实验5-IIS安全与SSL实验指导
信息安全技术实验指导:实验5 IIS安全和SSL实验5 IIS安全和SSL【实验目的】1. 熟悉IIS 的搭建;2. 熟练处理IIS 和NTFS 的权限问题;3. 掌握CA 服务器的搭建;4. 掌握
信息安全技术实验指导:实验5 IIS安全和SSL
实验5 IIS安全和SSL
【实验目的】
1. 熟悉IIS 的搭建;
2. 熟练处理IIS 和NTFS 的权限问题;
3. 掌握CA 服务器的搭建;
4. 掌握在IIS 上启用SSL 的方法;
5. 了解SSL 的构架;
6. 了解SSL 的简单策略和交互策略的区别;
【实验环境】
Client (宿主机):windows XP、VWare7.0、网络连接VMnet1(Host-only )
CAserver :Windows Server2003、IIS6.0、CA 服务、网络连接VMnet1(Host-only ) WEBserver :Windows Server2003、IIS6.0、网络连接VMnet1(Host-only )
【网络示意图】
图5-1
【实验内容】
步骤一:创建实验环境。
1. 在实验二提及的个人文件夹下创建实验目录,命名为『实验五』;
2. 将学生机上已有的Windows Server2003镜像拷贝到『实验五』(如本机无Windows Server
2003镜像,则创建和安装一台操作系统为Windows Server 2003的虚拟机);
3. 本实验需要两台windows server2003虚拟机,克隆该镜像,克隆文件也存放在『实验五』; y e t i w /t w t p :/t h c . o i b n /m o y h p m y
- 1 -
,信息安全技术实验指导:实验5 IIS安全和SSL
步骤二:构造有一台工作站和两台服务器的虚拟子网,如图5-1所示网络环境。
4. 打开两台虚拟机的镜像文件,在启动前确保网卡设置的网络连接为VMnet1(host-only );
5. 打开Virtual Network Editor,停止VMnet1的DHCP ;
6. 启动两台虚拟机,由于一台为另外一台的克隆机,计算机名和IP 地址会产生冲突,请
修改两台虚拟机的计算机名分别为:CAserver 和WEBserver ,并修改IP 地址为:192.168.X.2和192.168.X.3,如上图,VMnet1的网段是192.168.64.0,则相应IP 地址为192.168.64.2和192.168.64.3;
7. 将宿主机的VMnet1虚拟网卡对应的IP 地址设为192.168.X.1,注意:不要改动物理网
卡的IP 地址,改动物理网卡地址将影响本机连接到机房内网。例如,VMnet1的网段是192.168.64.0,则把宿主机相应虚拟网卡的IP 地址设置为192.168.64.1;
8. 测试网络的连通性;
步骤三:在承担CA 服务的CAserver 上构建CA 机构服务。
9. 在CAserver 上安装IIS :控制面板——添加或删除程序——添加/删除windows 组件,在
弹出的“windows 组件向导”对话框,选择“应用程序服务器”,展开“详细信息”,对需要的组件进行选择,如图5-2;
y e t i w /t w t p :/t h c . o i b 图5-2 n /m o y h p m y
10. 由于本CA 服务器提供的网页服务含ASP 网页,必须确保ASP 组件被选上:在“应用
程序服务器”展开的“详细信息”里,选择“Internet 信息服务”并展开下一级的“详细信息”,选择里面的“万维网服务”的“详细信息”,确保勾选子组件ASP ,如图5-3;
- 2 -
,信息安全技术实验指导:实验5 IIS安全和
SSL
图5-3
11. 在CAserver 上安装证书服务:
(1) 控制面板——添加或删除程序——添加/删除windows 组件,在弹出的
“windows 组件向导”对话框,选择“证书服务”并安装,如图5-4。注意,安装证书服务后,计算机名和域成员身份不能改变;
y e t i w /t w t p :/t h
c . o i b n /m o y h p m y 图5-4
- 3 -
,信息安全技术实验指导:实验5 IIS安全和SSL
(2) 在安装向导的CA 类型对话框中,选中 ◎独立根CA (S ),如图5-5;
图5-5
(3) 在CA 识别信息对话框中,填写CA 的公用名称和有效期限,如图5-6; y e t i w /t w t p :/t h
c . o i b 图5-6 n /m o y h p m y
- 4 -
,信息安全技术实验指导:实验5 IIS安全和SSL
(4) 在证书数据库设置对话框,设置证书数据库、日志和配置信息的存储位置,
一般使用默认值设置,如图5-7;
图5-7
(5) 开始安装证书服务。注意,安装证书服务前,应先暂停IIS 服务,请按系
统提示操作;
(6) 完成安装后,确保IIS 服务和证书服务正常启用,IIS 服务对应“控制面板
——管理工具——Internet 信息服务管理器”,证书服务为“证书颁发机构”,此时,IIS 下网站内容如图5-8;
y e t i w /t w t p :/t h c . o i b n /m o y h p m y
图5-8
- 5 -
,信息安全技术实验指导:实验5 IIS安全和SSL
步骤四:在承担WEB 服务的WEBserver 上构建IIS 服务。
12. 参考步骤三的第9、10步,在WEBserver 上安装IIS6.0;
13. 把范例网站复制到WEBserver 上,在IIS 服务界面配置网站属性,如图5-9;
14. 在目录安全性选项卡,编辑身份验证和访问控制,启用匿名访问和取消身份验证,如图
5-10;
15. 配置网站存储位置相应的NTFS 属性,以使互联网上用户能有相应的权限浏览和使用网
站;
16. 在WEBserver 及宿主机通过IE 访问WEBserver 上发布的网站,测试网站是否能够通过
【注意】本范例网站为ASP 网页,大部分网页只需要读取权限,个别网页还需要写入权限,请根据页面内容自行设置。若设置后浏览不正常,请参考本实验指导末尾的“【注意】本实验过程容易出现的问题和解决办法”。
y e t i w /t w t p :/t h
c . o i b 图5-9n /m o y h p m y
- 6 -
,信息安全技术实验指导:实验5 IIS安全和
SSL
图5-10
y e t i w /t w t p :/t h 步骤五:为WEBserver 申请服务器证书。 17. 在WEBserver 上生成服务器证书 (1) 在网站属性选择“目录安全性”选项卡,单击“安全通信”的“服务器证书”按钮,如图5-11,使用WEB 服务器证书向导生成证书; (2) 选择网站分配证书的方法是:新建证书,如图5-12; (3) 为网站证书输入一个便于识别和记忆的名称,并指定密钥长度,建议用缺省值,如图5-13; (4) 输入网站所有单位(维护单位)的企业信息,如图5-14; (5) 输入网站公用名称,如图5-15,注意,如果该WEB 服务器拥有一个合法域名,
则公用名称设置为该域名,在本实验,公用名称设置为本虚拟机的NetBIOS 名(主机名),即缺省值所示,若计算机的公用名称发生变化,则须重新生成证书;
(6) 填写网站服务器的地理信息,如图5-16;
(7) 如图5-17,指定生成证书的存放路径和文件名;
(8) 最后审核填写的证书信息,完成证书生成。
c . o i b n /m o y h p m y
- 7 -
,信息安全技术实验指导:实验5 IIS安全和
SSL
图5-11
y e t i w /t w t p :/t h c . o i b n /m o y h p m y
图5-12
- 8 -
,信息安全技术实验指导:实验5 IIS安全和
SSL
y e t i w /t w t p :/t h
图5-13 c . o i b n /m o y h p m y 图5-14
- 9 -
,信息安全技术实验指导:实验5 IIS安全和
SSL
图5-15
y e t i w /t w t p :/t h c . o i b
图5-16
- 10 - n /m o y h p m y