6,849
社区成员
发帖
与我相关
我的任务
分享认证服务器的问题..
WIN2000的认证服务怎么配置?怎样和某个网页关联?
我的ASP或CGI如何得到通过SSL传送来的数据(解密后的)?对于CGI来说是透明的吗?
小弟初次接触,请帮忙。我还可以再加分!
...全文
请发表友善的回复…
发表回复
meilideme 2001-10-31
- 打赏
- 举报
也就是说,在使用了安全连接之前是没有这个情况的吧,
建议你使用dns,给你的站点一个域名!
建议你使用dns,给你的站点一个域名!
olo 2001-10-29
- 打赏
- 举报
是“该页无法显示”错误
olo 2001-10-28
- 打赏
- 举报
go
meilideme 2001-10-28
- 打赏
- 举报
如果你是说具体的步骤,我想你太牵强了。
知道了原理,就应该自己去实践了,而且虽然不是太复杂,
但是表诉起来还是很麻烦的!
知道了原理,就应该自己去实践了,而且虽然不是太复杂,
但是表诉起来还是很麻烦的!
olo 2001-10-28
- 打赏
- 举报
我在提问前就实践了。:-)
可是。。。
服务器CA证书和IE的客户证书都发布了。
IIS也设定了SSL通道,建了一个一对一映射。
可是https://localhost就出现404NOT FOUND错误。(如果不用SSL,http://是没问题的)
实在搞不清哪儿出了问题,您能费心提示一下吗?我已经试了好多次了,唉。。。
可是。。。
服务器CA证书和IE的客户证书都发布了。
IIS也设定了SSL通道,建了一个一对一映射。
可是https://localhost就出现404NOT FOUND错误。(如果不用SSL,http://是没问题的)
实在搞不清哪儿出了问题,您能费心提示一下吗?我已经试了好多次了,唉。。。
Jneu 2001-10-27
- 打赏
- 举报
up
Jneu 2001-10-27
- 打赏
- 举报
gz
olo 2001-10-27
- 打赏
- 举报
谢谢您,能具体一些吗?
meilideme 2001-10-27
- 打赏
- 举报
有两种建立证书映射的方 法:1、私有IIS 映射 2、活动目录 (AD)映射
默认状态下激活的是私有IIS映射。选 中Windows 目录服务映射器单选框就可以切换到AD映射,如下图所示(在这个图中这个单选框没有选中,因为 IIS没有注册在一个Windows 2000域中):
有两种类型的AD 映射:UPN (唯一主要名称)映射和明确映射。
前 者是一种暗指的映射,是由Windows安全服务完成的,当它发现证书的UPN 域(如果有的话)和注册到域上的一 个用户的UPN之间存在一个匹配的时候(表达形式是<username>@<domain name>)就执行这个映射 。后者必须在活动目录管理snap-in 上明确定义。
与AD映射相比,IIS私有映射包括 更多负荷,但是它所提供的映射远远不止所能说出的多对1映射,
默认状态下激活的是私有IIS映射。选 中Windows 目录服务映射器单选框就可以切换到AD映射,如下图所示(在这个图中这个单选框没有选中,因为 IIS没有注册在一个Windows 2000域中):
有两种类型的AD 映射:UPN (唯一主要名称)映射和明确映射。
前 者是一种暗指的映射,是由Windows安全服务完成的,当它发现证书的UPN 域(如果有的话)和注册到域上的一 个用户的UPN之间存在一个匹配的时候(表达形式是<username>@<domain name>)就执行这个映射 。后者必须在活动目录管理snap-in 上明确定义。
与AD映射相比,IIS私有映射包括 更多负荷,但是它所提供的映射远远不止所能说出的多对1映射,
meilideme 2001-10-27
- 打赏
- 举报
IIS客户证明 安全选项
IIS客户证明的全部内容就是映射身份,这个映射身份通过HTTP协议, 在点击一个windows域中身负责验证的 web服务器时发生的。根据 IIS应用程序安全性的设置,为请求提供服务 的IIS线程都会担当一个特定的身份,这样所有的访问检查,比如文件存取、ASP 脚本等等,都会参照这个线程 身份进行,而不是参照IIS的程序身份。这种身份可以应用在以下访问检查中:
当请求HTML 或ASP 页面时,在NTFS 驱动器上进行的文件系统访问检查。
在执行ASP脚本期间所要求的访问检查。
对标准和配置过的COM+ 组件的激活和访问检查。
对配置的COM+组件应用基于角色的安全。
使用Windows综合安全与SQL服务器相连接时,在ASP脚本内执行的数据库访问。
你可以为IIS应用程序定义下面5种可能的安全设置以提供客户证明:
Anonymous(匿名):所有的请求都被映射到一个唯一域用户。默认的用户是 IUSR_<MACHINENAME> ,如果愿意也可以改变。
Basic(基本):当你请求一个位于虚 拟目录下、要求基本证明的资源时(HTML 或ASP页面), 浏览器会提示你输入用户名和口令。IIS挑选出来完成 这个请求的线程会用客户输入的信息试着登录到虚拟目录设置中定义的域上,这不一定是IIS服务器注册的那个 。这个安全机制在IE和Netscape中能工作,但是有一个很大的缺点:用户口令是用明码发送的。通常这个问题 是通过要求HTTPS 通讯来解决的。使用HTTPS这种方法,整个的通讯,包括口令,都是加密发送的。可以对 IIS 线程进行配置,以执行对域的不同类型的登录。就是说,你可以指示IIS调用交互性LogonUser(默认值)、批 登录或网络登录。
Digest (在IIS4下不可用):这是基于一个挑战响应机制上的新标准安全协 议,只在IE5 和IIS5上支持。Digest证明不太吸引人,因为Web服务器必须要位于PDC 上才能工作。
SPNEGO:这个Microsoft私有的证明协议在http上执行一个标准登录会话,就象你按 ALT+CTRL+DEL一样,被要求输入一个用户名、一个口令以及域名。实际使用的协议要由NTLM 和Kerberos进行协 商。使用Kerberos的情况是在Windows 2000 计算机上运行IE 5浏览器和在一个Windows 2000 域中注册的计算 机上的运行IIS5 Web服务器。综合证明只在IE中支持,并且通过代理是不能工作的,因此它只能用在 Intranet 环境。
客户证书映射:配置一个虚拟目录在HTTPS连接上运行,你就可以通过客户证书指示 IIS要求客户证明。如果这样做了,那么当用户连接到虚拟目录时,会被要求提供一个证书,然后IIS采用1对1 或多对1的方式,将这个证书映射到一个域帐户上。
IIS客户证明的全部内容就是映射身份,这个映射身份通过HTTP协议, 在点击一个windows域中身负责验证的 web服务器时发生的。根据 IIS应用程序安全性的设置,为请求提供服务 的IIS线程都会担当一个特定的身份,这样所有的访问检查,比如文件存取、ASP 脚本等等,都会参照这个线程 身份进行,而不是参照IIS的程序身份。这种身份可以应用在以下访问检查中:
当请求HTML 或ASP 页面时,在NTFS 驱动器上进行的文件系统访问检查。
在执行ASP脚本期间所要求的访问检查。
对标准和配置过的COM+ 组件的激活和访问检查。
对配置的COM+组件应用基于角色的安全。
使用Windows综合安全与SQL服务器相连接时,在ASP脚本内执行的数据库访问。
你可以为IIS应用程序定义下面5种可能的安全设置以提供客户证明:
Anonymous(匿名):所有的请求都被映射到一个唯一域用户。默认的用户是 IUSR_<MACHINENAME> ,如果愿意也可以改变。
Basic(基本):当你请求一个位于虚 拟目录下、要求基本证明的资源时(HTML 或ASP页面), 浏览器会提示你输入用户名和口令。IIS挑选出来完成 这个请求的线程会用客户输入的信息试着登录到虚拟目录设置中定义的域上,这不一定是IIS服务器注册的那个 。这个安全机制在IE和Netscape中能工作,但是有一个很大的缺点:用户口令是用明码发送的。通常这个问题 是通过要求HTTPS 通讯来解决的。使用HTTPS这种方法,整个的通讯,包括口令,都是加密发送的。可以对 IIS 线程进行配置,以执行对域的不同类型的登录。就是说,你可以指示IIS调用交互性LogonUser(默认值)、批 登录或网络登录。
Digest (在IIS4下不可用):这是基于一个挑战响应机制上的新标准安全协 议,只在IE5 和IIS5上支持。Digest证明不太吸引人,因为Web服务器必须要位于PDC 上才能工作。
SPNEGO:这个Microsoft私有的证明协议在http上执行一个标准登录会话,就象你按 ALT+CTRL+DEL一样,被要求输入一个用户名、一个口令以及域名。实际使用的协议要由NTLM 和Kerberos进行协 商。使用Kerberos的情况是在Windows 2000 计算机上运行IE 5浏览器和在一个Windows 2000 域中注册的计算 机上的运行IIS5 Web服务器。综合证明只在IE中支持,并且通过代理是不能工作的,因此它只能用在 Intranet 环境。
客户证书映射:配置一个虚拟目录在HTTPS连接上运行,你就可以通过客户证书指示 IIS要求客户证明。如果这样做了,那么当用户连接到虚拟目录时,会被要求提供一个证书,然后IIS采用1对1 或多对1的方式,将这个证书映射到一个域帐户上。
meilideme 2001-10-27
- 打赏
- 举报
也许,我们可以共同学习
