的时候选择独立的根证书，目的就是自己创建一个CA提供证书服务。

可以给别人颁发证书（本例的目的是为IIS 的SSL 服务提供证书服务）。

因为CA 的服务也是通过WEB来提供，所以要注意在安装CA 之前，要先装好IIS (第一步已经做了)实际上，在安装证书服务过程中会生成一个证书服务的证书，一个自己颁给自己的证书作为这个CA的根证书：在启用IIS 的SSL 的时候，不用从新申请证书，也可以直接导入这个证书（自己的理解）3、启用IIS 的SSL (强制)3.1、生成证书申请文件点击在默认网站的属性中，“目录安全性”--“服务器证书”，选新建证书：一步步执行，根据提示填入必要的信息向导使用当前Web 站点名称作为默认名称。

它不在证书中使用，但作为友好名称以助于管理员识别单位和部门，这些信息将放在证书申请中，因此应确保它的正确性。

sslvpn配置方法要配置SSL VPN（Secure Socket Layer Virtual Private Network），需要完成以下步骤：1. 选择和安装SSL VPN服务器软件： SSL VPN服务器软件有很多选择，如OpenVPN、Cisco AnyConnect、Pulse Secure等。

根据你的需求选择并安装适合的SSL VPN服务器软件。

2. 获取并安装SSL证书：为了建立SSL VPN连接，你需要获得一个有效的SSL证书。

你可以购买证书，或者使用自签名证书。

安装该证书到SSL VPN服务器上，确保服务器能够识别证书。

3. 配置SSL VPN服务器：根据所选择的SSL VPN服务器软件，配置服务器的设置。

常见的配置选项包括端口、身份验证方法、访问控制等。

4. 配置用户和权限：配置SSL VPN服务器以允许特定用户登录，并分配适当的权限。

这可以通过用户名/密码身份验证、双因素身份验证等方式实现。

5. 配置网络资源访问：配置SSL VPN服务器以允许用户访问特定的内部资源，例如内部网络、文件共享、应用程序等。

确保适当的网络和安全设置已经完成。

6. 测试和调试：一旦配置完成，测试SSL VPN连接以确保连接成功，并且用户能够访问所需的资源。

如果有任何问题，检查并修复配置错误。

7. 管理和维护：定期维护和监控SSL VPN服务器，确保其稳定性和安全性。

及时更新SSL VPN软件和证书，定期审查和更新访问控制列表。

请注意，以上步骤只是基本的配置方法。

具体的配置方法和步骤可能会因SSL VPN服务器软件的不同而有所不同。

建议查阅所使用的SSL VPN服务器软件的官方文档或向相应的厂商咨询以获取更详细的配置说明。

IISExpress简介当前程序员只能通过下⾯两种Web服务器之⼀来开发和测试⽹站程序：1. Visual Studio⾃带的开发服务器（webdev.exe）。

2. Windows⾃带的IIS Web服务器。

上⾯两个⽅案各有优缺点，⽽且很多程序员告诉我们：“我希望有⼀个像开发服务器那样容易使⽤，但是功能⼜跟IIS⼀样强⼤的服务器”。

今天我很⾼兴地宣布，我们将提供另⼀个新的、免费的、综合了前两个⽅案的优点的选择—IIS Express，它的出现使得开发和运⾏⽹站程序变得更为容易。

IIS Express⽀持VS 2010和Visual Web Develop 2010 Express，可以运⾏在Windows XP和更⾼的版本上，它不需要管理员权限即可运⾏，也不要求代码做任何的改动。

你可以⽤它开发所有类型的程序，⽽且它还⽀持完整的IIS 7.x功能集。

现有⽅案在详细介绍IIS Express之前，我们先来看看开发服务器和IIS的⼯作⽅式。

开发服务器Visual Studio⾃带的开发服务器（开发代号“Cassini”）的优势在于简练和便于快速启动。

它不需要监听远程连接请求（因此在⼤部分企业的安全⽹络环境中都可以使⽤它），你甚⾄都不需要使⽤管理员账号就能启动它，⽽且它也不要求额外的安装步骤。

正是因为具备启动⽅便这⼀巨⼤优势，才使得它成为项⽬的默认服务器，当你在Visual Studio中按下F5时就会启动它。

但开发服务器的缺点是它不提供完整的Web服务器功能。

⽐如说，它不⽀持SSL，URL重写规则（例如我在这篇提到的），⾃定义安全设置，和其它在IIS 7中⽀持的功能。

IIS Web服务器⽤Visual Studio运⾏和测试程序还有第⼆个选择— IIS。

你可以通过右键单击Visual studio中的Web项⽬，打开它的属性（在属性窗⼝中单击“Web”标签）来配置Web⼯程使⽤IIS。

使⽤IIS作为你的开发服务器允许你测试完整的Web服务器具备的功能（SSL，URL重写规则等）。

Windows Server 2008上使用IIS搭建WEB服务器、客户端的数字证书应用（一）一、什么是数字证书及作用？数字证书就是互联网通讯中标志（证明）通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。

它是由一个由权威机构-----CA 机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。

数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。

最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。

常用的密钥包括一个公开的密钥和一个私有的密钥即一组密钥对，当信息使用公钥加密并通过网络传输到目标主机后，目标主机必需使用对应的私钥才能解密使用。

使用它主要是为了提高IT系统在敏感数据应用领域的安全性，为用户业务提供更高安全保障；注：数字证书，下面均简称证书；二、如何搭建证书服务器？搭建证书服务器步骤如下：1、登陆Windows Server 2008服务器；2、打开【服务器管理器】；（图2）3、点击【添加角色】，之后点击【下一步】；（图3）4、找到【Active Directory证书服务】勾选此选项，之后点击【下一步】；（图4）5、进入证书服务简介界面，点击【下一步】；（图5）6、将证书颁发机构、证书颁发机构WEB注册勾选上，然后点击【下一步】；（图6）7、勾选【独立】选项，点击【下一步】；（由于不在域管理中创建，直接默认为：“独立”）(图7)8、首次创建，勾选【根CA】，之后点击【下一步】；（图8）9、首次创建勾选【新建私钥】，之后点击【下一步】；（图9）10、默认，继续点击【下一步】；（图10）11、默认，继续点击【下一步】；（图11）12、默认，继续点击【下一步】；（图12）13、默认，继续点击【下一步】；（图13）14、点击【安装】；（图14）15、点击【关闭】，证书服务器安装完成；（图15）Wind ows Server 2008上使用IIS如何配置WEB服务器上证书应用（SSL应用）？此应用用于提高WEB站点的安全访问级别；配置后应用站点可实现安全的服务器至客户端的信道访问；此信道将拥有基于SSL证书加密的HTTP安全通道，保证双方通信数据的完整性，使客户端至服务器端的访问更加安全；注：以证书服务器创建的WEB站点为示例，搭建WEB服务器端SSL证书应用步骤如下：1、打开IIS，WEB服务器，找到【服务器证书】并选中；（图1）2、点击【服务器证书】，找到【创建证书申请】项；（图2）3、单击【创建证书申请】，打开【创建证书申请】后，填写相关文本框，填写中需要注意的是：“通用名称”必需填写本机IP或域名，其它项则可以自行填写；注：下面的192.168.1.203为示例机IP地址，实际IP地址需根据每人主机IP自行填写；填写完后，单击【下一步】；（图3）4、默认，点击【下一步】；（图4）5、选择并填写需要生成文件的保存路径与文件名, 此文件后期将会被使用；（保存位置、文件名可以自行设定），之后点击【完成】，此配置完成，子界面会关闭；（图5）6、接下来，点击IE（浏览器），访问：http://192.168.1.203/certsrv/；注：此处的192.168.1.203为示例机IP地址，实际IP地址需根据每人主机IP自行填写；（图6-1）此时会出现证书服务页面；此网站如果点击【申请证书】，进入下一界面点击【高级证书申请】，进入下一界面点击【创建并向此CA提交一个申请】，进入下一界面，此时会弹出一个提示窗口：“为了完成证书注册，必须将该CA的网站配置为使用HTTPS身份验证”；也就是必须将HTTP网站配置为HTTPS的网站，才能正常访问当前网页及功能；（图6-2）在进行后继内容前，相关术语名词解释：HTTPS（全称：Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。