本文并沒有系統(tǒng)的去講如何全面安全的配置IIS服務(wù)器，我們只是在文章總對(duì)IIS服務(wù)器建立SSL安全機(jī)制的知識(shí)進(jìn)行了詳細(xì)的講解，通過(guò)學(xué)習(xí)這部分，對(duì)我們保護(hù)IIS服務(wù)器有很大的意義。

IIS服務(wù)器的身份認(rèn)證除了匿名訪問、基本驗(yàn)證和Windows NT請(qǐng)求/響應(yīng)方式外，還有一種安全性更高的認(rèn)證，就是通過(guò)SSL(Security Socket Layer)安全機(jī)制使用數(shù)字證書。SSL(加密套接字協(xié)議層)位于HTTP層和TCP層之間，建立用戶與服務(wù)器之間的加密通信，確保所傳遞信息的安全性。

SSL是工作在公共密鑰和私人密鑰基礎(chǔ)上的，任何用戶都可以獲得公共密鑰來(lái)加密數(shù)據(jù)，但解密數(shù)據(jù)必須要通過(guò)相應(yīng)的私人密鑰。

使用SSL安全機(jī)制時(shí)，首先客戶端與IIS服務(wù)器建立連接，IIS服務(wù)器把它的數(shù)字證書與公共密鑰一并發(fā)送給客戶端，客戶端隨機(jī)生成會(huì)話密鑰，用從服務(wù)器得到的公共密鑰對(duì)會(huì)話密鑰進(jìn)行加密，并把會(huì)話密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器，而會(huì)話密鑰只有在服務(wù)器端用私人密鑰才能解密，這樣，客戶端和服務(wù)器端就建立了一個(gè)惟一的安全通道。

建立了SSL安全機(jī)制后，只有SSL允許的客戶才能與SSL允許的Web站點(diǎn)進(jìn)行通信，并且在使用URL資源定位器時(shí)，輸入https:// ，而不是http://。

簡(jiǎn)單的說(shuō)默認(rèn)情況下我們所使用的HTTP協(xié)議是沒有任何加密措施的，所有的消息全部都是以明文形式在網(wǎng)絡(luò)上傳送的，惡意的攻擊者可以通過(guò)安裝監(jiān)聽程序來(lái)獲得我們和服務(wù)器之間的通訊內(nèi)容。

這點(diǎn)危害在一些企業(yè)內(nèi)部網(wǎng)絡(luò)中尤其比較大，對(duì)于使用HUB的企業(yè)內(nèi)網(wǎng)來(lái)說(shuō)簡(jiǎn)直就是沒有任何安全可講因?yàn)槿魏稳硕伎梢栽谝慌_(tái)電腦上看到其他人在網(wǎng)絡(luò)中的活動(dòng)，對(duì)于使用交換機(jī)來(lái)組網(wǎng)的網(wǎng)絡(luò)來(lái)說(shuō)雖然安全威脅性要小很多。

但很多時(shí)候還是會(huì)有安全突破口，比如沒有更改交換機(jī)的默認(rèn)用戶和口令，被人上去把自己的網(wǎng)絡(luò)接口設(shè)置為偵聽口，依然可以監(jiān)視整個(gè)網(wǎng)絡(luò)的所有活動(dòng)。

所以全面加密整個(gè)網(wǎng)絡(luò)傳輸隧道的確是個(gè)很好的安全措施，很可惜的是現(xiàn)在網(wǎng)絡(luò)上有關(guān)于具體給IIS服務(wù)器配置SSL的文章并不是很多，我簡(jiǎn)單的摸索了下把我的經(jīng)驗(yàn)?zāi)贸鰜?lái)給大家分享。

【編輯推薦】

1. 找出IIS服務(wù)器隱藏網(wǎng)站的方法
2. 學(xué)習(xí)IIS 7.0模塊化 Web 服務(wù)器知識(shí)
3. 如何在IIS服務(wù)器上建立隱藏網(wǎng)站
4. 微軟瞄準(zhǔn)Apache IIS7.0向開源張開雙臂
5. IIS 7.0 Web 服務(wù)器如此大的差異的主要原因