基于Windows2008平台配置实现安全IIS Web服务器

前言

以下内容是个人学习搭建web服务器的过程的分享

---

使用步骤

（1） 配置各个虚拟机的IP地址，子网掩码、默认网关、DNS服务器，测试虚拟机之间的连通性
本实验将server01作为域服务器和web服务器，将server02作为证书服务器。Server01的IP地址即为首选DNS服务器。

            图5-1 客户端的IP地址，子网掩码、默认网关、DNS服务器配置

图5-2 web服务器，DNS服务器所在虚拟机的配置

                图5-3 证书服务器所在虚拟机的配置

测试各虚拟机之间的连通性：

图5-4

图5-5

图5-6
上图为各虚拟机相互ping通的结果：
图5-4为客户端ping server01,客户端ping server02；
图5-5为server02 ping server01，server02 ping 客户端；
图5-6为server01 ping server02,server01 ping 客户端；

（2） 在web服务器server01中提前制作一个网站，用于测试；

                         图5-7 用于测试的html文件

（3） 在服务器server01上安装相关的服务DNS服务器角色、Web服务器角色（IIS）；
默认安装只具备一些基础的功能，其余功能可以在需要的情况勾选安装也可以在安装好以后再次安装剩余功能。

1. 打开服务器管理器

2. 点击角色，添加角色

3. 选择DNS服务器、Web服务器（IIS），点击下一步，…，安装。
   

                                 图5-8
   

（4） 在web服务器上配置IIS和DNS，使在客户端上可以访问该网站http://www.test.com

1. 搭建域名解析服务器：
   打开DNS管理器，右键正向查找区域，点击新建区域，点击下一步，主要区域，在对话框中输入域名：testsite.com（如图5-9所示）；
   点击新建立的testsite.com，右键新建主机（如图5-10所示），在名称文本框中输入www，在IP地址中输入192.168.138.134；
2. 在客户端测试ping www.testsite.com（如图5-11）；
3. 搭建IIS，添加网站，选择物理路径，分配IP地址，类型选择http，端口为80，主机名为：www.testsite.com（如图5-12）;
4. 在客户端上测试（如图5-13）

图5-9

    图5-10

图5-12

图5-11

                                图5-13

（5） 客户端测试（明文），并抓包查看；

                            图5-14

如图5-14，通过wireshark抓包，可以看到网站中的内容（图5-15）：

This is a test site

20181008203

密码：123456

                                          图5-15

由于浏览器原因‘密码’乱码了，但通过wireshark抓包可以看到，我们可以在Line-based中清晰地得到网站的源码和用户的数据，可见这种方式的数据传输如果被人稍加利用，用户数据就泄露了，并不是一种安全的方式。

（6） 在服务器server02上安装 web注册、active directory 证书服务；
点击服务器管理器，点击角色，点击添加角色，点击Active Directory 证书服务，点击下一步，在角色服务中选择证书颁发机构和证书颁发机构web注册，点击下一步，点击独立，安装。

							      图5-16

（7） 在web服务器（server01）上进行证书申请：根证书-用于建立信任、身份证书 ；

1. 双击服务器，双击服务器证书，在右侧点击创建证书申请，填表如下图5-17所示：
   通用名称必须填写我们搭建网站时要绑定的域名，其余各项根据实际情况填写。

图5-17
2.加密服务提供程序属性可以保持默认，加密服务提供程序用于选择加密方式，位长越长加密越好但花费增加。

                               图5-18 

3.选择文件存放位置，方便查找

                                                                                                                 图5-20                                           

											图5-19

4.在server01上申请根证书：在浏览器上输入http://192.168.138.135/certsrv;
4.1.点击下载CA证书，点击下载CA证书，点击保存；
4.2.点击运行，输入mmc，点击文件，点击添加/删除管理单元，点击证书，点击计算机账户，下一步，完成，确定；
4.3点击受信任的根证书颁发机构，点击证书，点击所有任务，点击导入，完成。
此时server01与server02建立了信任。

图5-21

										图5-22

										图5-23                                                  

图5-24

4. 申请身份证书
   4.1.在浏览器输入http://192.168.138.135/certsrv 点击申请证书（如图5-25）；
   4.2.点击高级证书申请（如图5-26）；
   4.3.点击使用base64编码的CMC或…（如图5-27）；
   4.4.把之前在server01上申请的证书（图5-20）中的内容粘贴到文本框中（如图5-28）；
   4.5.在server02证书颁发机构中查看挂起的申请（如图5-30）；
   4.6.点击所有任务，颁发；
   4.7.回到server01在浏览器搜索http://192.168.138.135/certsrv（如图5-25），点击查看挂起的证书申请的状态；
   4.8.点击保存证书（如图5-31）
   

   											图5-25                                                      
   

											图5-26

图5-27

									 图5-28

      图5-29     

图5-30

                                图5-31

5. 配置身份证书，在server01上在IIS中点击服务器，点击服务器证书，点击完成证书申请，将申请的身份证书填入（如图5-32）

                                    图5-32

（8） web服务器SLL调试：在server01上配置相关设置，并在客户端测试http://www.test.com和https://www.test.com两种方式的浏览方式；
1.在server01上，在IIS上的web网站的操作栏中找到绑定，点击编辑，将网站类型改为https
2.在SSL设置中，选择要求SSL，客户证书中选择接收；
3.在客户端测试，如图5-33,、图5-34所示http方式无法登陆，https方式

									图5-33                                                  

										图5-34

（9） 客户端申请根证书；

1.在客户端浏览器中输入http://192.168.138.135/certsrv,点击下载CA证书，保存CA证书
通（7）步，建立信任证书。

2.完成后在再次浏览查看如图5-35

                               图5-35

（10） 安全测试（实现数据加密传输），并抓包查看；
通过wireshark抓包查看，可见没有http的协议，替换成了TLSV1，在应用数据中也看不见明文，只有被加密后的数据。可见安全传输已实现。（如图5-36）

图5-36

总结

提示：这里对文章进行总结：
例如：以上就是今天要讲的内容，本文仅仅简单介绍了pandas的使用，而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。