IIS7下配置SSL的方法分析

　　IIS7下配置SSL的方法分析在IIS7中，HTTP.sys在内核模式下操作SSL加密解密，相对于IIS6.这种方式能提高近20%的性能。

　　当SSL运行于内核模式时，会将SSL绑定信息保存在两个地方。第一个地方，绑定配置保存在%windir%\System32\inetsrv\config\applicationHost.config中，当站点启动时，IIS7发送绑定信息给HTTP.sys，同时HTTP.sys会在特定的IP和端口监听请求。第二个地方，与绑定相关联的SSL配置保存在HTTP.sys配置中。使用netsh命令可以查看保存在HTTP.sys的SSL绑定配置：

　　netsh http show sslcert

　　当一个客户开始连接并初始化SSL协商时，HTTP.sys在它的配置中查找这个IP:Port对应的SSL配置。这个SSL配置必须包括证书hash值和名称：

　　l 在ApplicationHost.config中确认这个绑定是否存在

　　l HTTP.sys中是否包含有效证书的hash值以及命名是否存在

　　选择证书时，需要考虑以下问题：

　　是否想让最终用户能够通过你提供的证书确认你服务器的唯一性?

　　如果是的，则

　　要么建立一个证书请求，并且发送证书请求到证书权威机构(CA)，比如VeriSign或者GeoTrust;

　　要么从Intranet的在线CA那里获取一个证书

　　浏览器一般用三样东西来确认服务器证书的有效性：

　　1. 当前日期在证书的有效期范围内

　　2. 证书的“Common Name”(CN)与请求中的主机名相匹配。比如，如果客户发起了一个到http://www.contoso.com的请求，则CN必须是这样的：http://www.contoso.com/

　　3. 证书的发行者是已知的和受到信任的CA

　　如果其中有1项失败，浏览器就会警告用户。如果你有个Internet站点或者你不怎么熟的Intranet用户，那你就需要确保这3项是都通过的。

　　自签名的证书可以用你自己的计算机创建。如果最终用户不重要，或者他们信任你的服务器，又或者用于测试环境，则这种自签名证书将会非常有用。

　　Ø 使用WMI来绑定SSL证书

　　使用WMI命名空间，是不能够请求或者创建证书。

　　使用IIS管理器来绑定SSL证书

　　获取一个证书

　　在树目录中选择服务器节点，在右面双击Server Certificates图标：

　　单击Create Self-Signed Certificate…按钮：

　　输入新证书的名字后单击OK。

　　现在你有了一个自签名证书。这个证书被标记为”服务器端验证”

　　建立SSL绑定

　　选择一个站点，在Actions面板中单击Bindings…。会显示出添加、修改、删除绑定对话框。单击Add…按钮添加新的SSL绑定。

　　默认设置是80端口，在类型下拉框中选择https，在SSL Certificate下拉框中选择你刚才建立的自签名证书名字，单击OK。

　　现在你已经完成SSL绑定的建立工作了，剩下的就是要确认是否工作正常了。

　　Ø SSL绑定的确认

　　在Actions面板中，在Browse web site下，单击刚才增加的绑定

　　由于这个证书是个自签名的证书，IE7会显示一个错误页面。

　　单击Continue to this website(not recommended).继续

　　Ø 配置SSL设置

　　当你要求用户必须使用证书，又或者必须SSL方式连接时，你需要配置SSL设置。