实验4 HTTP应用SSL
[实验目的]
理解SSL（Security Socket Layer）安全机制原理；
掌握数字证书应用；
利用SSL加密HTTP通道加强IIS安全。

[实验环境]
windows 2003 操作系统微软证书服务软件，IIS web站点，ASP功能。

[相关知识]
SSL（加密套接字协议层）位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。

SSL是工作在公共密钥和私人密钥基础上的，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。

使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了唯一的安全通道。

建立了SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，并且在使用URL资源定位器时，输入https:// ，而不是http://。

[实验步骤]:
1、安装证书服务（windows组件）；
2、建立WEB站点、配置的IIS管理器来申请一个数字证书。

iis配置“目录安全性”——“安
全通信”——“服务器证书”；
3、 IIS里的WEB站点“ASP证书页面”最终合成提交的证书；
http://localhost/CertSrv/default.asp 。

将证书复制到文件，向CA提交申请；
4、证书服务CA中心来颁发证书，并生成证书文件*.cer；
5、 WEB站点启用证书（处理挂起的证书请求），并打开SSL通道；
6、验证HTTPS://。

参考步骤如下：
1、安装证书服务（windows组件）；
以WIN2000服务器首先需要在控制面板里的填加删除WINDOWS组件中去安装证书服务，这个服务在默认安装中是没有安装在系统里的，需要安装。

然后选择独立根CA的安装类型。

然后在下一步中给自己的CA起一个名字来完成安装就可以了。

2、建立WEB站点、配置的IIS管理器来申请一个数字证书。

iis配置“目录安全性”——“安
全通信”——“服务器证书”；
启动INTERNET管理器选择我们需要配置的WEB站点：
选择站点属性里的，目录安全性-安全通信-服务器证书；
第一次配置，所以选择创建一个新的证书。

用默认的站点名称和加密位长设置就可以了。

3、 IIS里的WEB站点“ASP证书页面”最终合成提交的证书；
打开http://localhost/CertSrv/default.asp
选择申请证书
在选择申请类型的时候，选择高级申请。

选择使用base64的编码方式来提交我们的证书申请。

在证书申请的地方把我们刚刚生成的certreq.txt的内容拷备进去，然后选择提交。

提交成功以后，会返回一个页面给我们告诉我们证书已经成功提交了，现在是挂起状态就是等待CA中心来颁发这个证书了。

4、证书服务CA中心来颁发证书，并生成证书文件*.cer；
颁发成功以后我们在颁发的证书里找到刚才颁发的证书。

双击其属性栏目然后在详细信息里选择将证书复制到文件。

把证书导出到一个文件，这里我们把证书导出到c:\ xky-jsj-88（学号最后两位）.cer这个文件里
c:\ xky-jsj-88（学号最后两位）.cer
5、 WEB站点启用证书（处理挂起的证书请求），并打开SSL通道；
网站访问应用证书。

“编辑”
SSL http使用443端口URL：HTTPS://
6、验证HTTPS://。