Web CA服務(wù)器的建立、訪問、權(quán)限等設(shè)置

1、計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院網(wǎng)站建設(shè)與管理Web服務(wù)器的建立題 目 Web服務(wù)器的建立 學(xué)生姓名 馮守領(lǐng) 學(xué) 號(hào) 2010121233 專業(yè)班級(jí) 10級(jí)科技二班 指導(dǎo)老師 劉 仁 山 Web服務(wù)器的建立一、建立Web工作站的原理1、web工作原理web本意是蜘蛛網(wǎng)和網(wǎng)的意思。現(xiàn)廣泛譯作網(wǎng)絡(luò)、互聯(lián)網(wǎng)等技術(shù)領(lǐng)域。表現(xiàn)為三種形式，即超文本（hypertext）、超媒體（hypermedia）、超文本傳輸協(xié)議（HTTP）等。 當(dāng)你想進(jìn)入一個(gè)網(wǎng)頁, 或者其他網(wǎng)絡(luò)資源的時(shí)候，通常你要首先在你的瀏覽器上鍵入你想訪問網(wǎng)頁的統(tǒng)一資源定位符（Uniform Resource Locator)，或者通過超鏈接方式鏈接到那個(gè)

2、網(wǎng)頁或網(wǎng)絡(luò)資源。這之后的工作首先是URL的服務(wù)器名部分，被名為域名系統(tǒng)的分布于全球的因特網(wǎng)數(shù)據(jù)庫解析，并根據(jù)解析結(jié)果決定進(jìn)入哪一個(gè)IP地址(IP address)。 接下來的步驟是為所要訪問的網(wǎng)頁，向在那個(gè)IP地址工作的服務(wù)器發(fā)送一個(gè)HTTP請求。在通常情況下，HTML文本、圖片和構(gòu)成該網(wǎng)頁的一切其他文件很快會(huì)被逐一請求并發(fā)送回用戶。 網(wǎng)絡(luò)瀏覽器接下來的工作是把HTML、CSS和其他接受到的文件所描述的內(nèi)容，加上圖像、鏈接和其他必須的資源，顯示給用戶。這些就構(gòu)成了你所看到的“網(wǎng)頁”。 大多數(shù)的網(wǎng)頁自身包含有超鏈接指向其他相關(guān)網(wǎng)頁，可能還有下載、源文獻(xiàn)、定義和其他網(wǎng)絡(luò)資源。像這樣通過超鏈接，把有

3、用的相關(guān)資源組織在一起的集合，就形成了一個(gè)所謂的信息的“網(wǎng)”。這個(gè)網(wǎng)在因特網(wǎng)上被方便使用，就構(gòu)成了最早在1990年代初蒂姆·伯納斯-李所說的萬維網(wǎng)。2 、HTTP的工作原理由于HTTP協(xié)議是基于請求/響應(yīng)范式的(相當(dāng)于客戶機(jī)/服務(wù)器)。一個(gè)客戶機(jī)與服務(wù)器建立連接后，發(fā)送一個(gè)請求給服務(wù)器，請求方式的格式為：統(tǒng)一資源標(biāo)識(shí)符(URL)、協(xié)議版本號(hào)，后邊是MIME信息包括請求修飾符、客戶機(jī)信息和可能的內(nèi)容。服務(wù)器接到請求后，給予相應(yīng)的響應(yīng)信息，其格式為一個(gè)狀態(tài)行，包括信息的協(xié)議版本號(hào)、一個(gè)成功或錯(cuò)誤的代碼，后邊是MIME信息包括服務(wù)器信息、實(shí)體信息和可能的內(nèi)容。許多HTTP通訊是由一個(gè)用戶代

4、理初始化的并且包括一個(gè)申請?jiān)谠捶?wù)器上資源的請求。最簡單的情況可能是在用戶代理和服務(wù)器之間通過一個(gè)單獨(dú)的連接來完成。在Internet上，HTTP通訊通常發(fā)生在TCP/IP連接之上。缺省端口是TCP80，但其它的端口也是可用的。但這并不預(yù)示著HTTP協(xié)議在Internet或其它網(wǎng)絡(luò)的其它協(xié)議之上才能完成。HTTP只預(yù)示著一個(gè)可靠的傳輸。這個(gè)過程就好像我們打電話訂貨一樣，我們可以打電話給商家，告訴他我們需要什么規(guī)格的商品，然后商家再告訴我們什么商品有貨，什么商品缺貨。這些，我們是通過電話線用電話聯(lián)系(HTTP是通過TCP/IP)，當(dāng)然我們也可以通過傳真，只要商家那邊也有傳真。以上簡要介紹了HTT

5、P協(xié)議的宏觀運(yùn)作方式，下面介紹一下HTTP協(xié)議的內(nèi)部操作過程。在www中，“客戶”與“服務(wù)器”是一個(gè)相對的概念，只存在于一個(gè)特定的連接期間，即在某個(gè)連接中的客戶在另一個(gè)連接中可能作為服務(wù)器。基于HTTP協(xié)議的客戶/服務(wù)器模式的信息交換過程，它分四個(gè)過程：建立連接、發(fā)送請求信息、發(fā)送響應(yīng)信息、關(guān)閉連接。這就好像上面的例子，我們電話訂貨的全過程。其實(shí)簡單說就是任何服務(wù)器除了包括HTML文件以外，還有一個(gè)HTTP駐留程序，用于響應(yīng)用戶請求。你的瀏覽器是HTTP客戶，向服務(wù)器發(fā)送請求，當(dāng)瀏覽器中輸入了一個(gè)開始文件或點(diǎn)擊了一個(gè)超級(jí)鏈接時(shí)，瀏覽器就向服務(wù)器發(fā)送了HTTP請求，此請求被送往由IP地址指定的U

6、RL。駐留程序接收到請求，在進(jìn)行必要的操作后回送所要求的文件。在這一過程中，在網(wǎng)絡(luò)上發(fā)送和接收的數(shù)據(jù)已經(jīng)被分成一個(gè)或多個(gè)數(shù)據(jù)包(packet)，每個(gè)數(shù)據(jù)包包括：要傳送的數(shù)據(jù)；控制信息，即告訴網(wǎng)絡(luò)怎樣處理數(shù)據(jù)包。TCP/IP決定了每個(gè)數(shù)據(jù)包的格式。如果事先不告訴你，你可能不會(huì)知道信息被分成用于傳輸和再重新組合起來的許多小塊。也就是說商家除了擁有商品之外，它也有一個(gè)職員在接聽你的電話，當(dāng)你打電話的時(shí)候，你的聲音轉(zhuǎn)換成各種復(fù)雜的數(shù)據(jù)，通過電話線傳輸?shù)綄Ψ降碾娫挋C(jī)，對方的電話機(jī)又把各種復(fù)雜的數(shù)據(jù)轉(zhuǎn)換成聲音，使得對方商家的職員能夠明白你的請求。這個(gè)過程你不需要明白聲音是怎么轉(zhuǎn)換成復(fù)雜的數(shù)據(jù)的。3、加/解

7、密原理Web工作站的加解密工作原理也就是PKI的工作原理。在當(dāng)今高度信息化、數(shù)字化的社會(huì)里，隨著互聯(lián)網(wǎng)的發(fā)展和信息技術(shù)的普及，人們已經(jīng)開始習(xí)慣于通過各種先進(jìn)的通信手段傳遞重要的數(shù)據(jù)、圖像和話音等信息進(jìn)行各種交流，網(wǎng)絡(luò)給人們的工作和生活帶來了前所未有的便利。同時(shí)，人們對網(wǎng)絡(luò)和信息的安全性提出了越來越高的要求。然而，由于互聯(lián)網(wǎng)所具有的廣泛性和開放性，決定了互聯(lián)網(wǎng)不可避免地存在著信息安全隱患。因此，信息的安全問題成為人們關(guān)注的焦點(diǎn)，引起了世界各國政府以及商業(yè)機(jī)構(gòu)的高度重視。為了防范信息安全風(fēng)險(xiǎn)，許多新的安全技術(shù)和規(guī)范不斷的出現(xiàn)，公鑰基礎(chǔ)設(shè)施PKI(Public Key Infrastructure，

8、簡稱PKI)即是其中重要一員。 正如電子商務(wù)的基礎(chǔ)設(shè)施之一是網(wǎng)絡(luò)基礎(chǔ)設(shè)施，借助于網(wǎng)絡(luò)基礎(chǔ)設(shè)施可使不同的網(wǎng)絡(luò)節(jié)點(diǎn)之間互相交換數(shù)據(jù)，共享網(wǎng)絡(luò)資源。建立網(wǎng)絡(luò)基礎(chǔ)設(shè)施的目的就是使不同的實(shí)體只要需要，就可以方便地使用基礎(chǔ)設(shè)施提供的服務(wù)。安全基礎(chǔ)設(shè)施與網(wǎng)絡(luò)基礎(chǔ)設(shè)施遵循同樣的原則，安全基礎(chǔ)設(shè)施為整體應(yīng)用系統(tǒng)提供安全基本框架，它可以被應(yīng)用系統(tǒng)中任何需要安全應(yīng)用的對象使用。因此，其在設(shè)計(jì)上必須具有一般性和通用性。只有這樣，那些需要使用這種基礎(chǔ)設(shè)施的對象在使用安全服務(wù)時(shí)，才不會(huì)遇到困難。PKI就是這樣一種安全基礎(chǔ)設(shè)施，利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范。用戶可利用PKI平臺(tái)提供的服務(wù)

9、進(jìn)行安全通信。 公鑰加密技術(shù) 公鑰加解密技術(shù)的結(jié)構(gòu)：每個(gè)網(wǎng)絡(luò)用戶有兩個(gè)密鑰，稱為公鑰和私鑰。在信息的發(fā)送和接受過程中，使用一個(gè)密鑰加密，使用另一個(gè)密鑰解密，同一個(gè)用戶的兩個(gè)密鑰可以互相加解密，但這兩個(gè)密鑰相互之間很難相互推導(dǎo)得出。公鑰：稱為公開密鑰，可以向其他用戶公開私鑰：稱為私有密鑰，是用戶自己擁有，不能公開。二、建立IIS Web網(wǎng)站的過程1、IIS安裝配置IIS是Windows操作系統(tǒng)自帶的組件。如果在安裝操作系統(tǒng)的時(shí)候沒有安裝IIS，請打開“控制面板”->“添加或刪除程序”->“添加/刪除Windows組件”->應(yīng)用程序服務(wù)器(如圖1)詳細(xì)信息Internet信息服務(wù)

10、(如圖2)。然后單擊“下一步”，按向?qū)е甘荆瓿蓪IS的安裝。圖1圖2啟動(dòng)Internet信息服務(wù)（IIS）。Internet信息服務(wù)簡稱為IIS，單擊Windows開始菜單-所有程序-管理工具-Internet信息服務(wù)（IIS）管理器，即可啟動(dòng)“Internet信息服務(wù)”管理工具（如圖3）圖3Internet信息服務(wù)（IIS）管理器IIS安裝后，系統(tǒng)自動(dòng)創(chuàng)建了一個(gè)默認(rèn)的Web站點(diǎn)，該站點(diǎn)的主目錄默認(rèn)為C:Inetpubwww.root。用鼠標(biāo)右鍵單擊“默認(rèn)Web站點(diǎn)”，在彈出的快捷菜單中選擇“屬性”，此時(shí)就可以打開站點(diǎn)屬性設(shè)置對話框，（如圖4）在該對話框中，可完成對站點(diǎn)的全部配置。圖4默認(rèn)

11、Web站點(diǎn)的主目錄2、建立Web站點(diǎn)在Internet信息服務(wù)（IIS）管理器中點(diǎn)擊“網(wǎng)站”右鍵“新建網(wǎng)站”下一步(如圖5)圖5輸入網(wǎng)站描述“守領(lǐng)的網(wǎng)站”(如圖6)圖6輸入網(wǎng)站的IP“05”，默認(rèn)端口號(hào)為80(如圖7)圖7輸入網(wǎng)站的主目錄“C:Webcaptain”圖8設(shè)置網(wǎng)站的訪問權(quán)限(圖9)圖93、web服務(wù)器多站點(diǎn)的設(shè)置方法(1)設(shè)置多端口的方法我們知道Web站點(diǎn)的默認(rèn)端口一般為80，如果改變這一端口，就能實(shí)現(xiàn)在同一服務(wù)器上新增站點(diǎn)的目的。我用于做實(shí)驗(yàn)的這臺(tái)服務(wù)器名為CAPTAIN，安裝有一塊網(wǎng)卡，IP地址為05，在上一步IIS的安裝配置中我已

12、經(jīng)新建了一Web站點(diǎn)“守領(lǐng)的Web站點(diǎn)”。下面我們來增加“船長”站點(diǎn)（如圖10）。圖10在Internet信息服務(wù)（IIS）管理器中點(diǎn)擊“網(wǎng)站”右鍵“新建網(wǎng)站”下一步輸入網(wǎng)站描述同“守領(lǐng)的網(wǎng)站”的創(chuàng)建步驟相同，依次點(diǎn)擊下一步，將站點(diǎn)說明定為“船長”，IP地址選擇05，在TCP端口欄一定要將默認(rèn)的80修改為其他值，如1200(如圖11)。圖11選定主目錄，設(shè)置好訪問權(quán)限，“船長”站點(diǎn)的設(shè)置也完成了。測試一下效果，在瀏覽器地址欄中輸入http：/、205（默認(rèn)的端口號(hào)80可以省略），回車，我們將訪問到“守領(lǐng)的網(wǎng)站”站點(diǎn)。輸入http：/192.168.2

13、.205：1200（注意IP地址后的端口號(hào)一定不能少），則會(huì)出現(xiàn)“船長”站點(diǎn)。(2)設(shè)置多IP的方法一般情況下，一塊網(wǎng)卡只設(shè)置了一個(gè)IP地址。如果我們?yōu)檫@塊網(wǎng)卡綁定多個(gè)IP地址，每個(gè)IP地址對應(yīng)一個(gè)Web站點(diǎn)，那么同樣可以實(shí)現(xiàn)“一機(jī)多站”的目的。點(diǎn)擊“開始”“設(shè)置”“網(wǎng)絡(luò)連接”鍵單擊“本地連接”，選擇“屬性”調(diào)出“本地連接屬性”面板，選擇“Internet協(xié)議（TCP/IP）”(如圖12)。圖12點(diǎn)擊“屬性”調(diào)出“Internet協(xié)議（TCP/IP）屬性”面板，點(diǎn)擊下方的“高級(jí)”調(diào)出“高級(jí)TCP/IP設(shè)置”面板。在IP地址欄下面列出了網(wǎng)卡已設(shè)定的IP地址和子網(wǎng)掩碼，點(diǎn)擊添加按鈕(如圖13)。圖

14、13在彈出的對話框中填上新的IP地址06（如圖14）。圖14注意不能與其他機(jī)器的IP地址重復(fù)），子網(wǎng)掩碼與原有的相同（如）。然后依次確定，就完成了多個(gè)IP地址的綁定。按照上例中的做法設(shè)置站點(diǎn)“守領(lǐng)網(wǎng)站”，然后我們來增加“船長”站點(diǎn)。在Internet信息服務(wù)（IIS）管理器中點(diǎn)擊“網(wǎng)站”右鍵“新建網(wǎng)站”下一步(創(chuàng)建步驟如上一標(biāo)題中的船長站點(diǎn)的創(chuàng)建雷同)將站點(diǎn)說明定為“船長”，只是在IP地址選擇06(如圖15)圖15（注意不能與默認(rèn)站點(diǎn)的IP地址相同），TCP端口保持默認(rèn)的80不變，選定主目錄，設(shè)置好訪問權(quán)限，“船長”站點(diǎn)的設(shè)

15、置完成。分別在瀏覽器地址欄中輸入http：/05和http：/06，測試一下效果。如果您嫌通過輸入IP地址訪問站點(diǎn)不夠方便的話，完全可以通過設(shè)置DNS，用http：/代替http：/05來訪問“首領(lǐng)的網(wǎng)站”，用http：/代替http：/06來訪問“船長”。(3)設(shè)置虛擬目錄在Windows Server 2003系統(tǒng)中創(chuàng)建的Web網(wǎng)站，其中的所有內(nèi)容一般都存儲(chǔ)在主目錄中。但隨著網(wǎng)站內(nèi)容的不斷豐富，用戶需要把不同層次的內(nèi)容組織成網(wǎng)站主目錄下的子目錄或虛擬目錄。在每個(gè)虛擬目錄下掛載一個(gè)站點(diǎn)，從而實(shí)現(xiàn) “一機(jī)多

16、站”。創(chuàng)建虛擬目錄，虛擬目錄既可以是本地磁盤中的任何一個(gè)目錄，也可以是網(wǎng)絡(luò)中其他計(jì)算機(jī)中的目錄。相對而言，創(chuàng)建子目錄的方式更安全高效。虛擬目錄需要在主目錄的基礎(chǔ)上進(jìn)行創(chuàng)建，創(chuàng)建步驟如下所述：第1步，在開始菜單中依次單擊“管理工具”“Internet信息服務(wù)（IIS）管理器”菜單項(xiàng)，打開“Internet 信息服務(wù)（IIS）管理器”窗口。在左窗格中依次展開服務(wù)器“網(wǎng)站”目錄，右鍵單擊Web站點(diǎn)名稱（如 “船長的網(wǎng)站”），在彈出的快捷菜單中依次選擇“新建”“虛擬目錄”命令彈出“虛擬目錄創(chuàng)建向?qū)υ捒颉?如圖16)圖16第2步，在打開的“虛擬目錄創(chuàng)建向?qū)А敝袉螕簟跋乱徊健卑粹o，打開“虛擬目錄別名”對

17、話框。然后在“別名”編輯框中輸入一個(gè)能夠反映該虛擬目錄用途的名稱（如book），并單擊“下一步”按鈕，如圖17所示。圖17第3步，打開“網(wǎng)站內(nèi)容目錄”對話框，在此處需要指定虛擬目錄所在的路徑。單擊“瀏覽”按鈕，在本地磁盤或網(wǎng)上鄰居中選擇目標(biāo)目錄，虛擬目錄與網(wǎng)站的主目錄可以不在一個(gè)分區(qū)或物理磁盤中。依次單擊“確定”“下一步”按鈕，如圖18所示。圖18第4步，在打開的“虛擬目錄訪問權(quán)限”對話框中，可以設(shè)置該虛擬目錄準(zhǔn)備賦予用戶的訪問權(quán)限。用戶可以根據(jù)實(shí)際需要設(shè)置合適的權(quán)限，并單擊“下一步”按鈕，如圖19圖19第5步，打開完成創(chuàng)建虛擬目錄對話框，單擊“完成”按鈕關(guān)閉虛擬目錄創(chuàng)建向?qū)?。通過上述設(shè)置，用

18、戶可以通過“(4)設(shè)置多主機(jī)頭在不更改TCP端口和IP地址的情況下，同樣可以實(shí)現(xiàn)“一機(jī)多站”，這里我們需要使用“主機(jī)頭名”來區(qū)分不同的站點(diǎn)。所謂“主機(jī)頭名”，實(shí)際上就是利用域名網(wǎng)址進(jìn)行訪問，因此要使用“主機(jī)頭法”實(shí)現(xiàn)“一機(jī)多站”，就必須先進(jìn)行DNS設(shè)置。在DNS中設(shè)置http：/和http：/兩個(gè)網(wǎng)址，將它們都指向惟一的IP地址05。按照以上兩例中的做法首先設(shè)置站點(diǎn)“守領(lǐng)的網(wǎng)站”，第1步，在開始菜單中依次單擊“管理工具”“Internet信息服務(wù)（IIS）管理器”菜單項(xiàng)，打開“Internet 信息服務(wù)（IIS）管理器”窗口。在左窗格中依次展開服務(wù)器“網(wǎng)站”“守領(lǐng)的網(wǎng)站”

19、 右鍵“屬性”,如圖20所示圖20第2步，在彈出的屬性對話框中點(diǎn)擊“高級(jí)”彈出“高級(jí)網(wǎng)站標(biāo)識(shí)”對話框，如圖21所示圖21第3步，選中IP地址“05”點(diǎn)擊“編輯”彈出“添加/編輯網(wǎng)站標(biāo)識(shí)”對話框，如22所示。然后單擊“確定”按鈕，“守領(lǐng)的網(wǎng)站”部署完畢。圖22第4步，然后參考以上例進(jìn)行添加“船長”站點(diǎn)的操作，IP地址選擇05，TCP端口保持默認(rèn)的80不變，“此站點(diǎn)的主機(jī)頭”一項(xiàng)一定要填上，然后選定主目錄，設(shè)置好訪問權(quán)限，“船長”站點(diǎn)的設(shè)置完成。分別在瀏覽器地址欄中輸入http：/和http：/兩個(gè)網(wǎng)址，測試效果。與上兩例不同的是，用“主機(jī)頭法”實(shí)現(xiàn)的“

20、一機(jī)多站”必須使用域名網(wǎng)址才能訪問。以上4種方式，可以根據(jù)具體情況選擇使用。如果服務(wù)器安裝有兩塊以上的網(wǎng)卡，同樣可以采用“IP地址法”為每塊網(wǎng)卡指定不同的IP地址，從而實(shí)現(xiàn)“一機(jī)多站”。三、Web服務(wù)器的安全配置1用戶驗(yàn)證配置Web站點(diǎn)身份驗(yàn)證和訪問控制第一步，在開始菜單中依次單擊“管理工具”“Internet信息服務(wù)（IIS）管理器”菜單項(xiàng)，打開“Internet 信息服務(wù)（IIS）管理器”窗口。在左窗格中依次展開服務(wù)器“網(wǎng)站”“守領(lǐng)的網(wǎng)站” 右鍵“屬性”“目錄安全性”“身份驗(yàn)證和訪問控制”。如圖23所示。圖23第二步，“身份驗(yàn)證和訪問控制”欄點(diǎn)擊“編輯”，彈出“”對話框，如圖24所示。圖2

21、4第三步，去掉勾選“啟用匿名訪問”復(fù)選框。在“用戶訪問需經(jīng)過身份驗(yàn)證”框中選則驗(yàn)證方式。2、IP限制(1)Windows服務(wù)器限制訪問人數(shù)和限制IP如何限制同時(shí)訪問你網(wǎng)站的人數(shù) 第一步，在開始菜單中依次單擊“管理工具”“Internet信息服務(wù)（IIS）管理器”菜單項(xiàng)，打開“Internet 信息服務(wù)（IIS）管理器”窗口。在左窗格中依次展開服務(wù)器“網(wǎng)站”“守領(lǐng)的網(wǎng)站” 右鍵“屬性”“性能”“網(wǎng)站連接”。如圖25所示。圖25然后在后面的輸入框中輸入你允許的最多同時(shí)在線的人數(shù)，如“1,000”（同圖25）。設(shè)置完成后，單擊“確定”按鈕保存設(shè)置。重啟IIS服務(wù)后你的網(wǎng)站就只允許1,000個(gè)人同時(shí)在

22、線瀏覽了！ (2)如何限制網(wǎng)站的訪問流量 如果網(wǎng)頁內(nèi)容只是普通的頁面，那么人數(shù)多一點(diǎn)也沒關(guān)系。但如果是下載服務(wù)器，那么對帶寬和服務(wù)器的壓力將更大，這不僅要限制網(wǎng)站訪問人數(shù)，也要限制網(wǎng)站的訪問流量。打開圖25的“屬性”對話框中，單擊“性能”標(biāo)簽，單擊選中“限制網(wǎng)站可以使用高的網(wǎng)絡(luò)帶寬”選項(xiàng)（如圖26），圖26然后在此選項(xiàng)框中的“最大網(wǎng)絡(luò)使用”后的文本框后輸入你能承受的最大數(shù)據(jù)訪問流量，比如我們把它改成“500KB/S”，最后單擊“確定”按鈕。重新啟動(dòng)IIS服務(wù)后設(shè)置就可以生效了。 (3)如何限制訪問你網(wǎng)站的IP地址 對于一些重要的服務(wù)器，我們并不想讓所有人都能訪問，或者將一些總是攻擊網(wǎng)站的用戶屏

23、蔽掉。這就需要添加限制訪問風(fēng)站的IP地址了。 將網(wǎng)站的屬性窗口切換到“目錄安全性”標(biāo)簽，這時(shí)我們可以看到“IP地址及域名限制”選項(xiàng)框中，通過選項(xiàng)框中的功能描述，可以確定我們要找的就是它了。單擊框中的“編輯”按鈕，彈出如圖27。圖27所示的對話框，我們可以看到有兩個(gè)選項(xiàng)：“授權(quán)訪問”和“拒絕訪問”。如果你想網(wǎng)站只給少部分人瀏覽，可以選擇“拒絕訪問”，如相反則選“授權(quán)訪問”項(xiàng)。 選中“授權(quán)訪問”，選擇此項(xiàng)后，我們單擊“添加”按鈕，打開如圖28所示對話框，圖28在這里我們可以將少部分不允許訪問我們的網(wǎng)站的IP黑名單輸入進(jìn)去。這里的黑名單可以是一臺(tái)單獨(dú)的機(jī)器，或是一個(gè)網(wǎng)段的機(jī)器，甚至可以是一個(gè)域內(nèi)的所

24、有機(jī)器。設(shè)置好后單擊“確定”按鈕，這下那些黑名單份子就不得進(jìn)來了（圖29）！圖29從圖中我們也可以看到添加的IP地址的訪問設(shè)為了“被拒”，也就是“授權(quán)訪問”中的例外不允許訪問的范圍，這樣可以正確理解為什么在“授權(quán)訪問”下添加的IP地址是拒絕訪問的列表。下面再來看“拒絕訪問”，方法同“授權(quán)訪問”一樣，不過這里添加的可是“黃金賬號(hào)”啊，只有你添加的IP才能訪問你的網(wǎng)站哦！全部添加完畢后，一路“確定”保存設(shè)置，然后重啟IIS服務(wù)就可以生效了。3、Web加密(1)、CA的建立安裝證書(CA)服務(wù)組件要想使用SSL安全機(jī)制功能，首先必須為Windows Server 2003系統(tǒng)安裝證書服務(wù)1、開始 -

25、 控制面板 - 添加或刪除程序 - 添加/刪除Windows組件，按以下內(nèi)容勾選并安裝安裝過程需要提供Windows Server 2003安裝光盤2、CA類型選擇獨(dú)立根CA，后面的步驟全部下一步即可3、配置CA的公用名稱及有效期限安裝完成后，單擊“開始”按鈕，選擇選擇“設(shè)置”>“控制面板”>“管理工具”，此時(shí)可在該菜單中找到“證書頒發(fā)機(jī)構(gòu)”，說明CA的安裝已經(jīng)完成。為網(wǎng)站創(chuàng)建證書請求文件完成了證書服務(wù)的安裝后，就可以為要使用SSL安全機(jī)制的網(wǎng)站創(chuàng)建請求證書文件1、開始 - 控制面板 - 管理工具 - Internet 信息服務(wù)(IIS)管理器展開服務(wù)器標(biāo)簽，展開網(wǎng)站標(biāo)簽，右鍵點(diǎn)擊

26、要使用SSL的網(wǎng)站，選擇"屬性"。這里使用"默認(rèn)網(wǎng)站"切換到"目錄安全性"標(biāo)簽，點(diǎn)擊"服務(wù)器證書"按鈕4、在"IIS證書向?qū)?quot;中選擇"新建證書"，下一步5、選擇"現(xiàn)在準(zhǔn)備證書請求，但稍后發(fā)送"，下一步6、輸入證書的名稱及位長，下一步7、設(shè)置證書的單位信息，下一步8、設(shè)置證書的公用名稱，下一步9、設(shè)置證書的地理信息，下一步10、指定證書請求文件的導(dǎo)出路徑及文件名，下一步。請記好路徑及文件名，等會(huì)要用11、驗(yàn)證配置，完成證書請求文件的創(chuàng)建(2)、CA證書的申請

27、申請服務(wù)器證書完成證書申請文件的制作之后，需要把證書申請?zhí)峤唤o證書服務(wù)器打開IE瀏覽器，在地址欄中輸入"http:/localhost/certsrv/"打開證書服務(wù)Web管理。選擇"申請一個(gè)證書"2、選擇"高級(jí)證書申請"3、選擇"使用base64編碼的CMC或PKCS #10文件提高一個(gè)證書申請，或使用base64編碼的PKCS#7文件續(xù)訂證書申請"4、打開剛剛創(chuàng)建的證書申請文件"c:certreq.txt"，將其中的內(nèi)容復(fù)制到“保存的申請”輸入框后點(diǎn)擊“提交”按鈕即可5、證書掛起，等待管理員

28、頒發(fā)證書。頒發(fā)服務(wù)器證書證書申請?zhí)峤恢?，我們就可以扮演管理員頒發(fā)證書給申請者了1、開始 - 設(shè)置 - 控制面板 - 管理工具 - 證書頒發(fā)機(jī)構(gòu)，打開證書頒發(fā)機(jī)構(gòu)對話框2、點(diǎn)擊"掛起的申請"，鼠標(biāo)右鍵單擊申請的證書 - 所有任務(wù) - 頒發(fā)。然后就可以在"頒發(fā)的證書"欄內(nèi)看到證書了3、在"頒發(fā)的證書"內(nèi)雙擊剛剛頒發(fā)的證書 - 詳細(xì)信息，然后點(diǎn)擊"復(fù)制到文件"按鈕，彈出證書導(dǎo)出向?qū)?、連續(xù)點(diǎn)擊"下一步"，并在"要導(dǎo)出的文件"對話框中指定保存路徑和文件名，最后點(diǎn)擊"完成&

29、quot;。這里注意記一下證書保存的位置，等會(huì)要用到這個(gè)證書文件安裝服務(wù)器證書接下來將已經(jīng)制作完成的證書安裝到Web服務(wù)器中1、開始 - 控制面板 - 管理工具 - Internet 信息服務(wù)(IIS)管理器2、展開服務(wù)器標(biāo)簽，展開網(wǎng)站標(biāo)簽，右鍵點(diǎn)擊要使用SSL的網(wǎng)站，這里使用"默認(rèn)網(wǎng)站"3、切換到"目錄安全性"標(biāo)簽，點(diǎn)擊"服務(wù)器證書"按鈕，彈出Web服務(wù)器證書向?qū)?、選擇"處理掛起的請求并安裝證書"，下一步5、選擇在上一步導(dǎo)出的證書文件，如果上一步是默認(rèn)配置，通常是*.cer文件，下一步6、指定SSL端口，默認(rèn)4

30、43，下一步7、確認(rèn)證書安裝，沒有問題的話就下一步完成Web服務(wù)器的證書安裝要求安全通道(SSL)服務(wù)器證書安裝完成后，需要在網(wǎng)站上開啟SSL1、開始 - 控制面板 - 管理工具 - Internet 信息服務(wù)(IIS)管理器2、展開服務(wù)器標(biāo)簽，展開網(wǎng)站標(biāo)簽，右鍵點(diǎn)擊要使用SSL的網(wǎng)站，選擇"屬性"。這里使用"默認(rèn)網(wǎng)站"3、切換到"目錄安全性"標(biāo)簽，點(diǎn)擊"安全通信"下的"編輯"按鈕4、勾選"要求安全通道(SSL)"和"要求128位加密"。客戶端證書選擇&q

31、uot;忽略客戶端證書"驗(yàn)證Web SSL通信1、可以在Web主目錄中放置一個(gè)HTML文件，隨便命名，如slyar.html2、打開IE瀏覽器，在地址欄中輸入https:/localhost/slyar.html ，當(dāng)然你也可以在其他電腦的IE客戶端上輸入https:/服務(wù)器IP地址或網(wǎng)站域名/slyar.htm來進(jìn)行驗(yàn)證，客戶端都是一樣的3、如果設(shè)置成功，客戶端IE會(huì)彈出如下證書確認(rèn)信息4、點(diǎn)擊"是"之后即可成功訪問網(wǎng)站，同時(shí)在瀏覽器右下角看到鎖頭圖標(biāo)，實(shí)驗(yàn)成功完成(3)CA證書的綁定在IIS中設(shè)置網(wǎng)站要求使用SSL并且要求客戶端證書的設(shè)置客戶端申請安裝客戶端證

32、書Client1在客戶機(jī)上打開win2003證書服務(wù)器URL：05/certsrv，提交一個(gè) “Web 瀏覽器證書”，姓名為“client1”。提交申請后，在win2003機(jī)器上證書頒發(fā)機(jī)構(gòu)中批準(zhǔn)頒發(fā)這個(gè)Client1證書。在客戶機(jī)上再次打開win2003機(jī)器上證書服務(wù)的URL：05/certsrv “查看掛起的證書申請的狀態(tài)”，會(huì)看到整個(gè)證書申請已被批準(zhǔn)，并能夠被安裝。點(diǎn)擊安裝證書，同樣在安裝過程中會(huì)提示是否安裝Client1證書的根證書captain，選擇安裝。安裝好證書后，Client1證書就會(huì)被安裝到客戶機(jī)上，證書會(huì)被

33、安裝到證書存儲(chǔ)區(qū)的當(dāng)前用戶存儲(chǔ)區(qū)中的“個(gè)人”。同時(shí)，Client1證書的根證書captain也被安裝，被安裝到了當(dāng)前用戶存儲(chǔ)區(qū)中的 “受信任的根證書頒發(fā)機(jī)構(gòu)”。l Web服務(wù)器上導(dǎo)入客戶端證書在IIS中要映射客戶端的證書到windows賬戶，必須在IIS所在的服務(wù)器上用這個(gè)客戶端的cer證書。在win2003上，證書頒發(fā)機(jī)構(gòu)中導(dǎo)出客戶端申請后已經(jīng)頒發(fā)的Client1證書，導(dǎo)出為Client1.cer在win2003服務(wù)器上導(dǎo)入這個(gè)證書到當(dāng)前用戶存儲(chǔ)區(qū)的個(gè)人目錄下。導(dǎo)入過程：在運(yùn)行下收入“MMC”進(jìn)入“控制臺(tái)”文件添加/刪除管理單元添加證書我的用戶帳戶單擊“確定”如下圖在控制臺(tái)根結(jié)點(diǎn)下的證書下的個(gè)人中， 導(dǎo)入Client1.cer這個(gè)證書到當(dāng)前用戶存儲(chǔ)區(qū)的個(gè)人目錄下。l 設(shè)置IIS中網(wǎng)站的客戶端證書映射在web服務(wù)器上，查看web網(wǎng)站的屬性，導(dǎo)航到“目錄安全性”，點(diǎn)擊“編輯”按鈕：設(shè)置“要求客戶端證書”，并選擇“啟用客戶端證書映射”，最后點(diǎn)擊“編輯”添加Client1客戶端證書映射到的本服務(wù)器上的windows賬戶：由于是測試，這里把Client1客戶端證書映射為a