IIS7下配置SSL的方法分析
2024-08-29 03:12:41
供稿:網友
在IIS7中����,HTTP.sys在內核模式下操作SSL加密解密,相對于IIS6����,這種方式能提高近20%的性能。
當SSL運行于內核模式時���,會將SSL綁定信息保存在兩個地方��。第一個地方���,綁定配置保存在%windir%/System32/inetsrv/config/applicationHost.config中,當站點啟動時�����,IIS7發送綁定信息給HTTP.sys��,同時HTTP.sys會在特定的IP和端口監聽請求��。第二個地方���,與綁定相關聯的SSL配置保存在HTTP.sys配置中�����。使用netsh命令可以查看保存在HTTP.sys的SSL綁定配置:
netsh http show sslcert
當一個客戶開始連接并初始化SSL協商時�,HTTP.sys在它的配置中查找這個IP:Port對應的SSL配置。這個SSL配置必須包括證書hash值和名稱:
l 在ApplicationHost.config中確認這個綁定是否存在
l HTTP.sys中是否包含有效證書的hash值以及命名是否存在
選擇證書時��,需要考慮以下問題:
是否想讓最終用戶能夠通過你提供的證書確認你服務器的唯一性����?
如果是的,則
要么建立一個證書請求�����,并且發送證書請求到證書權威機構(CA)��,比如VeriSign或者GeoTrust���;
要么從Intranet的在線CA那里獲取一個證書
瀏覽器一般用三樣東西來確認服務器證書的有效性:
1. 當前日期在證書的有效期范圍內
2. 證書的“Common Name”(CN)與請求中的主機名相匹配。比如���,如果客戶發起了一個到http://www.contoso.com的請求���,則CN必須是這樣的:http://www.contoso.com/
3. 證書的發行者是已知的和受到信任的CA
如果其中有1項失敗�����,瀏覽器就會警告用戶�。如果你有個Internet站點或者你不怎么熟的Intranet用戶��,那你就需要確保這3項是都通過的�����。
自簽名的證書可以用你自己的計算機創建�。如果最終用戶不重要,或者他們信任你的服務器���,又或者用于測試環境�����,則這種自簽名證書將會非常有用�����。
Ø 使用WMI來綁定SSL證書
使用WMI命名空間�����,是不能夠請求或者創建證書��。
建立SSL綁定
以下腳本展示了如何建立SSL綁定��,以及添加相應信息到HTTP.sys中:
代碼如下:
Set oIIS = GetObject("winmgmts:root/WebAdministration")
'''''''''''''''''''''''''''''''''''''''''''''
' CREATE SSL BINDING
'''''''''''''''''''''''''''''''''''''''''''''
oIIS.Get("SSLBinding").Create _
"*", 443, "4dc67e0ca1d9ac7dd4efb3daaeb15d708c9184f8", "MY"'''''''''''''''''''''''''''''''''''''''''''''
' ADD SSL BINDING TO SITE
'''''''''''''''''''''''''''''''''''''''''''''
Set oBinding = oIIS.Get("BindingElement").SpawnInstance_
oBinding.BindingInformation = "*:443:"
oBinding.Protocol = "https"
Set oSite = oIIS.Get("Site.Name='Default Web Site'")
arrBindings = oSite.Bindings
ReDim Preserve arrBindings(UBound(arrBindings) + 1)
Set arrBindings(UBound(arrBindings)) = oBinding
oSite.Bindings = arrBindings
Set oPath = oSite.Put_
注意:證書的hash值和名稱必須引用了你服務其上真實且有用的證書�����。如果其中有一項虛假����,就會出現錯誤。
