在IIS7中,HTTP.sys在內核模式下操作SSL加密解密,相對于IIS6,這種方式能提高近20%的性能。
當SSL運行于內核模式時,會將SSL綁定信息保存在兩個地方。第一個地方,綁定配置保存在%windir%/System32/inetsrv/config/applicationHost.config中,當站點啟動時,IIS7發送綁定信息給HTTP.sys,同時HTTP.sys會在特定的IP和端口監聽請求。第二個地方,與綁定相關聯的SSL配置保存在HTTP.sys配置中。使用netsh命令可以查看保存在HTTP.sys的SSL綁定配置:
netsh http show sslcert
當一個客戶開始連接并初始化SSL協商時,HTTP.sys在它的配置中查找這個IP:Port對應的SSL配置。這個SSL配置必須包括證書hash值和名稱:
l 在ApplicationHost.config中確認這個綁定是否存在
l HTTP.sys中是否包含有效證書的hash值以及命名是否存在
選擇證書時,需要考慮以下問題:
是否想讓最終用戶能夠通過你提供的證書確認你服務器的唯一性?
如果是的,則
要么建立一個證書請求,并且發送證書請求到證書權威機構(CA),比如VeriSign或者GeoTrust;
要么從Intranet的在線CA那里獲取一個證書
瀏覽器一般用三樣東西來確認服務器證書的有效性:
1. 當前日期在證書的有效期范圍內
2. 證書的“Common Name”(CN)與請求中的主機名相匹配。比如,如果客戶發起了一個到的請求,則CN必須是這樣的:
3. 證書的發行者是已知的和受到信任的CA
如果其中有1項失敗,瀏覽器就會警告用戶。如果你有個Internet站點或者你不怎么熟的Intranet用戶,那你就需要確保這3項是都通過的。
自簽名的證書可以用你自己的計算機創建。如果最終用戶不重要,或者他們信任你的服務器,又或者用于測試環境,則這種自簽名證書將會非常有用。
Ø 使用WMI來綁定SSL證書
使用WMI命名空間,是不能夠請求或者創建證書。
建立SSL綁定
以下腳本展示了如何建立SSL綁定,以及添加相應信息到HTTP.sys中:
獲取一個證書
![IIS7下配置SSL的方法分析]( "IIS7下配置SSL的方法分析")
單擊Create Self-Signed Certificate…按鈕:
![IIS7下配置SSL的方法分析]( "IIS7下配置SSL的方法分析")
輸入新證書的名字后單擊OK。
現在你有了一個自簽名證書。這個證書被標記為”服務器端驗證”
建立SSL綁定
選擇一個站點,在Actions面板中單擊Bindings…。會顯示出添加、修改、刪除綁定對話框。單擊Add…按鈕添加新的SSL綁定。
![IIS7下配置SSL的方法分析]( "IIS7下配置SSL的方法分析")
默認設置是80端口,在類型下拉框中選擇https,在SSL Certificate下拉框中選擇你剛才建立的自簽名證書名字,單擊OK。
![IIS7下配置SSL的方法分析]( "IIS7下配置SSL的方法分析")
現在你已經完成SSL綁定的建立工作了,剩下的就是要確認是否工作正常了。
![IIS7下配置SSL的方法分析]( "IIS7下配置SSL的方法分析")
Ø SSL綁定的確認
在Actions面板中,在Browse web site下,單擊剛才增加的綁定
![IIS7下配置SSL的方法分析]( "IIS7下配置SSL的方法分析")
由于這個證書是個自簽名的證書,IE7會顯示一個錯誤頁面。
單擊Continue to this website(not recommended).繼續
![IIS7下配置SSL的方法分析]( "IIS7下配置SSL的方法分析")
Ø 配置SSL設置
當你要求用戶必須使用證書,又或者必須SSL方式連接時,你需要配置SSL設置。雙擊SSL Settings如下圖:
![IIS7下配置SSL的方法分析]( "IIS7下配置SSL的方法分析")
