信息安全技術實驗指導：實驗5 IIS安全和SSL實驗5 IIS安全和SSL【實驗目的】1. 熟悉IIS 的搭建；2. 熟練處理IIS 和NTFS 的權限問題；3. 掌握CA 服務器的搭建；4. 掌握

信息安全技術實驗指導：實驗5 IIS安全和SSL

實驗5 IIS安全和SSL

【實驗目的】

1. 熟悉IIS 的搭建；

2. 熟練處理IIS 和NTFS 的權限問題；

3. 掌握CA 服務器的搭建；

4. 掌握在IIS 上啟用SSL 的方法；

5. 了解SSL 的構架；

6. 了解SSL 的簡單策略和交互策略的區(qū)別；

【實驗環(huán)境】

Client （宿主機）：windows XP、VWare7.0、網(wǎng)絡連接VMnet1（Host-only ）

CAserver ：Windows Server2003、IIS6.0、CA 服務、網(wǎng)絡連接VMnet1（Host-only ） WEBserver ：Windows Server2003、IIS6.0、網(wǎng)絡連接VMnet1（Host-only ）

【網(wǎng)絡示意圖】

圖5-1

【實驗內(nèi)容】

步驟一：創(chuàng)建實驗環(huán)境。

1. 在實驗二提及的個人文件夾下創(chuàng)建實驗目錄，命名為『實驗五』；

2. 將學生機上已有的Windows Server2003鏡像拷貝到『實驗五』（如本機無Windows Server

2003鏡像，則創(chuàng)建和安裝一臺操作系統(tǒng)為Windows Server 2003的虛擬機）；

3. 本實驗需要兩臺windows server2003虛擬機，克隆該鏡像，克隆文件也存放在『實驗五』； y e t i w /t w t p :/t h c . o i b n /m o y h p m y

- 1 -

信息安全技術實驗指導：實驗5 IIS安全和SSL

步驟二：構造有一臺工作站和兩臺服務器的虛擬子網(wǎng)，如圖5-1所示網(wǎng)絡環(huán)境。

4. 打開兩臺虛擬機的鏡像文件，在啟動前確保網(wǎng)卡設置的網(wǎng)絡連接為VMnet1（host-only ）；

5. 打開Virtual Network Editor，停止VMnet1的DHCP ；

6. 啟動兩臺虛擬機，由于一臺為另外一臺的克隆機，計算機名和IP 地址會產(chǎn)生沖突，請

修改兩臺虛擬機的計算機名分別為：CAserver 和WEBserver ，并修改IP 地址為：192.168.X.2和192.168.X.3，如上圖，VMnet1的網(wǎng)段是192.168.64.0，則相應IP 地址為192.168.64.2和192.168.64.3；

7. 將宿主機的VMnet1虛擬網(wǎng)卡對應的IP 地址設為192.168.X.1，注意：不要改動物理網(wǎng)

卡的IP 地址，改動物理網(wǎng)卡地址將影響本機連接到機房內(nèi)網(wǎng)。例如，VMnet1的網(wǎng)段是192.168.64.0，則把宿主機相應虛擬網(wǎng)卡的IP 地址設置為192.168.64.1；

8. 測試網(wǎng)絡的連通性；

步驟三：在承擔CA 服務的CAserver 上構建CA 機構服務。

9. 在CAserver 上安裝IIS ：控制面板——添加或刪除程序——添加/刪除windows 組件，在

彈出的“windows 組件向導”對話框，選擇“應用程序服務器”，展開“詳細信息”，對需要的組件進行選擇，如圖5-2；

y e t i w /t w t p :/t h c . o i b 圖5-2 n /m o y h p m y

10. 由于本CA 服務器提供的網(wǎng)頁服務含ASP 網(wǎng)頁，必須確保ASP 組件被選上：在“應用

程序服務器”展開的“詳細信息”里，選擇“Internet 信息服務”并展開下一級的“詳細信息”，選擇里面的“萬維網(wǎng)服務”的“詳細信息”，確保勾選子組件ASP ，如圖5-3；

- 2 -

信息安全技術實驗指導：實驗5 IIS安全和

SSL

圖5-3

11. 在CAserver 上安裝證書服務：

（1） 控制面板——添加或刪除程序——添加/刪除windows 組件，在彈出的

“windows 組件向導”對話框，選擇“證書服務”并安裝，如圖5-4。注意，安裝證書服務后，計算機名和域成員身份不能改變；

y e t i w /t w t p :/t h

c . o i b n /m o y h p m y 圖5-4

- 3 -

信息安全技術實驗指導：實驗5 IIS安全和SSL

（2） 在安裝向導的CA 類型對話框中，選中 ◎獨立根CA （S ），如圖5-5；

圖5-5

（3） 在CA 識別信息對話框中，填寫CA 的公用名稱和有效期限，如圖5-6； y e t i w /t w t p :/t h

c . o i b 圖5-6 n /m o y h p m y

- 4 -

信息安全技術實驗指導：實驗5 IIS安全和SSL

（4） 在證書數(shù)據(jù)庫設置對話框，設置證書數(shù)據(jù)庫、日志和配置信息的存儲位置，

一般使用默認值設置，如圖5-7；

圖5-7

（5） 開始安裝證書服務。注意，安裝證書服務前，應先暫停IIS 服務，請按系

統(tǒng)提示操作；

（6） 完成安裝后，確保IIS 服務和證書服務正常啟用，IIS 服務對應“控制面板

——管理工具——Internet 信息服務管理器”，證書服務為“證書頒發(fā)機構”，此時，IIS 下網(wǎng)站內(nèi)容如圖5-8；

y e t i w /t w t p :/t h c . o i b n /m o y h p m y

圖5-8

- 5 -

信息安全技術實驗指導：實驗5 IIS安全和SSL

步驟四：在承擔WEB 服務的WEBserver 上構建IIS 服務。

12. 參考步驟三的第9、10步，在WEBserver 上安裝IIS6.0；

13. 把范例網(wǎng)站復制到WEBserver 上，在IIS 服務界面配置網(wǎng)站屬性，如圖5-9；

14. 在目錄安全性選項卡，編輯身份驗證和訪問控制，啟用匿名訪問和取消身份驗證，如圖

5-10；

15. 配置網(wǎng)站存儲位置相應的NTFS 屬性，以使互聯(lián)網(wǎng)上用戶能有相應的權限瀏覽和使用網(wǎng)

站；

16. 在WEBserver 及宿主機通過IE 訪問WEBserver 上發(fā)布的網(wǎng)站，測試網(wǎng)站是否能夠通過

【注意】本范例網(wǎng)站為ASP 網(wǎng)頁，大部分網(wǎng)頁只需要讀取權限，個別網(wǎng)頁還需要寫入權限，請根據(jù)頁面內(nèi)容自行設置。若設置后瀏覽不正常，請參考本實驗指導末尾的“【注意】本實驗過程容易出現(xiàn)的問題和解決辦法”。

y e t i w /t w t p :/t h

c . o i b 圖5-9n /m o y h p m y

- 6 -

信息安全技術實驗指導：實驗5 IIS安全和

SSL

圖5-10

y e t i w /t w t p :/t h 步驟五：為WEBserver 申請服務器證書。 17. 在WEBserver 上生成服務器證書 （1） 在網(wǎng)站屬性選擇“目錄安全性”選項卡，單擊“安全通信”的“服務器證書”按鈕，如圖5-11，使用WEB 服務器證書向導生成證書； （2） 選擇網(wǎng)站分配證書的方法是：新建證書，如圖5-12； （3） 為網(wǎng)站證書輸入一個便于識別和記憶的名稱，并指定密鑰長度，建議用缺省值，如圖5-13； （4） 輸入網(wǎng)站所有單位（維護單位）的企業(yè)信息，如圖5-14； （5） 輸入網(wǎng)站公用名稱，如圖5-15，注意，如果該WEB 服務器擁有一個合法域名，

則公用名稱設置為該域名，在本實驗，公用名稱設置為本虛擬機的NetBIOS 名（主機名），即缺省值所示，若計算機的公用名稱發(fā)生變化，則須重新生成證書；

（6） 填寫網(wǎng)站服務器的地理信息，如圖5-16；

（7） 如圖5-17，指定生成證書的存放路徑和文件名；

（8） 最后審核填寫的證書信息，完成證書生成。

c . o i b n /m o y h p m y

- 7 -

信息安全技術實驗指導：實驗5 IIS安全和

SSL

圖5-11

y e t i w /t w t p :/t h c . o i b n /m o y h p m y

圖5-12

- 8 -

信息安全技術實驗指導：實驗5 IIS安全和

SSL

y e t i w /t w t p :/t h

圖5-13 c . o i b n /m o y h p m y 圖5-14

- 9 -

信息安全技術實驗指導：實驗5 IIS安全和

SSL

圖5-15

y e t i w /t w t p :/t h c . o i b

圖5-16

- 10 - n /m o y h p m y