由于NT系統(tǒng)的易維護性，越來越多的中小企業(yè)在自己的網(wǎng)站上和內(nèi)部辦公管理系統(tǒng)上采用它，而且很多都是用默認的IIS來做WEB服務(wù)器使用。當然不能否認近來威脅NT系統(tǒng)的幾個漏洞都是由于IIS配置不當造成的，而且可以預(yù)見，未來IIS還會被發(fā)現(xiàn)很多新的漏洞和安全問題，但只要我們做好合理的安全配置，還是可以避免很多安全隱患的。本文并沒有系統(tǒng)的去講如何全面安全的配置IIS，我只是從利用SSL加密HTTP通道來講如果加強IIS安全的。
　　一、建立SSL安全機制
　　IIS的身份認證除了匿名訪問、基本驗證和Windows NT請求/響應(yīng)方式外，還有一種安全性更高的認證，就是通過SSL（Security Socket Layer）安全機制使用數(shù)字證書。SSL（加密套接字協(xié)議層）位于HTTP層和TCP層之間，建立用戶與服務(wù)器之間的加密通信，確保所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰基礎(chǔ)上的，任何用戶都可以獲得公共密鑰來加密數(shù)據(jù)，但解密數(shù)據(jù)必須要通過相應(yīng)的私人密鑰。使用SSL安全機制時，首先客戶端與服務(wù)器建立連接，服務(wù)器把它的數(shù)字證書與公共密鑰一并發(fā)送給客戶端，客戶端隨機生成會話密鑰，用從服務(wù)器得到的公共密鑰對會話密鑰進行加密，并把會話密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器，而會話密鑰只有在服務(wù)器端用私人密鑰才能解密，這樣，客戶端和服務(wù)器端就建立了一個惟一的安全通道。
　　建立了SSL安全機制后，只有SSL允許的客戶才能與SSL允許的Web站點進行通信，并且在使用URL資源定位器時，輸入https:// ，而不是http:// 。
　　簡單的說默認情況下我們所使用的HTTP協(xié)議是沒有任何加密措施的，所有的消息全部都是以明文形式在網(wǎng)絡(luò)上傳送的，惡意的攻擊者可以通過安裝監(jiān)聽程序來獲得我們和服務(wù)器之間的通訊內(nèi)容。這點危害在一些企業(yè)內(nèi)部網(wǎng)絡(luò)中尤其比較大，對于使用HUB的企業(yè)內(nèi)網(wǎng)來說簡直就是沒有任何安全可講因為任何人都可以在一臺電腦上看到其他人在網(wǎng)絡(luò)中的活動，對于使用交換機來組網(wǎng)的網(wǎng)絡(luò)來說雖然安全威脅性要小很多，但很多時候還是會有安全突破口，比如沒有更改交換機的默認用戶和口令，被人上去把自己的網(wǎng)絡(luò)接口設(shè)置為偵聽口，依然可以監(jiān)視整個網(wǎng)絡(luò)的所有活動。
　　所以全面加密整個網(wǎng)絡(luò)傳輸隧道的確是個很好的安全措施，很可惜的是現(xiàn)在網(wǎng)絡(luò)上有關(guān)于具體給IIS配置SSL的文章并不是很多，我簡單的摸索了下把我的經(jīng)驗?zāi)贸鰜斫o大家分享。
　　二、操作辦法
　　以WIN2000服務(wù)器版本的來做例子講解的，我們首先需要在控制面板里的填加刪除WINDOWS組件中去安裝證書服務(wù)，這個服務(wù)在默認安裝中是沒有安裝在系統(tǒng)里的，需要安裝光盤來安裝。　　　
　　　
　　

然后選擇獨立根CA的安裝類型。然后在下一步中給自己的CA起一個名字來完成安裝就可以了。
　　安裝完成后，我們就可以啟動我們的IIS管理器來申請一個數(shù)字證書了，啟動INTERNET管理器選擇我們需要配置的WEB站點： 　　　
　　

選擇站點屬性里的，目錄安全性-安全通信-服務(wù)器證書