SSL配置的详细介绍

　　下面就是为大家准备的文章，下面就来看文章吧!SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security，TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。

　　WCF 服务和客户端可以通过 HTTP 和 HTTPS 通信。通过使用 Internet Information Services (IIS) 或命令行工具可以配置 HTTP/HTTPS 设置。当某个 WCF 服务承载于 IIS 之下并需要使用 HTTP 或 HTTPS 时，可以在 IIS 中进行相应配置(使用 inetmgr.exe 工具)。如果 WCF 服务是自承载的，则可使用命令行工具配置 HTTP 或 HTTPS 设置。

　　用于配置 HTTP 设置的工具取决于计算机所运行的操作系统。

　　如果运行的是 Windows Server 2003 或 Windows XP，则使用 HttpCfg.exe 工具。Windows Server 2003 会自动安装该工具。如果运行的是 Windows XP，则可以在 Windows XP Service Pack 2 支持工具中下载该工具。有关更多信息，请参见 Httpcfg 概述。

　　如果运行的是 Windows Vista 或 Windows 7，则可以使用 Netsh.exe 工具配置这些设置。

　　一种常见的误解是“银行用户在线使用https:就能充分彻底保障他们的银行卡号不被偷窃。”实际上，与服务器的加密连接中能保护银行卡号的部分，只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的，这点甚至已被攻击者利用，常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在网站传输客户数据时发生，攻击者尝试窃听数据于传输中。商业网站被人们期望迅速尽早引入新的特殊处理程序到金融网关，仅保留传输码(transaction number)。不过他们常常存储银行卡号在同一个数据库里。那些数据库和服务器少数情况有可能被未授权用户攻击和损害

　　配置 SSL 证书

　　安全套接字层 (SSL) 协议在客户端和服务器上使用证书来存储加密密钥。在建立连接时，服务器会提供其 SSL 证书，以便客户端验证服务器标识。服务器还可以从客户端请求证书以提供连接双方的相互身份验证。

　　证书将根据连接的 IP 地址和端口号存储在一个中央存储区中。特殊的 IP 地址 0.0.0.0 可以与本地计算机的任何 IP 地址相匹配。请注意，证书存储区不会基于路径区分 URL。即使服务的 URL 中的路径不同，带有相同 IP 地址和端口组合的服务也必须共享证书。

　　有关分步说明，请参见如何：使用 SSL 证书配置端口。

　　配置命名空间保留

　　命名空间保留将 HTTP URL 命名空间的一部分的权限分配给特定的用户组。保留提供给这些用户创建用于侦听命名空间的相应部分的服务的权限。保留是 URL 前缀，这意味着保留涵盖保留路径的所有子路径。命名空间保留允许以两种方式使用通配符。HTTP Server API 文档描述了涉及通配符的命名空间声明之间的解析顺序(可能为英文网页)。

　　运行的应用程序可以创建一个类似请求来添加命名空间注册。注册和保留会竞争命名空间的某些部分。根据涉及通配符的命名空间声明之间的解析顺序(可能为英文网页)中给定的解析顺序，保留可能优先于注册。在此情况下，保留会阻止运行的应用程序接收请求。

　　运行 Windows XP 或 Server 2003

　　使用 httpcfg.exe set urlacl 命令更改命名空间保留。Windows 支持工具文档(可能为英文网页)说明了 Httpcfg.exe 工具的语法。若要修改命名空间的一部分的保留权限，需要管理特权或命名空间的相应部分的所有权。最初，整个 HTTP 命名空间属于本地管理员。

　　下面演示的是带有 set urlacl 选项的 Httpcfg 命名的语法。

　　复制

　　httpcfg set urlacl /u {http://URL:Port/ | https://URL:Port/} /aACL

　　使用 set urlacl 时需要 /u 参数。该参数接受一个包含完全限定的 URL 的字符串，该 URL 用作所要生成的保留的记录密钥。

　　使用 set urlacl 时还需要 /a 参数。该参数接受一个字符串，其中包含安全描述符定义语言 (SDDL) 字符串格式的访问控制列表 (ACL)。

　　下面演示的是一个使用此命令的示例。

　　复制

　　httpcfg.exe set urlacl /u http://myhost:8000/ /a "O:AOG:DAD:(A;;RPWPCCDCLCSWRCWDWOGA;;;S-1-0-0)"

　　运行 Windows Vista、Windows Server 2008 R2 或 Windows 7

　　如果在 Windows Vista、Windows Server 2008 R2 或 Windows 7 上运行，则使用 Netsh.exe 工具。下面演示的是一个使用此命令的示例。

　　复制

　　netsh http add urlacl url=http://+:80/MyUri user=DOMAIN\\user

　　该命令为 DOMAIN\\用户帐户的指定 URL 命名空间添加一个 URL 保留项。有关使用 netsh 命令的更多信息，请在命令提示符下键入“netsh http add urlacl”并按 Enter。

　　配置 IP 侦听列表

　　在用户注册一个 URL 之后，HTTP 服务器 API 只绑定到一个 IP 地址和端口。默认情况下，对于计算机的所有 IP 地址，HTTP 服务器 API 将绑定到所注册的 URL 中的端口。如果不使用 HTTP 服务器 API 的应用程序先前已经绑定到该 IP 地址和端口的组合，则会引起冲突。IP 侦听列表允许 WCF 服务与使用计算机的一些 IP 地址的端口的应用程序共存。如果 IP 侦听列表包含任何项，则 HTTP 服务器 API 只绑定到该列表指定的那些 IP 地址。修改 IP 侦听列表需要管理特权。

　　运行 Windows XP 或 Server 2003

　　使用 httpcfg 工具修改 IP 侦听列表，如下面的示例所示。Windows 支持工具文档说明了 httpcfg.exe 工具的语法。

　　复制

　　httpcfg.exe set iplisten -i 0.0.0.0:8000

　　运行 Windows Vista 或 Windows 7

　　使用 netsh 工具修改 IP 侦听列表，如下面的示例所示。

　　复制

　　netsh http add iplisten ipaddress=0.0.0.0:8000

　　其他配置设置

　　WCF 的自承载 HTTP 寻址未集成到 Windows 防火墙中。必须向防火墙配置添加一个例外以允许使用特定 URL 的入站连接。

　　使用 WsD lHttpBinding 时，客户端连接使用与命名空间保留和 Windows 防火墙兼容的默认设置。如果选择自定义双向连接的客户端基址，则还必须配置这些客户端上的 HTTP 设置以与新地址相匹配。

　　HTTP 服务器 API 具有一些不可通过 HttpCfg 使用的高级配置设置。这些设置保留在注册表中并应用于在使用 HTTP 服务器 API 的系统上运行的所有应用程序。有关这些设置的信息，请参见 IIS 的 Http.sys 注册表设置(可能为英文网页)。大多数用户应该不需要更改这些设置。

　　Windows XP 特有的问题

　　IIS 在 Windows XP 上不支持端口共享。如果 IIS 正在运行并且 WCF 服务尝试通过相同端口来使用某个命名空间，则 WCF 服务将无法启动。IIS 和 WCF 均默认设置使用端口 80。请更改其中一个服务的端口分配或使用 IP 侦听列表将 WCF 服务分配到 IIS 未使用的网络适配器。IIS 6.0 和更高版本已经过重新设计，可以使用 HTTP 服务器 API。

　　小编的感悟：

　　阅读完文章了，对这一块了解了吧!我再给大家补充点小知识，从SSL 协议所提供的服务及其工作流程可以看出，SSL协议运行的基础是商家对消费者信息保密的承诺，这就有利于商家而不利于消费者。在电子商务初级阶段，由于运作电子商务的企业大多是信誉较高的大公司，因此这问题还没有充分暴露出来。但随着电子商务的发展，各中小型公司也参与进来，这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但是SSL协议仍存在一些问题，比如，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下，Visa和 MasterCard两大信用卡公组织制定了SET协议，为网上信用卡支付提供了全球性的标准。

　　如果大家喜欢这篇文章，要是有不懂得，尽管来问课课家，随时为您服务，后面还有很多关于类似的文章，期待大家的到来。