现在,Internet 信息服务具有了三个新的安全任务向导,可以简化维护网站安全所需的大多数安全任务。可以使用“Web 服务器证书向导”管理 IIS 和服务器证书中的安全套接字层 (SSL)。证书用于在服务器和客户端之间协商一个安全的连接。可以使用“CTL 向导”管理证书信任列表 (CTL)。证书信任列表列出了每个网站或虚拟目录的信任证书颁发机构。可以使用“权限向导”为网站、虚拟目录以及服务器上的文件分配 Web 和 NTFS 访问权限。
证书、CTL 和权限向导可以执行许多以前由 IIS 信息服务管理单元完成的任务。除“权限向导”外,这些功能已不能通过 Internet 信息服务管理单元进行访问。
现在,获得、配置和更新服务器证书可以通过“Web 服务器证书向导”的一个界面完成。向导可以监测是否已经安装了服务器证书以及证书是否期满失效。可以使用向导将服务器证书替换为从证书颁发机构 (CA)、联机 CA(如 Microsoft 证书服务)或者以前通过密钥管理器获得的文件中另外获得的证书。也可以将证书从一个网站重新指定到另一个网站。另外,还可以使用向导查看证书。
注意 只能对“企业证书服务”联机请求服务器证书。IIS Web 服务器证书向导无法识别同一计算机上的独立证书服务。使用脱机证书请求可以将请求保存到文件中,然后再将其作为脱机请求进行处理(请参阅证书服务文档)。使用本地“企业证书服务”的联机注册不受影响。
注意 如果未使用联机证书颁发机构,需要将由“Web 服务器证书向导”生成的请求文件保存到磁盘,并将其发送到 CA。收到响应时,可以启动向导并从上次中止处开始。如果替换证书,IIS 将使用旧证书,直到完成新的申请。有关支持 Internet 信息服务的证书颁发机构的列表,请参阅获取服务器证书。
可以使用“CTL 向导”创建和配置证书信任列表 (CTL)。CTL 是特定网站的可信证书颁发机构 (CA) 的列表。通过配置 CTL,可以允许使用某个 CA 发布的证书,同时禁止使用其他 CA 发布的证书。CTL 对具有下列特点的 Internet 服务提供商 (ISP) 特别有用,它们在服务器上拥有多个网站,并且对每个站点需要不同的已认可证书颁发机构列表。CTL 只能用于网站级,不能用于 FTP 站点。
权限向导在设置 Web 和 FTP 权限、NTFS 访问权限以及身份验证方案等方面提供了一种由方案驱动的捷径,由方案为您设置方案。这样就不必为每个区域分别设置用户界面,只要选择与站点需求最为接近的方案即可,向导会为您设置所有访问权限和身份验证方案。这样做的最大优点是:向导可以确保 Web(或 FTP) 和 NTFS 权限的协调性,并使用正确的身份验证方案。不过,所有设置都可以在 Internet 信息服务管理单元中进行更改。方案包括:
注意 如果在运行“权限向导”时选择继承所有安全设置,可能会拒绝客户对网站的访问。要更正这一点,请打开此网站的“主目录”属性页,然后选择“读取”和“纯脚本”权限。出现提示时,允许所有虚拟目录和文件都继承这些设置。
要使用 Internet 信息服务管理单元中的站点服务器证书向导以及 CTL 向导,请执行下列操作:
注意
要使用 Internet 信息服务管理单元中的权限向导,请执行下列操作:
注意 在为服务器证书分配 IP 地址、网站和 SSL 端口时,请遵循下列原则: