当前位置: 首页 > 图文教程 > 网络编程 > ASP > 安全技巧:配置 IIS 4.0 证书鉴定

ASP
ASP中数据库调用中常见错误的现象和解决方法
ASP取出HTML里面的图片地址的函数
关于分页查询和性能问题
利用Asp生成整站静态
用ASP+XMLHTTP编写一个天气预报程序
轻松检测浏览器是否接受Cookies信息
净化网络环境:ASP程序实现过滤脏话
入门:防范SQL注入攻击的新办法
如何对ASP.NET进行性能优化
ASP无法更新ACCESS数据库解决方法
ASP:利用ASP把图片上传到数据库
ASP:用ASP编程实现网络内容快速查找
ASP:用ASP打造一个小型的网页BBS系统
ASP:用Asp编程实现QQ的在线情况查询
通过表单创建word的一个例子
在ASP中轻松实现记录集分页显示
ASP中实现小偷程序的原理和简单示例
ASP:6行代码实现无组件上传
实用篇:用asp实现QQ在线查询
如何轻松打造ASP计数器

ASP 中的 安全技巧:配置 IIS 4.0 证书鉴定


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 31 ::
收藏到网摘: n/a

  配置 IIS 4.0 证书鉴定

Ramon Ali
Windows NT杂志 - 1999 年2月


使用证书服务器1.0(Certificate Server 1.0)来作为证书权威

如果你能赋予可信用户透明地访问加密网站的权限,岂不是很好?这样的话,每当这些用户在进入你的站点的时候,就不必总是需
要输入他们的用户名和口令了。用户可以同你的网站上的加密部分进行通信,而无须提供用户名和口令的一个方法是,在配置IIS
(Internet Information Server,互连网信息服务器)要求质询/响应认证之后,在Windows NT系统上使用IE浏览器。但如果你
的用户使用的并不是NT系统或IE浏览器,那又该怎么办呢?答案就是:使用Microsoft Certificate Server(微软证书服务
器)。

Certificate Server 是 NT 4.0 Option Pack 的组成部分之一,它使你能够为那些身份验证合格的用户生成并发放数字证书,
从而使他们在登录站点时可以不必提供身份证明就可以访问自己的NT用户帐号。

数字证书对于网络的安全性非常重要。数字证书实际上是一份电子文档,计算机系统可以利用它来确定和验证那些正在浏览网络,
收发电子邮件和传输文件的用户的身份。获取数字证书的一条途径是通过证书权威。这些机构通过核实用户的身份而向他们或他们
的系统颁发证书。证书服务器(Certificate Server)让你充当企业内部的证书权威的角色,使你能够保护员工的机密性,削减
开支并提高服务质量。(想获得关于证书权威和数字证书的背景信息,请参阅1997年10月期上Tao Zhou的文章"You Can Be a
Web Certification Authority")

然而不幸的是,查找有关配置证书服务器的有价值文档相当困难。在TechNet和微软网站上,你或许能找到零星的只字片语,但这
些粗略的材料往往使你不能很快就弄明白。所以在本文中,我将和你一起一步步地演示我所了解的安装和配置证书服务器的过程,
包括怎样安装证书服务器,启动证书权威服务和颁发客户证书。

起点

首先,你需要安装IIS4.0,Microsoft Management Console (MMC,微软管理控制台)和Certificate Server 1.0。这些都包含
在微软Windows NT 4.0 Option Pack的CD-ROM光盘上。微软公司在它的站点(http://www.microsoft.com/china/)上发布了用
于修正Certificate Server1.0缺陷的最新补丁。该缺陷导致当系统同时允许证书和匿名访问时,没有证书的用户会被挡在站点之
外。根据我使用证书服务器的经验,你其实并不需要这个补丁。因为当你配置访问许可方式时,你可以避开这个问题。这点后面我
将解释。(但是,我不幸还遇到其他一些错误,而目前还没有针对它们的补丁程序。)

从Option Pack CD-ROM光盘上安装证书服务器。如果你已经安装了证书服务器而只是还不能让它正常运行,我将告诉你一个秘
诀。当证书服务器的安装过程提示你在安装窗口中输入CA(Certificate Authority,证书权威)的具体信息时,如屏幕1所示,


屏幕1

如果你在State域中不输入CA姓名,IIS就不能在它的数据库中正确的注册这个CA,导致证书服务器不会接受带这个CA签名的客户证
书。如果你碰到了这个问题,你必须重新安装证书服务器。然而,当你重新安装证书服务器时,可能会收到下面两条错误信息中的
一条--证书服务器配置向导(Configuration Wizard)错误或Windows NT安装错误。在所有我碰到的情况下,这些信息仅仅表明
文件csback.gif, csbull.gif, 和cslogo.gif没有从Certificate Server 的根目录 (通常是 C:\winnt\system32
\certsrv) 拷贝到CertEnroll 子目录下。如果你收到这些错误信息,不妨手工完成这些文件的拷贝。

从NT的控制面板中服务项中启动证书权威(Certificate Authority)服务。如果服务不能启动,问题可能是服务器找不到
Microsoft Access 数据库certmdb.mdb。不知道什么原因,证书服务器安装时将ODBC(Open Database Connectivity,开放式
数据库连接)系统数据源名称(Data Source Name)指向证书服务器根目录,而同时在CertAdm子目录中的 global.asa 文件中却
将其指向C:\winnt\system32 目录。而实际上证书服务器r 安装时将certmdb.mdb 文件放在C:\winnt\system32目录下。所以,
需要修改CertSrv 系统数据源名称 (从控制面板, ODBC项中),使其指向certmdb.mdb 文件, 如屏幕2所示。这样,你的CA 服务
就业已就绪,可以运行了。


屏幕2

设置CA

Certificate Server 安装程序将提示为服务器创建一个SSL (Secure Sockets Layer,安全套接层) 密匙。SSL 服务器密匙允
许网络服务器和客户浏览器进行安全加密的会话。如果没有SSL 密匙, IIS 4.0将无法使用基于证书的客户验证。在Create New
Key(创建新密匙)对话框中通过选择"Automatically send the request to an online authority(自动将申请发送到某在
线权威)"选项,你可以一次生成并签名SSL服务器密匙请求,如屏幕3所示。


屏幕3

如果你选择生成一个密