iis经典文章

    编者按：闲暇之余流连于各大网络社区的电脑技术版块时，发觉如我等人物的“网络DIY狂族”实在是不少！那些网络菜鸟的“急”、“救命”、“我快疯了”等标题展示之心情不言而喻，一如小编初涉网络之时。在那许多问题中，有关Win2K的IIS的设置方面的，出现的频率尤其高！在关切之下，小编约了下面这篇小文，希望能对IIS的初学者有所帮助。 

　　一、问：当在浏览器中输入“http://IP地址”和输入“http://IP地址/”有什么差别吗？它们会做什么？ 

　　答：没有差别！前一种格式浏览器也会自动在后面加上“/”，它们的意思都是“依次”去查找并调用相应“主目录”下的“默认文档”。另，本题中的“IP地址”也可为“域名”，道理完全一样。 

　　二、问：做网页时，输入链接用“IP地址”和输入“http://IP地址”是否一样？ 

　　答：一般来说输入两种格式都可以，但实际上它们是有区别的。在有些较特殊格式的网页里，加和不加“http://”是截然两回事！在那些地方，第一种格式被看作了“当前目录”下的一个目录链接；第二种格式才把它看成了从别的“根目录”下开始的一个单独的网站。 

　　因此，为保险起见，建议在网页中要链接到其他站点时，均在相应的域名（或IP地址）前加上“http://”。 

　　三、问：为什么我在“Internet 信息服务”（IIS管理器）中，“默认web站点”没有设定IP地址时,用“http://localhost/”访问一切正常，但用“http://127.0.0.1/”访问就会弹出用户名、密码，域验证窗口。 

　　答：正常现象！此时无论你用“localhost”或是“wy”（本机名）都可以看见有内容，但这内容实际上是IIS5.0的帮助页。出于安全性或其他方面的考虑，系统默认的是主机名（包括localhost和你安装时输入的计算机名），而IP地址则必须用户名和密码——此时输入“Administrator”和相应密码即可。 

　　四、问：我在IIS管理器的“默认Web站点”中，为它指定了IP地址（如“192.168.0.1”)后，“http://localhost/”和“httP://127.0.0.1/”均不能用；“http://192.168.0.1/”却弹出验证窗口！为什么？ 

　　答：为了能更清楚地了解个中原因，我一步一步地来进行分析。 

　　1.此时打开浏览器，输入IP地址再回车，你就会发现它会叫你输入用户和密码，此时输入管理员的用户名和密码即可进入；然后你再用此IP后面加一个win2000.gif的文件名（如192.168.0.1/win2000.gif的格式），你就会惊奇地发现，一个图片出现了，而并不需要你输入其他什么。为什么这样呢？（顺便说一句，此时“http://wy”是可以用的，不需密码。） 

　　2.请接着进入IIS管理器中，选“默认web站点→右键→属性→文档”，你就可以看到“默认文档”有三个，依次是default.htm、default.asp和iisstart.asp；你再进到“主目录”一项，它对应的是D:\Inetpub\wwwroot；然后再打开“我的电脑”，进入D:\Inetpub\wwwroot目录，其下的众多文件中，iisstart.asp和win2000.gif也豁然在目！ 

　　原来，当你在浏览器中如果只输入相应的IP地址（或域名），它会自动在其对应的“主目录”下去寻找“默认文档”，于是调用了iisstart.asp这个文件，而此文件本身需要用户名和密码才能进入；当你后面跟指定的文件名win2000.gif时，它就会去只寻找并调用此文件，而此图片文件并未加密，所以不需密码什么的即顺利进入。也就是说，这根本不是设置的问题，而是“iisstart.asp”这个默认调用的文件本身加了密！ 

　　3.怎么解决呢？很好办！你可以将“主目录”改到你需要的其他任何目录下去，也可以将其他目录下的default.htm或default.asp或iisstart.asp复制一个到这里来，总之不要再用原来的那个iisstart.asp了！你就永远也不会再看到那恼人的密码窗口啦。 

　　五、问：为什么我对“管理Web站点”进行和“默认Web站点”一样的操作，却说我无权访问呢？“管理Web站点”是作什么用的？ 

　　答：一般我们用“默认web站点”就行了；如果要再增加更多的站点，只需“新建”站点即可。 

　　至于“管理Web站点”，它的主目录在“D:\WINNT\System32\inetsrv\iisadmin”下，它可以让你在任何客户端（当然服务器端也可以）用浏览器来达到和IIS管理器一样的操作目的——即远程管理IIS！非常地有用哦！但是，当你在使用“管理web站点”之前，你必须首先知道，在它里面不仅使用了特殊的端口号（不同于默认的80端口），并且默认的只有服务器本机“127.0.0.1”这样的IP地址才可以访问；其他的服务器和工作站的IP地址均属于被“禁止”访问的范畴！如果想所有的机器都能访问，你需进行如下操作： 

　　1. 进入IIS管理器，选“管理Web站点→右键→属性”。 

　　2. 在“Web站点→TCP端口”你可以看见有“4884”的字样，一般可以不用改它；将“IP地址”一栏改选成你需要的值，即调用“管理web站点”的网址应为如“http://192.168.0.1:4884”的格式！（“:4884”不能省略；只有80端口才可以省略如“:80”的部分！） 

　　3. 在“目录安全性→IP地址及域名限制→编辑”中，你可以看见默认的只有“127.0.0.1”才能访问它，其他IP地址均被“拒绝访问”。现在需要改选成（默认情况下，所以计算机将被）“授权访问”，这样你就能在本网的任何一台机器上用浏览器通过访问“管理web站点”来达到远程管理IIS服务器的目的了！ 

　　4. 只有当以上2、3步同时满足了，才可用访问你需要的“管理Web站点”中指定的目录。——当然，为安全起见，用户名和密码是必须要输入的，除非你把默认文档（或主目录）改成了其他某一个。 


一五一十谈IIS安全机制 

　　IIS（Internet Information Server）作为当今流行的Web服务器之一，提供了强大的Internet和Intranet服务功能。如何加强IIS的安全机制，建立高安全性能的可靠的Web服务器，已成为网络管理的重要组成部分。 

　　以Windows NT的安全机制为基础 
　　1.应用NTFS文件系统 
　　NTFS文件系统可以对文件和目录进行管理，FAT文件系统则只能提供共享级的安全，而Windows NT的安全机制是建立在NTFS文件系统之上的，所以在安装Windows NT时最好使用NTFS文件系统，否则将无法建立NT的安全机制。 

　　2.共享权限的修改 
　　在系统默认情况下，每建立一个新的共享，Everyone用户就享有“完全控制”的共享权限，因此，在建立新的共享后应该立即修改Everyone的缺省权限。 

　　3.为系统管理员账号更名 
　　域用户管理器虽可限制猜测口令的次数，但对系统管理员账号（adminstrator）却无法限制，这就可能给非法用户攻击管理员账号口令带来机会，通过域用户管理器对管理员账号更名不失为一种好办法。具体设置方法如下： 
　　选择“开始”选单→“程序”→启动“域用户管理器”→选中“管理员账号（adminstrator）”→选择“用户”选单→“重命名”，对其进行修改。 

　　4.取消TCP/IP上的NetBIOS绑定 
　　NT系统管理员可以通过构造目标站NetBIOS名与其IP地址之间的映像，对Internet或Intranet上的其他服务器进行管理，但非法用户也可从中找到可乘之机。如果这种远程管理不是必须的，就应该立即取消（通过网络属性的绑定选项，取消NetBIOS与TCP/IP之间的绑定）。 

　　设置IIS的安全机制 
　　1.安装时应注意的安全问题 
　　1）避免安装在主域控制器上 
　　安装IIS之后，在安装的计算机上将生成IUSR_Computername匿名账户。该账户被添加到域用户组中，从而把应用于域用户组的访问权限提供给访问Web服务器的每个匿名用户，这不仅给IIS带来潜在危险，而且还可能威胁整个域资源的安全。所以要尽可能避免把IIS服务器安装在域控制器上，尤其是主域控制器上。 
　　2）避免安装在系统分区上 
　　把IIS安装在系统分区上，会使系统文件与IIS同样面临非法访问，容易使非法用户侵入系统分区，所以应该避免将IIS服务器安装在系统分区上。 

　　2.用户的安全性 
　　1）匿名用户访问权限的控制 
　　安装IIS后产生的匿名用户IUSR_Computername（密码随机产生），其匿名访问给Web服务器带来潜在的安全性问题，应对其权限加以控制。如无匿名访问需要，则可以取消Web的匿名访问服务。具体方法： 
　　选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→ 双击“WWW”启动WWW服务属性页→取消其匿名访问服务。 
　　2）控制一般用户访问权限 
　　可以通过使用数字与字母（包括大小写）结合的口令，使用长口令（一般应在6位以上），经常修改密码，封锁失败的登录尝试以及设定账户的有效期等方法对一般用户账户进行管理。 

　　3.IIS三种形式认证的安全性 
　　1）匿名用户访问：允许任何人匿名访问，在这三种中安全性最低。 
　　2）基本（Basic）认证：用户名和口令以明文方式在网络上传输，安全性能一般。 
　　3）Windows NT请求/响应方式：浏览器通过加密方式与IIS服务器进行交流，有效地防止了窃听者，是安全性比较高的认证形式（需IE 3.0以上版本支持）。 

　　4.访问权限控制 
　　1）设置文件夹和文件的访问权限：安放在NTFS文件系统上的文件夹和文件，一方面要对其权限加以控制，对不同的组和用户设置不同的权限；另外，还可以利用NTFS的审核功能对某些特定组的成员读、写文件等方面进行审核，通过监视“文件访问”、“用户对象的使用”等动作，来有效地发现非法用户进行非法活动的前兆，及时加以预防和制止。具体方法： 
　　选择“开始”选单→“程序”→启动“域用户管理器” →选择“规则”选项卡下的“审核”选项→设置“审核规则”。 
　　2）设置WWW目录的访问权限：已经设置成Web目录的文件夹，可以通过操作Web站点属性页实现对WWW目录访问权限的控制，而该目录下的所有文件和子文件夹都将继承这些安全机制。WWW服务除了提供NTFS文件系统提供的权限外，还提供读取权限——允许用户读取或下载WWW目录中的文件；执行权限——允许用户运行WWW目录下的程序和脚本。具体设置方法如下： 
　　选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→ 双击“WWW”启动WWW服务属性页→选择“目录”选项卡→选定需要编辑的WWW目录→选择“编辑属性”中的“目录属性”进行设置。 

　　5.IP地址的控制 
　　IIS可以设置允许或拒绝从特定IP发来的服务请求，有选择地允许特定节点的用户访问。可以通过设置来阻止指定IP地址外的网络用户访问你的Web服务器。具体设置方法如下： 
　　选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→双击“WWW”启动WWW服务属性页→启动Web属性页中“高级”选项卡；进行IP地址的控制设置。 

　　6.端口安全性的实现 
　　对于IIS服务，无论是WWW站点、Fpt站点，还是NNpt、SMpt服务等都有各自侦听和接收浏览器请求的TCP端口号（Post），一般常用的端口号为：WWW是80，Fpt是21，SMpt是25，你可以通过修改端口号来提高IIS服务器的安全性。如果你修改了端口设置，只有知道端口号的用户才可以访问，不过用户在访问时需要指定新端口号。 

　　7.IP转发的安全性 
　　IIS服务可提供IP数据包的转发功能，此时，充当路由器角色的IIS服务器将会把从Internet接口收到的IP数据包转发到内部网中，禁用这一功能将提高IIS服务的安全性。设置方法如下： 
　　选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→ 双击“WWW”启动WWW服务属性页→选择“协议”选项卡→在TCP/IP属性中去掉“路由选择”。 

　　8.SSL安全机制 
　　SSL（加密套接字协议层）位于HTpt层和TCP层之间，建立用户与服务器之间的加密通信，确保信息传递的安全性。SSL是工作在公共密钥和私人密钥基础上的。任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个唯一的安全通道。具体设置方法如下： 
　　选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→ 双击“WWW”启动WWW服务属性页→选择“目录安全性”选项卡→单击“密钥管理器”按钮→通过密钥管理器生成密钥文件和请求文件→从身份认证权限中申请一个证书→通过密钥管理器在服务器上安装证书→激活Web站点的SSL安全性。 
　　建立了SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，并且在使用URL资源定位器时，注意输入的是“htpts://”，而不是“htpt://”。 

　　SSL安全机制的实现，将增加系统开销，增加服务器CPU的额外负担，从而会在一定程度上降低系统性能。笔者建议在规划网络时，仅考虑为高敏感度的Web目录使用SSL安全机制。另外，SSL客户端需要使用IE 3.0及以上版本才能使用。 


如何用IIS建立高安全性Web服务器 

安装完NT/2K以后，并不等于就可以把这台机器放到Internet上做服务器了。还需要进行以下几步： 

　　一、 以Windows NT的安全机制为基础 

　　1）NT打SP6、2K打SP1。把磁盘的文件系统转换成NTFS（安装系统的分区可以在安装系统的时候转换，也可以安装完系统以后，用工具转换）。同时把使用权限里有关Everyone的写、修改的权限去掉，关键目录：如Winnt\Repair连读的权限也去掉。 

　　2）共享权限的修改。在NT下到开始菜单--》程序--》管理工具--》系统策略编辑器，然后打开系统策略里文件菜单里的“打开注册表”修改其中的windows nt 网络把其中勾去掉。 2K下可以写个net share c$ /delete的bat文件，放到机器的启动任务里。 

　　3）为系统管理员账号更名。同时把系统管理员的密码改成强加密：密码长度在10位以上，并且密码要包括数字、字母、！等各种字符。 

　　4）废止TCP/IP上的NetBIOS。通过网络属性的绑定选项，废止NetBIOS与TCP/IP之间的绑定。 

　　5）安装其他服务。应该尽量不在同台服务器上安装数据库的别的服务，如果装了的话 最主要一点是数据库密码不能跟系统的登陆密码一样。 

　　二、 设置IIS的安全机制 

　　1）解决IIS4以及之前的版本受到D.O.S攻击会停止服务。 运行Regedt32.exe 在：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w3svc\parameters 增加一个值： Value Name: MaxClientRequestBuffer DATA Type: REG_DWORD 设置为十进制 具体数值设置为你想设定的IIS允许接受的URL最大长度。CNNS的设置为256。 

　　2）删除HTR脚本映射。 

　　3）将IIS web server下的 /_vti_bin 目录设置成禁止远程访问。 

　　4）在IIS管理控制台中，点 web站点，属性，选择主目录，配置（起始点），应用程序映射，将htw与webhits.dll的映射删除。 

　　5）如果安装的系统是2K的话，安装Q256888_W2K_SP1_x86_en.EXE。 

　　6）删除:c:\Program Files\Common Files\System\Msadc\msadcs.dll。 

　　7）如果不需要使用Index Server，禁止或卸载该服务。 如果你使用了Index Server，请将包含敏感信息的目录的“Index this resource”的选项 禁止。 

　　8）解决unicode漏洞： 2K安装2kunicode.exe、NT安装ntunicode86.exe 


IIS安全机制漫谈 

IIS（Internet Information Server）作为当今流行的Web服务器之一，提供了强大的Internet和Intranet服务功能。如何加强IIS的安全机制，建立高安全性能的可靠的Web服务器，已成为网络管理的重要组成部分。 

以Windows NT的安全机制为基础 

1.应用NTFS文件系统 

NTFS文件系统可以对文件和目录进行管理，FAT文件系统则只能提供共享级的安全，而Windows NT的安全机制是建立在NTFS文件系统之上的，所以在安装Windows NT时最好使用NTFS文件系统，否则将无法建立NT的安全机制。 

2.共享权限的修改 

在系统默认情况下，每建立一个新的共享，Everyone用户就享有“完全控制”的共享权限，因此，在建立新的共享后应该立即修改Everyone的缺省权限。 

3.为系统管理员账号更名 

域用户管理器虽可限制猜测口令的次数，但对系统管理员账号（adminstrator）却无法限制，这就可能给非法用户攻击管理员账号口令带来机会，通过域用户管理器对管理员账号更名不失为一种好办法。具体设置方法如下： 

选择“开始”选单→“程序”→启动“域用户管理器”→选中“管理员账号（adminstrator）”→选择“用户”选单→“重命名”，对其进行修改。 

4.取消TCP/IP上的NetBIOS绑定 

NT系统管理员可以通过构造目标站NetBIOS名与其IP地址之间的映像，对Internet或Intranet上的其他服务器进行管理，但非法用户也可从中找到可乘之机。如果这种远程管理不是必须的，就应该立即取消（通过网络属性的绑定选项，取消NetBIOS与TCP/IP之间的绑定）。 

设置IIS的安全机制 

1.安装时应注意的安全问题 

1）避免安装在主域控制器上 

安装IIS之后，在安装的计算机上将生成IUSR_Computername匿名账户。该账户被添加到域用户组中，从而把应用于域用户组的访问权限提供给访问Web服务器的每个匿名用户，这不仅给IIS带来潜在危险，而且还可能威胁整个域资源的安全。所以要尽可能避免把IIS服务器安装在域控制器上，尤其是主域控制器上。 

2）避免安装在系统分区上 

把IIS安装在系统分区上，会使系统文件与IIS同样面临非法访问，容易使非法用户侵入系统分区，所以应该避免将IIS服务器安装在系统分区上。 

2.用户的安全性 

1）匿名用户访问权限的控制 

安装IIS后产生的匿名用户IUSR_Computername（密码随机产生），其匿名访问给Web服务器带来潜在的安全性问题，应对其权限加以控制。如无匿名访问需要，则可以取消Web的匿名访问服务。具体方法： 

选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→ 双击“WWW”启动WWW服务属性页→取消其匿名访问服务。 

2）控制一般用户访问权限 

可以通过使用数字与字母（包括大小写）结合的口令，使用长口令（一般应在6位以上），经常修改密码，封锁失败的登录尝试以及设定账户的有效期等方法对一般用户账户进行管理。 

3.IIS三种形式认证的安全性 

1）匿名用户访问：允许任何人匿名访问，在这三种中安全性最低。 

2）基本（Basic）认证：用户名和口令以明文方式在网络上传输，安全性能一般。 

3）Windows NT请求/响应方式：浏览器通过加密方式与IIS服务器进行交流，有效地防止了窃听者，是安全性比较高的认证形式（需IE 3.0以上版本支持）。 

4.访问权限控制 

1）设置文件夹和文件的访问权限：安放在NTFS文件系统上的文件夹和文件，一方面要对其权限加以控制，对不同的组和用户设置不同的权限；另外，还可以利用NTFS的审核功能对某些特定组的成员读、写文件等方面进行审核，通过监视“文件访问”、“用户对象的使用”等动作，来有效地发现非法用户进行非法活动的前兆，及时加以预防和制止。具体方法： 

选择“开始”选单→“程序”→启动“域用户管理器” →选择“规则”选项卡下的“审核”选项→设置“审核规则”。 

2）设置WWW目录的访问权限：已经设置成Web目录的文件夹，可以通过操作Web站点属性页实现对WWW目录访问权限的控制，而该目录下的所有文件和子文件夹都将继承这些安全机制。WWW服务除了提供NTFS文件系统提供的权限外，还提供读取权限——允许用户读取或下载WWW目录中的文件；执行权限——允许用户运行WWW目录下的程序和脚本。具体设置方法如下： 

选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→ 双击“WWW”启动WWW服务属性页→选择“目录”选项卡→选定需要编辑的WWW目录→选择“编辑属性”中的“目录属性”进行设置。 

5.IP地址的控制 

IIS可以设置允许或拒绝从特定IP发来的服务请求，有选择地允许特定节点的用户访问。可以通过设置来阻止指定IP地址外的网络用户访问你的Web服务器。具体设置方法如下： 

选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→双击“WWW”启动WWW服务属性页→启动Web属性页中“高级”选项卡；进行IP地址的控制设置。 

6.端口安全性的实现 

对于IIS服务，无论是WWW站点、Fpt站点，还是NNpt、SMpt服务等都有各自侦听和接收浏览器请求的TCP端口号（Post），一般常用的端口号为：WWW是80，Fpt是21，SMpt是25，你可以通过修改端口号来提高IIS服务器的安全性。如果你修改了端口设置，只有知道端口号的用户才可以访问，不过用户在访问时需要指定新端口号。 

7.IP转发的安全性 

IIS服务可提供IP数据包的转发功能，此时，充当路由器角色的IIS服务器将会把从Internet接口收到的IP数据包转发到内部网中，禁用这一功能将提高IIS服务的安全性。设置方法如下： 

选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→ 双击“WWW”启动WWW服务属性页→选择“协议”选项卡→在TCP/IP属性中去掉“路由选择”。 

8.SSL安全机制 

SSL（加密套接字协议层）位于HTpt层和TCP层之间，建立用户与服务器之间的加密通信，确保信息传递的安全性。SSL是工作在公共密钥和私人密钥基础上的。任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个唯一的安全通道。具体设置方法如下： 

选择“开始”选单→“程序”→“Microsoft Internet Server(公用) ”→“Internet服务管理器” →启动Microsoft Internet Service Manager→ 双击“WWW”启动WWW服务属性页→选择“目录安全性”选项卡→单击“密钥管理器”按钮→通过密钥管理器生成密钥文件和请求文件→从身份认证权限中申请一个证书→通过密钥管理器在服务器上安装证书→激活Web站点的SSL安全性。 

建立了SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，并且在使用URL资源定位器时，注意输入的是“htpts://”，而不是“htpt://”。 

SSL安全机制的实现，将增加系统开销，增加服务器CPU的额外负担，从而会在一定程度上降低系统性能。笔者建议在规划网络时，仅考虑为高敏感度的Web目录使用SSL安全机制。另外，SSL客户端需要使用IE 3.0及以上版本才能使用。 



IIS5中的安全认证系统 
绪论 
　　本文将讨论的内容是实现一个基于Internet的受保护应用程序，这 种保护是用IIS5提供的安全选项实现的，包括： 

安全的数据传输和完整性 
客户端和服务 器端的验证 
IIS服务器验证和数据保护 
　　X.509协议 (IETF 标 准)是在Internet上使用的标准服务器验证机制，IIS当然也秉承了这个标准。这个协议是建立在一个验证权威 机构签署的证书基础上的。 

　　当客户要求服务器的验证时，Web服务器就将其证书发送 给浏览器。如果能成功完成以下步骤，服务器验证就算成功了： 

客户浏览器信任所提供证书的证 明机构的签署。 
客户使用证明机构的公共关键字来打开证书，然后验证证书内的公共名称与浏览器正 在指向的 URL是否相匹配。 
客户验证证书没有过期。 
　　最后浏览器可 能会检查CRL(证书撤回列表)，它的URL包含在证书内，看看证书是否在失效期之前被收回。 

如果客户端接受了服务器的证书，那么就将开始安全Sockets层（SSL）协议的握手阶段，以 建立起受保护的数据传输。SSL协议是一种基于会话（session）关键字的私用关键字算法。 

在握手阶段，客户向服务器发送一个session关键字，这个关键字是用服务器公共关键字加密 的。只有知道相应的私用关键字的服务器才能对这个session关键字进行解密。当服务器和客户安全地共享 session关键字后，通讯就可以在希望的保护中进行了。 

　　基于证书的不对称加密法只 局限于在握手阶段使用，这是因为象SSL的对称算法在加密和解密数据方面比不对称算法要有效得多。 

请注意服务器证明和数据加密是紧密联系的。从理论上说，不进行服务器证明也能使用SSL， 但是在实际中这种情况不会发生。以上所描述的证书和SSL通常指的是 HTTPS 协议。 

IIS客户证明 安全选项 
　　IIS客户证明的全部内容就是映射身份，这个映射身份通过HTTP协议， 在点击一个windows域中身负责验证的 web服务器时发生的。根据 IIS应用程序安全性的设置，为请求提供服务 的IIS线程都会担当一个特定的身份，这样所有的访问检查，比如文件存取、ASP 脚本等等，都会参照这个线程 身份进行，而不是参照IIS的程序身份。这种身份可以应用在以下访问检查中： 

当请求HTML 或ASP 页面时，在NTFS 驱动器上进行的文件系统访问检查。 
在执行ASP脚本期间所要求的访问检查。 
对标准和配置过的COM+ 组件的激活和访问检查。 
对配置的COM+组件应用基于角色的安全。 
使用Windows综合安全与SQL服务器相连接时，在ASP脚本内执行的数据库访问。 
你可以为IIS应用程序定义下面5种可能的安全设置以提供客户证明： 

Anonymous（匿名）：所有的请求都被映射到一个唯一域用户。默认的用户是 IUSR_ ，如果愿意也可以改变。 
Basic（基本）：当你请求一个位于虚 拟目录下、要求基本证明的资源时(HTML 或ASP页面)， 浏览器会提示你输入用户名和口令。IIS挑选出来完成 这个请求的线程会用客户输入的信息试着登录到虚拟目录设置中定义的域上，这不一定是IIS服务器注册的那个 。这个安全机制在IE和Netscape中能工作，但是有一个很大的缺点：用户口令是用明码发送的。通常这个问题 是通过要求HTTPS 通讯来解决的。使用HTTPS这种方法，整个的通讯，包括口令，都是加密发送的。可以对 IIS 线程进行配置，以执行对域的不同类型的登录。就是说，你可以指示IIS调用交互性LogonUser（默认值）、批 登录或网络登录。 
Digest (在IIS4下不可用)：这是基于一个挑战响应机制上的新标准安全协 议，只在IE5 和IIS5上支持。Digest证明不太吸引人，因为Web服务器必须要位于PDC 上才能工作。 
SPNEGO：这个Microsoft私有的证明协议在http上执行一个标准登录会话，就象你按 ALT+CTRL+DEL一样，被要求输入一个用户名、一个口令以及域名。实际使用的协议要由NTLM 和Kerberos进行协 商。使用Kerberos的情况是在Windows 2000 计算机上运行IE 5浏览器和在一个Windows 2000 域中注册的计算 机上的运行IIS5 Web服务器。综合证明只在IE中支持，并且通过代理是不能工作的，因此它只能用在 Intranet 环境。 
客户证书映射：配置一个虚拟目录在HTTPS连接上运行，你就可以通过客户证书指示 IIS要求客户证明。如果这样做了，那么当用户连接到虚拟目录时，会被要求提供一个证书，然后IIS采用1对1 或多对1的方式，将这个证书映射到一个域帐户上。 
　　有两种建立证书映射的方 法：1、私有IIS 映射 2、活动目录 (AD)映射 

　　默认状态下激活的是私有IIS映射。选 中Windows 目录服务映射器单选框就可以切换到AD映射，如下图所示(在这个图中这个单选框没有选中，因为 IIS没有注册在一个Windows 2000域中)： 

有两种类型的AD 映射：UPN (唯一主要名称)映射和明确映射。 

　　前 者是一种暗指的映射，是由Windows安全服务完成的，当它发现证书的UPN 域（如果有的话）和注册到域上的一 个用户的UPN之间存在一个匹配的时候（表达形式是<username>@<domain name>）就执行这个映射 。后者必须在活动目录管理snap-in 上明确定义。 

　　与AD映射相比，IIS私有映射包括 更多负荷，但是它所提供的映射远远不止所能说出的多对1映射，请看下图： 


基于Internet 应用程序的COM+中的流动 身份 
　　如果你想提供到一个基于配置COM+组件的应用程序的Internet入口，所需 要的就是建立适当的 IIS客户证明选项，这样每个客户的身份都从IIS透明地流向COM+ 应用程序。用这种方法 ，当应用基于角色的安全时，就可以使用客户的身份。如果不这样的话，基于角色的安全就没用了。 

你可以有三种选择： 

IIS综合安全：前面已经说过，这只用于 Intranet环境。 注意，如果 IE5 被用做客户浏览器，IIS5 在一个注册到W2K 域的服务器上运行，你就可以跳过客户身份到其 它服务器；如果不是这种情况的话，比如Web服务器是Windows NT上的IIS4，你就不得不配置COM 组件，这些组 件在IIS运行的同一个服务器上的一个 MTS包中。否则，当引用基于角色的安全时，就要使用IIS程序身份。 
HTTPS 上的IIS 基本安全：要求互动或批登录，在任何浏览器中都能工作。 
1对1客户证明 映射 
　　现在第二个选择是应用最广泛的，但是预计未来，基于证书的安全方案会 得到越来越多的应用。 

结论 
　　你能看到，IIS5 为你提供了不同的证 明选择。我建议你寻找并使用最适合应用程序安全的一个，而不仅仅是执行一些基于私有用户帐号数据库的定 制安全机制。