安全性与IIS (二)

　　二、IIS Advanced安全性能与Exchange Server一样，Internet信息服务器提供Advanced安全性能，使你通信绝对安全。它们由SSL（安全插接层）2.0版和3.0版以及PCT（保密通信技术）1.0组成。SSL可对TCP/IP通信进行数据加密、服务器验证和邮件集成功能。

　　安全插接层安全插接层（SSL）是一个由Netscape通信公司开发的协议，并提交环球网联盟（W3C）作为保证Internet通信安全的标准。当支持SSL的一台客户机（Internet Explorer2.0和3.x和Netscape 3.x）与支持SSL的服务器连接时，在TCP/IP连接时就出现“信号交换的交接关系”来进行验证，以确定在通信中将实施哪一级安全保护。

　　在建立连接后，SSL接着对流经使用中的应用协议的数据进行加密和解密。所有请示和响应信息都应该加密，其中包括客户机下在请示的统一资源定位符（URL）、其它形式的数据（如你的地址或食用卡号码）、任何验证信息（用户名和口令）以及所有由服务器返回到客户机的数据。

　　SSL是位于应用协议（如HTTP）之下，SMTP位于连接协议TCP/IP之上。MICROSOFT INTERNET信息服务器支持超文本传输协议保密（HTTPS）访问方式。尽管SSL能提供实际不可破译的加密功能，但SSL加密传输的速度要低于非加密传输。因此，为了防止你整个WEB网站的性能下降，你可以考虑只把SSL作为虚拟的文件夹用来处理高度机密信息，如提交的包含信用卡信息的表格。

　　你可以在你WEB网站的根目录（\InetPub\Wwwroot是缺省值）或在一个或多个虚拟文件夹中启动SSL安全功能。一旦SSL配置好和启动后，只有支持SSL的客户机能与支持SSL的WWW公文夹进行通信交流。

　　在WEB服务器上启动SSL安全性能，需要进行以下几步工作：

　　1、使用密钥管理器来生成一个密钥对文件和一个请求文件。

　　2、从一个认证机构获得一个证书。

　　3、在你的服务器上安装新获得的证书。

　　4、激活WEB服务文件夹中的SSL安全功能。

　　对于保密和公用内容，微软公司建议你使用公开的目录。比如，c:\InetPub\Wwwroot\Secure和C:\InetPub\Wwwroot\Public。

　　应注意以下几点：

　　（1）为IIS生成一个密钥对时，在任何域中不要使用逗号，原因是逗号被解释为字段的结尾。它们会在没有警告的情况下产生无效请求。

　　（2）如果你拥有多台具有IIS的虚拟服务器功能的WEB服务器在安装你的证书时，要确定具体服务器的IP地址，否则系统创建的所有虚拟服务都适用同一个证书。