我的网站想添加安全套结字层,请问如何做,请列一下具体步骤谢谢了,大家要多少分我可以给在+经典代码向送

我的网站想添加安全套结字层,请问如何做,请列一下具体步骤谢谢了,大家要多少分我可以给在+经典代码向送
还有就是策略文件怎么使用谢谢了

解决方案 »

  1.   

    到网上查查 https 的设置...
      

  2.   

    先随便找机器安装微软证书服务 windows组件,然后创建证书.然后进入IIS,默认网站 属性 找到 目录安全,然后绑定上面创建的 服务器证书 ,之后再 编辑 里面把 需要安全通道 的勾勾上就可以通过https访问web了.
      

  3.   

    构建安全的 ASP.NET 应用程序
    身份验证、授权和安全通信
    有关构建安全的 ASP.NET 应用程序 的起点和完整概述,请参见登陆页面。
    总结
    Web 服务器必须配置为使用 SSL,以便支持来自客户端应用程序的 https 连接。本“如何做”说明如何在 Web 服务器上配置 SSL。
    如何做:在 Web 服务器上设置 SSL
    安全套接字层 (SSL) 是一套提供身份验证、保密性和数据完整性的加密技术。SSL 最常用来在 Web 浏览器和 Web 服务器之间建立安全通信通道。它也可以在客户端应用程序和 Web 服务之间使用。
    要求
    以下各项介绍了推荐的硬件、软件、网络基础结构、技巧和知识以及您需要的服务包。
    ● Microsoft® Windows® 2000 Server操作系统 (Service Pack 2)
    ● Microsoft 证书服务(如果您需要生成自己的证书,这是必需的)。
        
    本“如何做”中的过程也要求您具有一些 IIS 配置知识。
    总结
    “如何做”包括如下过程:
    1. 生成证书申请
    2. 提交证书申请
    3. 颁发证书
    4. 在 Web 服务器上安装证书
    5. 将资源配置为要求 SSL 访问
      
    1. 生成证书申请
    此过程创建一个新的证书申请,此申请可发送到证书颁发机构 (CA) 进行处理。如果成功,CA 将给您发回一个包含生效证书的文件。
    u 生成证书申请
    1. 启动 IIS Microsoft 管理控制台 (MMC) 管理单元。
    2. 展开 Web 服务器名,选择要安装证书的 Web 站点。
    3. 右击该 Web 站点,然后单击“属性”。
    4. 单击“目录安全性”选项卡。
    5. 单击“安全通信”中的“服务器证书”按钮,启动 Web 服务器证书向导。注意:如果“服务器证书”不可用,可能是因为您选择了虚拟目录、目录或文件。返回第 2 步,选择 Web 站点。 5. 单击“下一步”跳过欢迎对话框。
    6. 单击“创建一个新证书”,然后单击“下一步”。
    7. 该对话框有以下两个选项:
    ● “现在准备申请,但稍后发送”
    该选项总是可用的。
    ● “立即将申请发送到在线证书颁发机构”
    仅当 Web 服务器可以在配置为颁发 Web 服务器证书的 Windows 2000 域中访问一个或多个 Microsoft 证书服务器时,该选项才可用。在后面的申请过程中,您有机会从列表中选择将申请发送到的颁发机构。
      
    单击“现在准备申请,但稍后发送”,然后单击“下一步”。
    8. 在“名称”字段中键入证书的描述性名称,在“位长”字段中键入密钥的位长,然后单击“下一步”。 
    向导使用当前 Web 站点名称作为默认名称。它不在证书中使用,但作为友好名称以帮助管理员。
    9. 在“组织”字段中键入组织名称(例如 Contoso),在“组织单位”字段中键入组织单位(例如“销售部”),然后单击“下一步”。 注意:这些信息将放在证书申请中,因此应确保它的正确性。CA 将验证这些信息并将其放在证书中。浏览您的 Web 站点的用户需要查看这些信息,以便决定他们是否接受证书。 10. 在“公用名”字段中,键入您的站点的公用名,然后单击“下一步”。重要说明:公用名是证书最后的最重要信息之一。它是 Web 站点的 DNS 名称(即用户在浏览您的站点时键入的名称)。如果证书名称与站点名称不匹配,当用户浏览到您的站点时,将报告证书问题。
    如果您的站点在 Web 上并且被命名为 www.contoso.com,这就是您应当指定的公用名。
    如果您的站点是内部站点,并且用户是通过计算机名称浏览的,请输入计算机的 NetBIOS 或 DNS 名称。 11. 在“国家/地区、州/省和城市/县市”字段中输入适当的信息,然后单击“下一步”。
    12. 输入证书申请的文件名。
    该文件包含类似下面这样的信息。-----开始新的证书申请-----
    MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy…
    -----结束新的证书申请-----这是您的证书申请的 Base 64 编码表示形式。申请中包含输入到向导中的信息,还包括您的公钥和用您的私钥签名的信息。 
    将此申请文件发送到 CA。然后 CA 会使用证书申请中的公钥信息验证用您的私钥签名的信息。CA 也验证申请中提供的信息。
    当您将申请提交到 CA 后,CA 将在一个文件中发回证书。然后您应当重新启动 Web 服务器证书向导。
    13. 单击“下一步”。该向导显示证书申请中包含的信息概要。
    14. 单击“下一步”,然后单击“完成”完成申请过程。
    证书申请现在可以发送到 CA 进行验证和处理。当您从 CA 收到证书响应以后,可以再次使用 IIS 证书向导,在 Web 服务器上继续安装证书。
      
    2. 提交证书申请
    此过程使用 Microsoft 证书服务提交在前面的过程中生成的证书申请。
    u 提交证书申请
    1. 使用“记事本”打开在前面的过程中生成的证书文件,将它的整个内容复制到剪贴板。
    2. 启动 Internet Explorer,导航到 http://hostname/CertSrv,其中 hostname 是运行 Microsoft 证书服务的计算机的名称。
    3. 单击“申请证书”,然后单击“下一步”。
    4. 在“选择申请类型”页中,单击“高级申请”,然后单击“下一步”。
    5. 在“高级证书申请”页中,单击“使用 base64 编码的 PKCS#10 文件提交证书申请”,然后单击“下一步”。
    6. 在“提交一个保存的申请”页中,单击“Base64 编码的证书申请(PKCS #10 或 #7)”文本框,按住 CTRL+V,粘贴先前复制到剪贴板上的证书申请。 
    7. 在“证书模板”组合框中,单击“Web 服务器”。
    8. 单击“提交”。
    9. 关闭 Internet Explorer。
      
    3. 颁发证书
    u 颁发证书
    1. 从“管理工具”程序组中启动“证书颁发机构”工具。
    2. 展开您的证书颁发机构,然后选择“待定申请”文件夹。
    3. 选择刚才提交的证书申请。 
    4. 在“操作”菜单中,指向“所有任务”,然后单击“颁发”。
    5. 确认证书显示在“颁发的证书”文件夹中,然后双击查看它。
    6. 在“详细信息”选项卡中,单击“复制到文件”,将证书保存为 Base-64 编码的 X.509 证书。
    7. 关闭证书的属性窗口。
    8. 关闭“证书颁发机构”工具。
      
    4. 在 Web 服务器上安装证书
    此过程在 Web 服务器上安装在前面的过程中颁发的证书。 
    u 在 Web 服务器上安装证书
    1. 如果 Internet 信息服务尚未运行,则启动它。
    2. 展开您的服务器名称,选择要安装证书的 Web 站点。
    3. 右击该 Web 站点,然后单击“属性”。
    4. 单击“目录安全性”选项卡。
    5. 单击“服务器证书”启动 Web 服务器证书向导。
    6. 单击“处理待定申请和安装证书”,然后单击“下一步”。
    7. 输入包含 CA 响应的文件的路径和文件名,然后单击“下一步”。
    8. 检查证书概述,单击“下一步”,然后单击“完成”。
    证书现在安装在 Web 服务器上。
      
    5. 将资源配置为要求 SSL 访问
    此过程使用 Internet 服务管理器,将虚拟目录配置为要求 SSL 访问。您可以为特定的文件、目录或虚拟目录要求使用 SSL。客户端必须使用 HTTPS 协议访问所有这类资源。
    u 将资源配置为要求 SSL 访问
    1. 如果 Internet 信息服务尚未运行,则启动它。
    2. 展开您的服务器名称和 Web 站点。(这必须是具有已安装证书的 Web 站点)。
    3. 右击某个虚拟目录,然后单击“属性”。
    4. 单击“目录安全性”选项卡。
    5. 单击“安全通信”下的“编辑”。
    6. 单击“需要安全通道 (SSL)”。
    现在客户端必须使用 HTTPS 浏览到此虚拟目录。
    7. 单击“确定”,然后再次单击“确定”关闭“属性”对话框。
    8. 关闭 Internet 信息服务。
      
      

  4.   

    构建安全的 ASP.NET 应用程序
    身份验证、授权和安全通信
    有关构建安全的 ASP.NET 应用程序 的起点和完整概述,请参见登陆页面。
    总结
    IIS 支持客户端证书身份验证。本“如何做”说明如何将 Web 应用程序配置为需要客户端证书。它还说明如何在客户端计算机上安装证书,以及在调用 Web 应用程序时如何使用证书。
    如何做:设置客户端证书
    为了执行授权,Web 服务经常需要能够对它们的调用方(其它应用程序)进行身份验证。客户端证书为 Web 服务提供了一种非常好的身份验证机制。如果您使用客户端证书,您的应用程序也会得益于客户端应用程序和 Web 服务之间的安全通道创建(使用安全套接字层 [SSL])。这样您就可以安全地在 Web 服务之间传送保密信息。SSL 确保消息的完整性和机密性。
    本“如何做”包括调用配置为需要客户端证书的 Web 服务的分步指导。注意:本“如何做”中的信息也适用于由 IIS 承载的远程组件。要求
    以下各项介绍了推荐的硬件、软件、网络基础结构、技巧和知识以及您需要的服务包。
    ● 带 Service Pack 2 的 Microsoft® Windows® 2000 Server 操作系统
    ● Microsoft Visual Studio® .NET 开发系统
    ● 访问证书颁发机构 (CA) 以生成新的证书
    ● 一个已安装了服务器证书的 Web 服务器
    有关安装 Web 服务器证书的更多信息,请参见本指南“参考”部分的“如何做:在 Web 服务器上设置 SSL”。
        
    本“如何做”中的过程还要求您具有使用 Microsoft Visual C#™ 开发工具进行 ASP.NET Web 开发的知识。
    总结
    本“如何做”包括如下过程:
    1. 创建简单的 Web 应用程序
    2. 将 Web 应用程序配置为需要客户端证书
    3. 需要并安装客户端证书
    4. 验证客户端证书操作
      
    1. 创建简单的 Web 应用程序
    u 创建简单的 Web 应用程序
    1. 启动 Visual Studio .NET,创建一个名为 SecureApp 的新 C# ASP.NET Web 应用程序。
    2. 从工具箱中将一个标签控件拖放到 WebForm1.aspx Web 窗体上,然后将其 ID 属性设置为 message。
    3. 再拖放一个标签至 WebForm1.aspx 窗体上,然后将其 ID 属性设置为 certData。
      
    4. 将下面的代码添加到 Page_Load 事件过程中。string username;
    username = User.Identity.Name;
    message.Text = "Welcome " + username;
    HttpClientCertificate cert = Request.ClientCertificate;
    if (cert.IsPresent)
    {
    certData.Text = "Client certificate retrieved";
    }
    else
    {
    certData.Text = "No client certificate";
    }  5. 在“构建”菜单中,单击“构建解决方案”
     6. 启动 Internet Explorer 并导航至 http://localhost/SecureApp/WebForm1.aspx。 
    页面应该显示“欢迎”消息(不显示用户名,因为用户尚未经过身份验证)和“没有客户端证书”。
    7. 关闭 Internet Explorer。
      
    2. 将 Web 应用程序配置为需要客户端证书
    此过程使用 Internet 信息服务 (IIS) 将 Web 应用程序的虚拟目录配置为需要证书。
    此过程假设您在 Web 服务器上安装了有效的证书。有关安装 Web 服务器证书的详细信息,请参见“如何做:在 Web 服务器上设置 SSL”。
    u 将 Web 应用程序的虚拟目录配置为需要证书
    1. 在 Web 服务主机上启动 IIS。
    2. 导航到 SecureApp 虚拟目录。
    3. 右击 SecureApp,然后单击“属性”。
    4. 单击“目录安全性”选项卡。
    5. 单击“安全通信”下的“编辑”。
    如果无法使用“编辑”,则可能没有安装 Web 服务器证书。
    6. 选择“要求安全通道 (SSL)”复选框。
    7. 选择“要求客户端证书”选项。
    8. 单击“确定”,然后再单击“确定”。
    9. 在“继承覆盖”对话框中,单击“全选”,然后单击“确定”关闭“SecureApp 属性”对话框。
    这会将新的安全设置应用于虚拟根目录下的所有子目录。
    10. 要确认 Web 站点已正确配置,启动 Internet Explorer 并(使用 HTTPS)浏览到 https://localhost/secureapp/webform1.aspx。
    11. Internet Explorer 显示“客户身份验证”对话框,要求您选择一个客户端证书。因为您尚未安装客户端证书,所以单击“确定”,确认显示通知您页面需要客户端证书的错误页面。
    12. 关闭 Internet Explorer。
      
    3. 需要并安装客户端证书
    此过程安装客户端证书。您可以使用来自任何证书颁发机构的证书,也可以使用如后面几节所述的 Microsoft 证书服务来生成自己的证书。
    此过程假设 Microsoft 证书服务是为待定申请配置的,这要求管理员专门颁发证书。它也可以配置为应证书申请自动颁发证书。 
    u 检查证书申请状态设置
    1. 在 Microsoft 证书服务计算机上,从“管理工具”程序组中选择“证书颁发机构”。
    2. 展开“证书颁发机构(本地)”,右击证书颁发机构并单击“属性”。
    3. 单击“策略模块”选项卡,然后单击“配置”。
    4. 检查默认操作。 
    以下过程假设“将证书申请状态设成待定”。选择“管理员必须专门颁发证书”。
      
    u 申请客户端证书
    1. 启动 Internet Explorer 并导航至 http://hostname/certsrv,其中 hostname 是安装 Microsoft 证书服务的计算机的名称。
    2. 单击“申请证书”,然后单击“下一步”。
    3. 在“选择申请类型”页上,单击“用户证书”,然后单击“下一步”。
    4. 单击“提交”完成申请。 
    5. 关闭 Internet Explorer。
      
    u 颁发客户端证书
    1. 从“管理工具”程序组中启动“证书颁发机构”工具。
    2. 展开您的证书颁发机构,然后选择“待定申请”文件夹。
    3. 选择刚提交的证书申请,指向“操作”菜单上的“所有任务”,然后单击“颁发”。
    4. 确认证书显示在“颁发证书”文件夹中,然后双击它进行查看。
    5. 在“详细信息”选项卡上,单击“复制到文件”将证书保存为 Base-64 编码的 X.509 证书。
    6. 关闭证书的属性窗口。
    7. 关闭证书颁发机构工具。
      
    u 安装客户端证书
    1. 要查看证书,启动 Windows 资源管理器,导航至在前一过程中保存的 .cer 文件,然后双击它。
    2. 单击“安装证书”,然后在“证书导入向导”的首页单击“下一步”。
    3. 选择“根据证书类型,自动选择证书存储区”,然后单击“下一步”。
    4. 单击“完成”完成向导。关闭确认消息框,然后单击“确定”关闭证书。
      
    4. 验证客户端证书操作
    此过程验证您是否可以使用客户端证书访问 SecureApp 应用程序。
    u 验证客户端证书操作
    1. 启动 Internet Explorer 并导航至 https://localhost/secureapp/webform1.aspx。
    2. 确认 Web 页成功显示。
      
    其他资源
    有关更多信息,请参见本指南的“参考”部分的“如何做:在 Web 服务器上设置 SSL”。  
      

  5.   

    • 获取 SSL 证书。
     
    • 在 IIS 服务器上安装 SSL 证书。
     
    • 配置虚拟目录以要求 SSL。
     返回页首
    适用范围
    本章适用于以下产品和技术:• Microsoft Windows® XP 或 Windows 2000 Server (Service Pack 3) 以及更高版本的操作系统
     
    • Microsoft Internet 信息服务 5.0
     
    • Microsoft 证书服务(如果您需要生成自己的证书)
     返回页首
    如何使用本章内容
    若要学好本章内容:• 您必须有配置 IIS 的经验。
     
    • 如果您想生成自己的证书,则必须能够访问某个证书颁发机构 (CA),如 Microsoft 证书服务。
     
    • 如果您不希望生成自己的证书,则必须决定将向哪个商业证书颁发机构申请 SSL 证书。大多数证书颁发机构 (CA) 会就此服务收费。
     
    • 阅读第 4 章安全通信。其中介绍了 SSL 及其最常见的用途。
     返回页首
    摘要
    安全套接字层 (SSL) 是一套提供身份验证、保密性和数据完整性的加密技术。SSL 最常用来在 Web 浏览器和 Web 服务器之间建立安全通信通道。它也可以在客户端应用程序和 Web 服务之间使用。为支持 SSL 通信,必须为 Web 服务器配置 SSL 证书。本章介绍如何获取 SSL 证书,以及如何配置 Microsoft® Internet 信息服务 (IIS),以便支持 Web 浏览器和其他客户端应用程序之间使用 SSL 安全地进行通信。返回页首
    生成证书申请
    此过程创建一个新的证书申请,此申请可发送到证书颁发机构 (CA) 进行处理。如果成功,CA 将给您发回一个包含有效证书的文件。• 生成证书申请1.
     启动 IIS Microsoft 管理控制台 (MMC) 管理单元。
     
    2.
     展开 Web 服务器名,选择要安装证书的 Web 站点。
     
    3.
     右键单击该 Web 站点,然后单击“属性”。
     
    4.
     单击“目录安全性”选项卡。
     
    5.
     单击“安全通信”中的“服务器证书”按钮,启动 Web 服务器证书向导。注意:如果“服务器证书”不可用,可能是因为您选择了虚拟目录、目录或文件。返回第 2 步,选择 Web 站点。
     
    6.
     单击“下一步”跳过欢迎对话框。
     
    7.
     单击“创建一个新证书”,然后单击“下一步”。
     
    8.
     该对话框有以下两个选项:• “现在准备申请,但稍后发送”
    该选项总是可用的。
     
    • “立即将申请发送到在线证书颁发机构”
    仅当 Web 服务器可以在配置为颁发 Web 服务器证书的 Windows 2000 域中访问一个或多个 Microsoft 证书服务器时,该选项才可用。在后面的申请过程中,您有机会从列表中选择将申请发送到的颁发机构。
     单击“现在准备申请,但稍后发送”,然后单击“下一步”。
     
    9.
     在“名称”字段中键入证书的描述性名称,在“位长”字段中键入密钥的位长,然后单击“下一步”。
    向导使用当前 Web 站点名称作为默认名称。它不在证书中使用,但作为友好名称以助于管理员识别。
     
    10.
     在“组织”字段中键入组织名称(例如 Contoso),在“组织单位”字段中键入组织单位(例如“销售部”),然后单击“下一步”。 注意:这些信息将放在证书申请中,因此应确保它的正确性。CA 将验证这些信息并将其放在证书中。浏览您的 Web 站点的用户需要查看这些信息,以便决定他们是否接受证书。
     
    11.
     在“公用名”字段中,键入您的站点的公用名,然后单击“下一步”。重要说明:公用名是证书最后的最重要信息之一。它是 Web 站点的 DNS 名称(即用户在浏览您的站点时键入的名称)。如果证书名称与站点名称不匹配,当用户浏览到您的站点时,将报告证书问题。如果您的站点在 Web 上并且被命名为 www.contoso.com,这就是您应当指定的公用名。如果您的站点是内部站点,并且用户是通过计算机名称浏览的,请输入计算机的 NetBIOS 或 DNS 名称。
     
    12.
     在“国家/地区”、“州/省”和“城市/县市”等字段中输入正确的信息,然后单击“下一步”。
     
    13.
     输入证书申请的文件名。该文件包含类似下面这样的信息。-----BEGIN NEW CERTIFICATE REQUEST-----
    MIIDZjCCAs8CAQAwgYoxNjA0BgNVBAMTLW1penJvY2tsYXB0b3Aubm9ydGhhbWVy...
    -----END NEW CERTIFICATE REQUEST-----这是您的证书申请的 Base 64 编码表示形式。申请中包含输入到向导中的信息,还包括您的公钥和用您的私钥签名的信息。 将此申请文件发送到 CA。然后 CA 会使用证书申请中的公钥信息验证用您的私钥签名的信息。CA 也验证申请中提供的信息。当您将申请提交到 CA 后,CA 将在一个文件中发回证书。然后您应当重新启动 Web 服务器证书向导。
     
    14.
     单击“下一步”。该向导显示证书申请中包含的信息概要。
     
    15.
     单击“下一步”,然后单击“完成”完成申请过程。
    证书申请现在可以发送到 CA 进行验证和处理。当您从 CA 收到证书响应以后,可以再次使用 IIS 证书向导,在 Web 服务器上继续安装证书。
     
     返回页首
    提交证书申请
    此过程使用 Microsoft 证书服务提交在前面的过程中生成的证书申请。• 提交证书申请1.
     使用“记事本”打开在前面的过程中生成的证书文件,将它的整个内容复制到剪贴板。
     
    2.
     启动 Internet Explorer,导航到 http://hostname/CertSrv,其中 hostname 是运行 Microsoft 证书服务的计算机的名称。
     
    3.
     单击“申请一个证书”,然后单击“下一步”。
     
    4.
     在“选择申请类型”页中,单击“高级申请”,然后单击“下一步”。
     
    5.
     在“高级证书申请”页中,单击“使用 Base64 编码的 PKCS#10 文件提交证书申请”,然后单击“下一步”。
     
    6.
     在“提交一个保存的申请”页中,单击“Base64 编码的证书申请(PKCS #10 或 #7)”文本框,按住 CTRL+V,粘贴先前复制到剪贴板上的证书申请。 
     
    7.
     在“证书模板”组合框中,单击“Web 服务器”。
     
    8.
     单击“提交”。
     
    9.
     关闭 Internet Explorer。
     
     返回页首
    颁发证书
    • 颁发证书1.
     从“管理工具”程序组中启动“证书颁发机构”工具。
     
    2.
     展开您的证书颁发机构,然后选择“挂起的申请”文件夹。
     
    3.
     选择刚才提交的证书申请。 
     
    4.
     在“操作”菜单中,指向“所有任务”,然后单击“颁发”。
     
    5.
     确认该证书显示在“颁发的证书”文件夹中,然后双击查看它。
     
    6.
     在“详细信息”选项卡中,单击“复制到文件”,将证书保存为 Base-64 编码的 X.509 证书。
     
    7.
     关闭证书的属性窗口。
     
    8.
     关闭“证书颁发机构”工具。
     
     返回页首
    在 Web 服务器上安装证书
    此过程在 Web 服务器上安装在前面的过程中颁发的证书。 • 在 Web 服务器上安装证书1.
     如果 Internet 信息服务尚未运行,则启动它。
     
    2.
     展开您的服务器名称,选择要安装证书的 Web 站点。
     
    3.
     右键单击该 Web 站点,然后单击“属性”。
     
    4.
     单击“目录安全性”选项卡。
     
    5.
     单击“服务器证书”启动 Web 服务器证书向导。
     
    6.
     单击“处理挂起的申请并安装证书”,然后单击“下一步”。
     
    7.
     输入包含 CA 响应的文件的路径和文件名,然后单击“下一步”。
     
    8.
     检查证书概述,单击“下一步”,然后单击“完成”。现在,已在 Web 服务器上安装了证书。
     
     返回页首
    将资源配置为要求 SSL 访问
    此过程使用 Internet 服务管理器,将虚拟目录配置为要求 SSL 访问。您可以为特定的文件、目录或虚拟目录要求使用 SSL。客户端必须使用 HTTPS 协议访问所有这类资源。• 将资源配置为要求 SSL 访问1.
     如果 Internet 信息服务尚未运行,则启动它。
     
    2.
     展开您的服务器名称和 Web 站点。(这必须是已安装证书的 Web 站点)
     
    3.
     右键单击某个虚拟目录,然后单击“属性”。
     
    4.
     单击“目录安全性”选项卡。
     
    5.
     单击“安全通信”下的“编辑”。
     
    6.
     单击“要求安全通道 (SSL)”。
    现在客户端必须使用 HTTPS 浏览到此虚拟目录。
     
    7.
     单击“确定”,然后再次单击“确定”关闭“属性”对话框。
     
    8.
     关闭 Internet 信息服务。
     
     
    From Microsoft